Uporaba SSL certifikata je predvsem v zadnjih letih postala ključni del vsake sodobne, zaupanja vredne spletne strani. V tem članku bomo spoznali postopek izdaje in namestitve brezplačnega Let’s Encrypt SSL certifikata na naš NGINX spletni strežnik.
1 Certbot
Let’s Encrypt SSL certifikate lahko namestimo s pomočjo vrste orodij. Med najpopularnejša gotovo spada certbot. S spodnjim ukazom bomo namestili NGINX avtomatizirano različico omenjenega orodja:
# apt install certbot python3-certbot-nginx
Da bi NGINX lahko nemoteno izdal SSL certifikat, moramo poskrbeti, da je server block za našo domeno (nasadomena.eu) ustrezno nastavljen. To preverimo s spodnjim ukazom:
# vim /etc/nginx/sites-available/nasadomena.eu
V odprti datoteki moramo biti pozorni predvsem na vrstico server_name, kjer je zapisana naša domena v obliki nasadomena.eu in poddomena www.nasadomena.eu. Ustreznost konfiguracije nato preverimo še z:
# nginx -t
Rezultat bi moral odražati:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
2 Pridobivanje SSL certifikata
Ko smo se prepričali o ustreznosti konfiguracije server blocks datoteke, lahko pričnemo z izdajo SSL certifikata. Postopek izdaje je sila preprost in tekstovno voden znotraj ukazne vrstice:
# certbot --nginx -d nasadomena.eu -d www.nasadomena.eu
Z zgornjim ukazom poženemo orodje certbot in mu naročimo, da prične s postopkom izdaje SSL certifkata za domeno nasadomena.eu in poddomeno www.nasadomena.eu. Orodje nas bo zatem vprašalo po:
– elektronskem naslovu za obvestila (npr. webmaster@nasadomena.eu),
– strinjanju s pogoji uporabe Let’s Encrypt certifikatov (a),
– pripravljenosti deliti elektronski naslov za Electronic Frontier Foundation (y ali n),
– možnosti samodejnega preusmerjanja prometa s HTTP na HTTPS povezavo (2 za preusmeritev oziroma 1 za “ne-preusmeritev”; omenjeno lahko poljubno spreminjamo tudi kasneje v nastavitvah NGINX strežnika).
Orodje certbot je privzeto nastavljeno tako, da se zažene dvakrat dnevno in preveri, ali je kateri izmed certifikatov na strežniku potreben obnovitve. Če je, ga samodejno obnovi.
Temu navkljub svetujem, da preverimo še delovanje mehanizma za obnavljanje certifikatov:
# certbot renew --dry-run
Z ukazom preprosto preverimo, ali bi se podaljšanje SSL certifikata(-ov) v tem trenutku uspešno izvedlo. Congratulations, all renewals succeeded. naznani, da certbot deluje nemoteno.
V kolikor smo pri izdaji SSL certifikata izbrali možnost samodejne preusmeritve prometa na strani s HTTP na HTTPS, bi nas moral obisk naslova http://nasadomena.eu/ samodejno preusmeriti na https://nasadomena.eu/.