In diesem Kapitel werde ich beschreiben, wie Sie Ihren Nginx-Server mit einem kostenlosen Let’s encrypt SSL-Zertifikat absichern können. Voraussetzung ist, dass Sie einen Domainnamen besitzen, der auf die IP des Servers zeigt, auf dem Sie Nginx installieren.
Installieren Sie Certbot, den Let’s Encrypt client, mit dem Sie ein kostenloses SSL-Zertifikat erhalten.
root:~# apt-get -y install certbot python-certbot-nginx
Nun fordern wir ein SSL-Zertifikat von let’s Encrypt mit dem nginx-Plugin von Certbot an.
root:~# certbot certonly --webroot -d www.example.com
Certbot wird Sie nach einer E-Mail-Adresse fragen, an die die Verlängerungsbenachrichtigungen gesendet werden sollen. Geben Sie hier eine gültige E-Mail-Adresse ein:
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): yourname@example.com
Akzeptieren Sie die Lizenzbestimmungen, indem Sie ‚A‘ eingeben.
-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A
Hier der weitere Dialog, der das SSL-Zertifikat anfordert.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for www.example.com
Select the webroot for www.example.com:
-------------------------------------------------------------------------------
1: Enter a new webroot
-------------------------------------------------------------------------------
Press 1 [enter] to confirm the selection (press 'c' to cancel): 1
Input the webroot for www.example.com: (Enter 'c' to cancel):/var/www/html
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2018-04-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run "certbot
renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Das neu erzeugte SSL-Zertifikat befindet sich in einem Unterordner von /etc/letsencrypt/live/
. Der genaue Pfad wird in der Certbot-Ausgabe angezeigt.