Secure Nginx dengan Let’s Encrypt di Debian 9

Let’s Encrypt adalah otoritas sertifikat gratis dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let’s Encrypt dipercaya oleh hampir semua browser .

Dalam tutorial ini, kami akan menjelaskan cara menggunakan alat Certbot untuk mendapatkan sertifikat SSL gratis untuk Nginx pada Debian 9. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.

Install Certbot

Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui Mari Enkripsi sertifikat SSL dan konfigurasi server web untuk menggunakan sertifikat. Paket certbot termasuk dalam repositori Ubuntu default.

Update daftar paket dan instal paket certbot:

Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Kami akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:

Untuk memperoleh sertifikat SSL untuk domain kami, kami akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan. Kami akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, / var / lib / letsencrypt .

Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.

Untuk menghindari duplikasi kode, buat dua snippet berikut yang akan disertakan dalam semua file blok server Nginx kami. Buka editor teks Anda dan buat cuplikan pertama, letsencrypt.conf :

$ sudo nano /etc/nginx/snippets/letsencrypt.conf

Baca Juga:  Cara menghapus pesan email account di WHM Cpanel dengan Doveadm

Buat snippet ssl.conf kedua yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

Ubah Seperti Contoh Dibawah ini

Setelah selesai, buka file blok server domain dan sertakan snippet letsencrypt.conf seperti yang ditunjukkan di bawah ini:

$ sudo nano /etc/nginx/sites-available/example.com

Aktifkan blok server baru dengan membuat simbol ke direktori sites-enabled :

Restart layanan Nginx agar perubahan diterapkan:

Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan menjalankan perintah:

Jika sertifikat SSL diaktifkan berhasil diperoleh, pesan berikut akan dicetak pada terminal Anda:

Baca Juga:  Cara Mengetahui Model Motherboard via CMD

Selanjutnya, edit blok server domain sebagai berikut:

Dengan konfigurasi di atas kami memaksa HTTPS dan mengalihkan dari versi www ke versi non-www. Restart layanan Nginx agar perubahan diterapkan :

Karena kita menggunakan plug-in webroot certbot setelah sertifikat diperbarui, kita juga harus memuat ulang layanan nginx. Tambahkan –renew-hooksystemctl reload nginx” ke file /etc/cron.d/certbot sehingga terlihat seperti ini:

Uji proses pembaruan otomatis, dengan menjalankan perintah ini:

Jika tidak ada kesalahan, itu berarti proses pembaruan berhasil.


Di tulis oleh: