Содержимое статьи:

• Введение
• Получение SSL-сертификата
• Установка Certbot
• Получение сертификата
• Настройка Nginx для HTTPS
• Бэкап конфигурации
• Конфигурационный файл
• Проверка и перезапуск Nginx
• Автоматическое обновление сертификатов
• FAQ

Введение

Настройка HTTPS обеспечивает безопасное соединение между клиентом и сервером, шифруя передаваемые данные. Это важно для защиты личной информации и повышения доверия пользователей. Процесс включает получение SSL-сертификата, его установку и настройку Nginx.

Получение SSL-сертификата

Бесплатные сертификаты: от Let's Encrypt, их можно установить автоматически с помощью Certbot.
Платные сертификаты: приобретаются у сертифицирующих центров, требуют ручной установки.

Установка Certbot

1. Обновление системы:
   

   sudo apt update

2. Установка Certbot:
   

   sudo apt install certbot python3-certbot-nginx

   Получение сертификата

   Запуск команды для автоматической настройки с Nginx:

   sudo certbot --nginx

   Следование инструкциям: ввод email, согласие с условиями.

   Настройка Nginx для HTTPS

   Бэкап конфигурации

   Перед изменениями рекомендуется сделать копию текущего файла конфигурации:

   sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/default.bak

   Конфигурационный файл

   Пример базовой настройки:

   server {
   
   listen 80;
   
   server_name example.com www.example.com;
   
   return 301 https://$host$request_uri;
   
   }
   
   server {
   
   listen 443 ssl;
   
   server_name example.com www.example.com;
   
   ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
   
   ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
   
   ssl_protocols TLSv1.2 TLSv1.3;
   
   ssl_ciphers HIGH:!aNULL:!MD5;
   
   root /var/www/html;
   
   index index.html index.htm;
   
   location / {
   
   try_files $uri $uri/ =404;
   
   }
   
   }

   Перенаправление с HTTP на HTTPS реализовано через первый блок.
   Путь к сертификатам зависит от доменного имени.

   Проверка и перезапуск Nginx

3. Проверка конфигурации:
   

   sudo nginx -t

4. Перезапуск сервера:
   

   sudo systemctl reload nginx

   Автоматическое обновление сертификатов

   Запускать команду для обновления сертификатов (например, дважды в день):

   sudo certbot renew --dry-run

   Добавить в cron или systemd для автоматизации.

   FAQ

   1. Можно ли использовать самоподписанный сертификат?
   Да, но он не будет доверенным для пользователей, браузеры показывают предупреждения.
   2. Что делать, если Certbot не удается установить сертификат?
   Проверьте DNS-записи, наличие порта 80 и 443, а также правильность настроек брандмауэра.
   3. Можно ли использовать один SSL-сертификат для нескольких доменов?
   Да, через так называемый SAN-сертификат.
   4. Как повысить безопасность SSL-соединения?
   Использовать современные протоколы TLS, отключить устаревшие версии, задействовать HSTS.
   5. Есть ли альтернатива Certbot?
   Да, можно вручную установить сертификаты или использовать другие инструменты автоматизации.