Nginx sécurisé avec Let's Encrypt sur Debian 9

Let's Encrypt est une autorité de certification ouverte et gratuite développée par Internet Security Research Group (ISRG). Aujourd'hui, presque tous les navigateurs font confiance aux certificats émis par Let's Encrypt.

Dans ce tutoriel, nous expliquerons comment utiliser l'outil Certbot pour obtenir un certificat SSL gratuit pour Nginx sur Debian 9. Nous montrerons également comment configurer Nginx pour utiliser le certificat SSL et activer HTTP / 2.

Conditions préalables

Assurez-vous que les conditions préalables suivantes sont remplies avant de poursuivre ce didacticiel:

• Connecté en tant qu'utilisateur avec les privilèges sudo. Avoir un nom de domaine pointant vers l'IP de votre serveur public. Nous utiliserons example.com . Installez Nginx en suivant ces instructions. Vous disposez d'un bloc serveur pour votre domaine. Vous pouvez suivre ces instructions pour savoir comment en créer un.

Installer Certbot

Certbot est un outil complet et facile à utiliser qui peut automatiser les tâches d'obtention et de renouvellement des certificats SSL Let's Encrypt et configurer les serveurs Web pour utiliser les certificats. Le paquet certbot est inclus dans les référentiels Debian par défaut.

Mettez à jour la liste des packages et installez le package certbot:

sudo apt update sudo apt install certbot

Générer un groupe Strong Dh (Diffie-Hellman)

L'échange de clés Diffie – Hellman (DH) est une méthode d'échange sécurisé de clés cryptographiques sur un canal de communication non sécurisé. Nous allons générer un nouvel ensemble de paramètres DH à 2048 bits pour renforcer la sécurité:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Si vous le souhaitez, vous pouvez modifier la taille jusqu'à 4096 bits, mais dans ce cas, la génération peut prendre plus de 30 minutes selon l'entropie du système.

Obtention d'un certificat SSL Let's Encrypt

Pour obtenir un certificat SSL pour notre domaine, nous allons utiliser le plugin Webroot qui fonctionne en créant un fichier temporaire pour valider le domaine demandé dans le ${webroot-path}/.well-known/acme-challenge . Le serveur Let's Encrypt envoie des requêtes HTTP au fichier temporaire pour valider que le domaine demandé est résolu sur le serveur sur lequel s'exécute certbot.

Nous allons mapper toutes les requêtes HTTP pour .well-known/acme-challenge dans un seul répertoire, /var/lib/letsencrypt .

Les commandes suivantes créeront le répertoire et le rendront accessible en écriture pour le serveur Nginx.

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

Pour éviter la duplication de code, créez les deux extraits suivants qui seront inclus dans tous nos fichiers de blocage de serveur Nginx.

Ouvrez votre éditeur de texte et créez le premier extrait, letsencrypt.conf :

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

Créez le deuxième extrait ssl.conf qui inclut les déchiqueteurs recommandés par Mozilla, active l'agrafage OCSP, HTTP Strict Transport Security (HSTS) et applique peu d'en-têtes HTTP axés sur la sécurité.

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Une fois cela fait, ouvrez le fichier de blocage du serveur de domaine et incluez l'extrait letsencrypt.conf comme indiqué ci-dessous:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Activez le nouveau bloc serveur en créant un lien symbolique vers le répertoire sites-enabled pour les sites-enabled :

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Redémarrez le service Nginx pour que les modifications prennent effet:

sudo systemctl restart nginx

Vous pouvez maintenant exécuter Certbot avec le plugin webroot et obtenir les fichiers de certificat SSL en émettant:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si le certificat SSL est obtenu avec succès, le message suivant sera imprimé sur votre terminal:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Ensuite, modifiez le bloc de serveur de domaine comme suit:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Avec la configuration ci-dessus, nous forçons HTTPS et redirige de la version www vers la version non www.

Rechargez le service Nginx pour que les modifications prennent effet:

sudo systemctl reload nginx

Renouvellement automatique du certificat SSL Let's Encrypt

Les certificats de Let's Encrypt sont valables 90 jours. Pour renouveler automatiquement les certificats avant leur expiration, le package certbot crée un cronjob qui s'exécute deux fois par jour et renouvelle automatiquement tout certificat 30 jours avant son expiration.

Puisque nous utilisons le plug-in certbot webroot une fois le certificat renouvelé, nous devons également recharger le service nginx. Ajoutez --renew-hook "systemctl reload nginx" au fichier /etc/cron.d/certbot pour qu'il ressemble à ceci:

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Testez le processus de renouvellement automatique, en exécutant cette commande:

sudo certbot renew --dry-run

S'il n'y a pas d'erreur, cela signifie que le processus de renouvellement a réussi.

Conclusion

Avoir un certificat SSL est un must de nos jours. Il sécurise votre site Web, augmente la position de classement SERP et vous permet d'activer HTTP / 2 sur votre serveur Web.

Dans ce didacticiel, vous avez utilisé le client Let's Encrypt, certbot pour générer des certificats SSL pour votre domaine. Vous avez également créé des extraits de code Nginx pour éviter la duplication de code et configuré Nginx pour utiliser les certificats. À la fin du didacticiel, vous avez configuré un cronjob pour le renouvellement automatique des certificats.

nginx debian chiffrons certbot ssl

Ce message fait partie de Comment installer la pile LEMP sur la série Debian 9.

Autres articles de cette série:

• Comment installer MariaDB sur Ubuntu 18.04 • Comment installer Nginx sur Debian 9 • Comment installer PHP sur Debian 9 • Comment configurer les blocs serveur Nginx sur Debian 9 • Sécuriser Nginx avec Let's Encrypt sur Debian 9