Let's Encrypt es una autoridad de certificación abierta y gratuita desarrollada por Internet Security Research Group (ISRG). Casi todos los navegadores confían en los certificados emitidos por Let's Encrypt.
En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo asegurar su Nginx con Let's Encrypt usando la herramienta certbot en Ubuntu 18.04.
Requisitos previos #
Asegúrese de cumplir con los siguientes requisitos previos antes de continuar con este tutorial:
- Tiene un nombre de dominio que apunta a la IP de su servidor público. En este tutorial usaremos
example.com. - Ha instalado Nginx siguiendo estas instrucciones
- Tienes un bloque de servidor para tu dominio. Puede seguir estas instrucciones para obtener detalles sobre cómo crear uno.
Instalar Certbot #
Certbot es una herramienta completa y fácil de usar que puede automatizar las tareas para obtener y renovar certificados SSL de Let's Encrypt y configurar servidores web para usar los certificados. El paquete certbot está incluido en los repositorios predeterminados de Ubuntu.
Actualice la lista de paquetes e instale el paquete certbot:
sudo apt updatesudo apt install certbot
Generar Dh Fuerte (Diffie-Hellman) Grupo #
El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Vamos a generar un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Obtención de un certificado SSL de Let's Encrypt #
Para obtener un certificado SSL para nuestro dominio vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge directorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Para hacerlo más simple, vamos a mapear todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .
Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Para evitar la duplicación de código, cree los siguientes dos fragmentos que vamos a incluir en todos nuestros archivos de bloque del servidor Nginx.
Abra su editor de texto y cree el primer fragmento, letsencrypt.conf :
sudo nano /etc/nginx/snippets/letsencrypt.conflocation ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
Cree el segundo fragmento ssl.conf que incluye los chippers recomendados por Mozilla, habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.
sudo nano /etc/nginx/snippets/ssl.confssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Una vez que se crean los fragmentos, abra el bloque del servidor de dominio e incluya el letsencrypt.conf fragmento como se muestra a continuación:
sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
Para habilitar el nuevo archivo de bloqueo del servidor, debemos crear un enlace simbólico desde el archivo a sites-enabled directorio, que lee Nginx durante el inicio:
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/Reinicie el servicio Nginx para que los cambios surtan efecto:
sudo systemctl restart nginxAhora puede ejecutar Certbot con el complemento webroot y obtener los archivos del certificado SSL emitiendo:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comSi el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-07-28. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Ahora que tiene los archivos de certificado, puede editar su bloque de servidor de dominio de la siguiente manera:
sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
Con la configuración anterior estamos forzando HTTPS y redirigiendo de la versión www a la no www.
Vuelva a cargar el servicio Nginx para que los cambios surtan efecto:
sudo systemctl reload nginxRenovación automática del certificado Let's Encrypt SSL n.°
Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un cronjob que se ejecuta dos veces al día y renovará automáticamente cualquier certificado 30 días antes de su vencimiento.
Dado que estamos utilizando el complemento certbot webroot una vez que se renueva el certificado, también tenemos que volver a cargar el servicio nginx. Agregue --renew-hook "systemctl reload nginx" al /etc/cron.d/certbot archivo para que se vea así:
sudo nano /etc/cron.d/certbot0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
Para probar el proceso de renovación, puede usar el certbot --dry-run cambiar:
sudo certbot renew --dry-runSi no hay errores, significa que el proceso de renovación fue exitoso.