如何使用 Nginx 和 Certbot 创建一个安全的 Web 服务器

系统 Linux
我们可以使用 certbot 和 nginx 来部署一个基于 https 的 web 服务器。今天我们就来介绍一下这方面相关的内容。

https 应用越来越普遍,现在大多数 web 服务器都使用了 https。

Let's Encrypt 项目可以让我们免费部署 SSL 证书,但是需要每隔几个月更新一次。

Certbot 又帮助我们省去了这个麻烦,它可以自动部署新证书和续订现有证书。

我们可以使用 certbot 和 nginx 来部署一个基于 https 的 web 服务器。今天我们就来介绍一下这方面相关的内容,主要包括:

  • 安装 Nginx;
  • Nginx 配置;
  • 安装和使用 certbot。

我们首先来看一下安装 nginx。

1,安装 nginx(以 Ubuntu 系统为例)

在 Ubuntu 中可以使用如下命令安装 nginx:

sudo apt install nginx

安装完成后,检查一下是否安装成功,可以使用查看 nginx 版本的命令,如下:

nginx -v

图片

启动以及设置 nginx 自启动,可以使用如下命令:

sudo systemctl start nginx && sudo systemctl enable nginx

然后配置防火墙(Ubuntu 中使用的 UFW),使 nginx 可以通过防火墙:

sudo ufw allow 'nginx full'

2,配置 nginx

配置 nginx 中的server模块,首先创建一个文件夹,用于存放 web 服务的页面文件,如下所示:

sudo mkdir -p /var/www/sudoersagar.de/html

注:上述命令中sudoersagar.de为示例域名,大家可按自己的需求命名文件夹。

接下来,使用 chown 命令将目录的所有者更新为当前用户:

sudo chown -R $USER:$USER /var/www/sudoersagar.de/html

然后使用 chmod 命令更改目录的权限:

sudo chmod -R 755 /var/www/sudoersagar.de

再然后,我们创建一个简单的 html 页面:

vim /var/www/sudoersagar.de/html/index.html

编辑如下内容:

<html>
<head>
<title>Greetings from Sagar Sharma</title>
</head>
<body>
<h1>Success! The sudoersagar server block is working!</h1>
</body>
</html>

保存然后退出文本编辑器。

接下来,创建一个名为 sites-enabled 的文件夹:

sudo mkdir /etc/nginx/sites-enabled

然后创建一个简单的 nginx 服务器模块:

vim /etc/nginx/sites-available/sudoersagar.de

内容如下:

server {
listen 80;
root /var/www/sudoersagar.de/html;
index index.html;
server_name sudoersagar.de www.sudoersagar.de;
location / {
try_files $uri $uri/ =404;
}
}

至于上述文件的用途,可参考下图所示:

图片

要使网站能够访问,还需要创建一个 从 sites-available 到 sites-enabled 的软连接,如下所示:

sudo ln -s /etc/nginx/sites-available/sudoersagar.de /etc/nginx/sites-enabled/

然后使用如下命令测试:

sudo nginx -t

图片

然后重启 nginx:

sudo nginx -s reload

3,创建 DNS A 记录

通过 DNS A 记录,可以使用 nginx 公共 IP 地址映射域。对于大多数供应商来说,这个过程非常简单。在这里,我使用的是谷歌域名:

图片

选择:

  • Type 选择 A;
  • TTL(Time To Live)选择 300
  • 在 data 属性中添加 公网 IP 地址;
  • www 主机名执行相同的选项。

保存设置。上述设置起作用,需要几分钟的时间。

然后使用 dig 命令来检查域名:

dig sudoersagar.de

图片

如果它已启动并正在运行,它将显示在域中使用的 IP 地址。

4,设置 certbot

接下来我们使用 snaps(Canonical开发的包管理器)来设置 certbot。

第一步是删除 Ubuntu 系统中已有的 certbot 包:

sudo apt remove certbot

但是如果你使用的是 Ubuntu 以外的其他软件,则需要手动配置 snaps,可参照如下手册:

https://itsfoss.com/install-snap-linux/?ref=linux-handbook

安装完成后,使用以下命令安装 certbot:

sudo snap install --classic certbot

最后,创建一个指向certbot目录的符号链接:

sudo ln -s /snap/bin/certbot /usr/bin/certbot

检查安装:

certbot --version

图片

5,安装 certificates

每周最多可以申请 50 个证书,因此在初始安装测试阶段,可以使用测试证书。

安装测试证书,可使用如下命令:

sudo certbot --nginx --test-cert

执行上述命令,会要求键入如下问题:

1)输入电子邮件地址以接收系统消息;

2)使用提供的链接地址下载使用条款文件(pdf),如果统一,按 Y 键并回车;

3)订阅邮件列表是可选的,你可以通过该列表接收时事通讯;

4)它将列出请求的可用域名。你可以手动选择一个或两个。如果你想要列出的每个域的证书,请将其留空,然后点击回车键。

图片

如果一切顺利,没有发生错误,那么可以继续安装正式证书:

sudo certbot --nginx

要求确认的问题跟测试证书差不多,除了会多出一个不同的问题:

由于我们已经安装了测试证书,因此有两个选择:

1)重新安装现有证书(在本例中是测试证书);

2)续订和更换证书。

执行第二种情况,如下图:

图片

这样就完成了,可以使用 https 访问网站了:

图片

Certbot 计划每12小时运行一次,如果现有证书过期,它将续订证书。您可以使用以下方法检查时间:

systemctl list-timers

图片

如果要手动更新,可使用如下命令:

sudo certbot renew


责任编辑:庞桂玉 来源: TIAP
相关推荐

2010-03-12 10:48:03

2021-11-24 08:00:00

服务器Web系统

2018-02-27 10:43:59

2020-04-15 20:57:57

NginxWeb服务器

2017-12-27 10:18:09

ApacheNginx服务器

2014-04-14 15:54:00

print()Web服务器

2022-09-20 08:43:37

Go编程语言Web

2019-12-30 16:03:54

Web服务器Nginx

2019-05-08 14:37:49

Web服务器HTTP

2017-03-14 09:22:05

2022-02-22 11:57:32

BOAWeb服务器

2022-12-13 07:40:33

LinuxWeb服务器

2020-10-29 16:00:03

Node.jsweb前端

2017-05-24 12:30:34

2016-08-10 16:28:00

WebURLHTTP

2018-08-07 08:54:18

2010-03-30 16:59:12

Nginx Web服务

2012-08-24 15:13:34

2017-08-03 10:36:08

UbuntuCertbotNGINX

2018-10-23 09:58:23

ApacheNGINXWeb
点赞
收藏

51CTO技术栈公众号