Header Ads Widget

Ticker

6/recent/ticker-posts

Secure Nginx con Let's Encrypt en Ubuntu 20.04

Let's Encrypt es una autoridad de certificación abierta, automatizada y gratuita desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.

Los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.

Este tutorial explica cómo instalar un certificado SSL Let's Encrypt gratuito en Ubuntu 20.04, ejecutando Nginx como servidor web. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP/2.

requisitos previos

Antes de continuar, asegúrese de haber cumplido con los siguientes requisitos previos:

  • Tienes un nombre de dominio que apunta a tu IP pública. Usaremos example.com_
  • Tiene Nginx instalado en su servidor CentOS.
  • Su firewall está configurado para aceptar conexiones en los puertos 80 y 443.

Instalación de Certbot

Usaremos certbot para obtener y renovar los certificados.

Certbot es una herramienta completa y fácil de usar que automatiza las tareas para obtener y renovar los certificados SSL de Let's Encrypt y configurar los servidores web para usar los certificados.

El paquete certbot está incluido en los repositorios predeterminados de Ubuntu. Para instalarlo ejecuta los siguientes comandos:

sudo apt updatesudo apt install certbot

Generación de un fuerte grupo Dh (Diffie-Hellman)

El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.

Genere un nuevo conjunto de parámetros DH de 2048 bits escribiendo el siguiente comando:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

También puede utilizar una longitud de clave de hasta 4096 bits, pero la generación puede tardar más de 30 minutos, según la entropía del sistema.

Obtener un certificado SSL de Let's Encrypt

Para obtener un certificado SSL para el dominio, vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challengedirectorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para verificar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Para hacerlo más simple, vamos a asignar todas las solicitudes HTTP .well-known/acme-challengea un solo directorio, /var/lib/letsencrypt.

Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx:

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

Para evitar la duplicación de código, crearemos dos fragmentos y los incluiremos en todos los archivos de bloque del servidor Nginx.

Abra su editor de texto y cree el primer fragmento letsencrypt.conf:

sudo nano /etc/nginx/snippets/letsencrypt.conf
/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

A continuación, cree el segundo fragmento, ssl.confque incluye los chippers recomendados por Mozilla , habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.

sudo nano /etc/nginx/snippets/ssl.conf
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

Una vez que se crean los fragmentos, abra el archivo de bloque del servidor de dominio e incluya el letsencrypt.conffragmento como se muestra a continuación:

sudo nano /etc/nginx/sites-available/example.com.conf
/etc/nginx/sitios-disponibles/ejemplo.com.conf
server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

Para habilitar el nuevo bloque del servidor, cree un enlace simbólico desde el archivo al sites-enableddirectorio:

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

Reinicie el servicio Nginx para que los cambios surtan efecto:

sudo systemctl restart nginx

Ahora puede ejecutar Certbot con el complemento webroot y obtener los archivos del certificado SSL emitiendo:

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-10-18. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Ahora que tiene los archivos de certificado, puede editar su bloque de servidor de dominio de la siguiente manera:

sudo nano /etc/nginx/sites-available/example.com.conf
/etc/nginx/sitios-disponibles/ejemplo.com.conf
server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

Con la configuración anterior, estamos forzando HTTPS y redirigiendo de la versión www a la no www.

Vuelva a cargar el servicio Nginx para que los cambios surtan efecto:

sudo systemctl reload nginx

Para verificar que el certificado SSL se instaló correctamente, abra su sitio web usando https://y verá un ícono de candado verde.

Si prueba su dominio con SSL Labs Server Test , obtendrá una A+calificación, como se muestra en la imagen a continuación:

Renovación automática del certificado Let's Encrypt SSL

Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un cronjob y un temporizador systemd. El temporizador renovará automáticamente los certificados 30 días antes de su vencimiento.

Cuando se renueva el certificado, se debe volver a cargar el servicio nginx. Abra el /etc/letsencrypt/cli.iniy agregue la siguiente línea:

sudo nano /etc/letsencrypt/cli.ini
/etc/cron.d/certbot
deploy-hook = systemctl reload nginx

Para probar el proceso de renovación, ejecute el comando certbot --dry-run:

sudo certbot renew --dry-run

Si no hay errores, significa que el proceso de renovación fue exitoso.

Conclusión

Le mostramos cómo usar el certbot para descargar los certificados SSL de Let's Encrypt para su dominio. También creamos fragmentos de Nginx para evitar la duplicación de código y configuramos Nginx para usar los certificados.

Para obtener más información sobre cómo usar Certbot, visite su documentación .

Si tiene alguna pregunta o comentario, no dude en dejar un comentario.

Publicar un comentario

0 Comentarios