Debian 10 Linux의 Let's Encrypt를 사용하여 Nginx 보호
2022-05-17 last update
17 minutes reading debian nginx let's encrypt ssl certbotLet's Encrypt는 인터넷 보안 연구팀(ISRG)이 개발한 무료, 자동화, 개방된 인증서 발급 기구로 무료 SSL 인증서를 제공한다.Let's Encrypt에서 발급한 인증서는 모든 주요 브라우저의 신뢰를 받아 발급일로부터 90일 이내에 유효합니다.이 자습서는 Debian 10에 무료 Let's Encrypt SSL 인증서를 설치하는 방법을 설명하며, Buster는 Nginx를 웹 서버로 실행합니다.SSL 인증서를 사용하고 HTTP/2를 활성화하도록 Nginx를 구성하는 방법도 보여 줍니다. 루트 사용자 또는 사용자로 로그인sudo privileges
SSL 인증서를 받으려면 도메인이 공용 서버 IP를 가리켜야 합니다.우리는 사용할 것이다 Nginx installed
첫 번째 코드 세그먼트
, OCSP 바인딩을 활성화하고 HTTP는 보안(HSTS)을 엄격히 전송하며 보안 중심의 HTTP 헤더를 거의 실행하지 않습니다.
파일은
변경 사항을 적용하려면: (adsbyGoogle=window.adsbyGoogle |||[]).추진({});
www에서 비 www버전까지.변경 사항을 적용하기 위해 Nginx 서비스를 다시 시작하거나 불러옵니다.
다음 그림과 같이
. 질문이나 피드백이 있으면 언제든지 의견을 달아 주십시오.
이 문장은 How to Install LEMP Stack on Debian 10 시리즈의 일부분이다.이 시리즈의 추가 게시물: •
How to Install MariaDB on Debian 10 2019년 7월 11일
How to Install Nginx on Debian 10 Linux 2019년 7월 16일
How to Install PHP on Debian 10 Linux 2019년 11월 17일
2019년 11월 24일, Debian 10 Linux에서 Let's Encrypt를 사용하여 Nginx 보호
(2020년 2월 915일)
선결 조건
이 가이드를 계속하기 전에 다음과 같은 선결 조건이 충족되어야 합니다.example.com.Certbot 설치
certbot 도구를 사용하여 인증서를 얻고 업데이트할 것입니다.Certbot은 기능이 완비되고 사용하기 쉬운 도구로 SSL 인증서를 가져오고 업데이트하는 작업을 자동화합니다. SSL 인증서를 암호화하고 웹 서버를 설정해서 인증서를 사용합니다.certbot 패키지는 기본 Debian 저장소에 포함되어 있습니다.certbot을 설치하려면 다음 명령을 실행하십시오:sudo apt updatesudo apt install certbot
Dh(Diffie Hellman) 그룹 생성
Diffie-Hellman 키 교환(DH)은 안전하지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.보안을 강화하기 위해 새로운 2048비트 DH 매개변수 세트를 생성합니다.sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Let's Encrypt SSL 인증서 가져오기
도메인의 SSL 인증서를 얻기 위해 Webroot 플러그인을 사용합니다.이것은${webroot-path}/.well-known/acme-challenge 디렉터리에 임시 파일을 만들어서 요청한 영역을 검증합니다.Let's Encrypt 서버는 요청한 도메인이certbot에서 실행되는 서버로 해석되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.우리는 .well-known/acme-challenge 의 모든 HTTP 요청을 디렉터리 /var/lib/letsencrypt 에 비추려고 합니다.다음 명령을 실행하여 디렉터리를 만들고 Nginx 서버에서 쓸 수 있도록 합니다. 코드가 중복되지 않도록 두 세션을 만들 것입니다. 이 세션은 모든 Nginx 서버 블록 파일에 포함됩니다.너의 것을 열어라text editorsudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
첫 번째 코드 세그먼트
letsencrypt.conf: sudo nano /etc/nginx/snippets/letsencrypt.conflocation ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
ssl.conf 추천 스크레이퍼 포함Mozilla, OCSP 바인딩을 활성화하고 HTTP는 보안(HSTS)을 엄격히 전송하며 보안 중심의 HTTP 헤더를 거의 실행하지 않습니다.
sudo nano /etc/nginx/snippets/ssl.confssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
파일은
letsencrypt.conf 코드 세그먼트를 포함하고 다음과 같습니다. sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/변경 사항을 적용하려면: (adsbyGoogle=window.adsbyGoogle |||[]).추진({});
sudo systemctl restart nginxsudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-02-22. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
www에서 비 www버전까지.변경 사항을 적용하기 위해 Nginx 서비스를 다시 시작하거나 불러옵니다.
sudo systemctl restart nginxsites-enabled 웹 사이트를 열면 녹색 자물쇠 아이콘을 볼 수 있습니다.SSL Labs Server Test를 사용하여 도메인을 테스트하는 경우다음 그림과 같이
SSL 인증서 암호화를 위한 자동 갱신
암호화된 인증서의 유효기간은 90일입니다.인증서가 만료되기 전에 인증서를 자동으로 갱신하기 위해certbot 패키지는cronjob과 시스템d 타이머를 만듭니다.타이머는 인증서가 만료되기 30일 전에 자동으로 인증서를 갱신합니다.인증서가 업데이트될 때, 우리는nginx 서비스를 다시 불러와야 합니다.https://를 열고 다음 줄을 추가합니다. sudo nano /etc/letsencrypt/cli.inideploy-hook = systemctl reload nginx
sudo certbot renew --dry-run결론
이제 SSL 인증서가 필요합니다.이것은 웹 사이트의 안전을 보호하고 SERP 랭킹을 높이며 웹 서버에서 HTTP/2를 사용할 수 있도록 합니다.이 강좌에서는 certbot 스크립트를 사용하여 SSL 인증서를 생성하고 갱신하는 방법을 보여 줍니다.또한 인증서를 사용하도록 Nginx를 구성하는 방법도 설명합니다.Certbot에 대한 자세한 내용은 Certbot documentation를 참조하십시오.. 질문이나 피드백이 있으면 언제든지 의견을 달아 주십시오.
이 문장은 How to Install LEMP Stack on Debian 10 시리즈의 일부분이다.이 시리즈의 추가 게시물: •
How to Install MariaDB on Debian 10 2019년 7월 11일
How to Install Nginx on Debian 10 Linux 2019년 7월 16일
How to Install PHP on Debian 10 Linux 2019년 11월 17일
2019년 11월 24일, Debian 10 Linux에서 Let's Encrypt를 사용하여 Nginx 보호
(2020년 2월 915일)