Cài đặt Let's Encrypt SSL trên AlmaLinux 8 với Nginx và sử dụng Certbot

Một số yêu cầu đầu tiên

Đăng nhập với tư cách người dùng không phải là root, nhưng có đặc quyền sudo và thiết lập tường lửa cơ bản. Bạn có thể kiểm tra bài viết thiết lập máy chủ ban đầu cho AlmaLinux 8.

Bạn cần cài đặt Nginx trên AlmaLinux 8 và thiết lập các khối máy chủ Nginx. Để làm điều này, bạn có thể truy cập bài viết của chúng tôi về Cách Cài Đặt Nginx trên AlmaLinux 8.

Ngoài ra, bạn cần có một tên miền đã đăng ký đầy đủ.

Khi bạn đã hoàn tất tất cả các yêu cầu này, bạn có thể bắt đầu bảo mật Nginx của mình với Let’s Encrypt trên AlmaLinux 8.

Từng bước cài đặt SSL cho Nginx bằng Certbot trên AlmaLinux 8

Cài Đặt Certbot Let’s Encrypt Client trên AlmaLinux 8

Mặc định, gói certbot không có sẵn trong quản lý gói DNF. Bạn cần kích hoạt kho lưu trữ EPEL.

Chạy lệnh sau để thêm kho lưu trữ EPEL trên AlmaLinux 8:

sudo dnf install epel-release

Bây giờ bạn có thể cài đặt tất cả các gói certbot với lệnh sau:

sudo dnf install certbot python3-certbot-nginx

Tại điểm này, bạn đã cài đặt được máy chủ Let’s Encrypt. Để có được các chứng chỉ, bạn cần cập nhật cài đặt tường lửa của mình trước.

Cập nhật cài đặt tường lửa trên AlmaLinux

Để kiểm tra xem đã kích hoạt dịch vụ nào, hãy chạy lệnh sau:

sudo firewall-cmd --permanent --list-all

Trong đầu ra của bạn, bạn sẽ thấy:

Output
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

Lưu ý: Nếu bạn không thấy HTTP và HTTPS trong danh sách dịch vụ của mình, hãy chạy các lệnh sau để kích hoạt chúng:

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

Để áp dụng các thay đổi này, tải lại tường lửa bằng lệnh sau:

sudo firewall-cmd --reload

Bây giờ bạn đã sẵn sàng để lấy chứng chỉ SSL của mình.

Nhận chứng chỉ SSL với Let’s Encrypt trên AlmaLinux 8

Ở đây, bạn có thể yêu cầu một chứng chỉ SSL cho tên miền của bạn.

Lưu ý: Nếu bạn muốn cài đặt một chứng chỉ đơn chỉ có hiệu lực cho nhiều tên miền hoặc tên miền con, bạn có thể truyền chúng như là tham số bổ sung cho lệnh.

Ở đây tên miền của chúng tôi là nginx.orcacore.net, bạn nên thay thế nó bằng tên miền của bạn trong các lệnh.

sudo certbot --nginx -d nginx.orcacore.net -d www.nginx.orcacore.net

Đối với một domain duy nhất, bạn có thể sử dụng:

sudo certbot --nginx -d nginx.orcacore.net

Bạn sẽ được yêu cầu nhập địa chỉ email của mình và sau đó đồng ý với các điều khoản dịch vụ.

Bây giờ gọi certbot mà không có bất kỳ tên miền nào để có thông tin về tên miền trong quá trình yêu cầu chứng chỉ:

sudo certbot --nginx

Bạn sẽ được yêu cầu chọn tên miền của mình, bạn có thể để trống để chọn cả hai hoặc nếu bạn sử dụng một tên miền duy nhất, hãy chọn một trong số chúng.

Sau đó, chọn Renew & replace the certificate.

Trong đầu ra của bạn, bạn sẽ thấy:

Output
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/nginx.orcacore.net/fullchain.pem
Key is saved at: /etc/letsencrypt/live/nginx.orcacore.net/privkey.pem
This certificate expires on 2021-12-25.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for nginx.orcacore.net to /etc/nginx/conf.d/nginx.orcacore.net.conf
Successfully deployed certificate for www.nginx.orcacore.net to /etc/nginx/conf.d/nginx.orcacore.net.conf
Your existing certificate has been successfully renewed, and the new certificate has been installed.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
* Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Donating to EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Tại điểm này, khi bạn đã sử dụng xong certbot, bạn có thể kiểm tra tình trạng chứng chỉ SSL của mình. Gõ đường link sau vào trình duyệt web của bạn:

Nhớ thay thế tên miền.

https://www.ssllabs.com/ssltest/analyze.html?d=nginx.orcacore.net

Ở đây, bạn sẽ nhận được một điểm A từ chứng chỉ SSL của mình. Đồng thời, bạn cũng có thể truy cập trang web của mình bằng cách sử dụng tiền tố HTTPs.

Bây giờ, bạn nên đổi mới chứng chỉ định kỳ để duy trì hoạt động của cài đặt này.

Hãy xem cách thực hiện điều đó.

Thiết lập tự động đổi mới cho chứng chỉ SSL trên AlmaLinux 8

Chứng chỉ Let’s Encrypt có hiệu lực trong 90 ngày, nhưng khuyến nghị rằng bạn nên đổi mới chúng mỗi 60 ngày.

Certbot tự động gia hạn Nginx

Bạn có thể kiểm tra tự động gia hạn chứng chỉ SSL bằng lệnh dưới đây:

sudo certbot renew --dry-run

Đầu ra của bạn nên tương tự như sau:

Output
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/nginx.orcacore.net.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Account registered.
Simulating renewal of an existing certificate for nginx.orcacore.net and www.nginx.orcacore.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
/etc/letsencrypt/live/nginx.orcacore.net/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Cũng an toàn để tạo một công việc cron chạy hàng tuần, hoặc thậm chí hàng ngày.

Để chỉnh sửa cron tab cho người dùng root, chạy lệnh sau:

sudo crontab -e

Sau đó, thêm dòng sau vào tệp trống:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew --quiet

Khi bạn hoàn thành, lưu và đóng tệp với ":wq".

Tại điểm này, bạn đã học cách cài đặt Certbot, công cụ khách Let’s Encrypt, tải xuống chứng chỉ SSL cho tên miền của bạn và thiết lập đổi mới tự động cho chứng chỉ.

Trong hướng dẫn này, bạn đã thành công trong quá trình cài đặt SSL cho Nginx trên hệ điều hành AlmaLinux 8, tạo ra một kết nối an toàn giữa người dùng và trang web của mình. Bằng cách sử dụng Certbot và Let's Encrypt, bạn không chỉ đảm bảo tính riêng tư và an ninh mà còn tự động hóa quá trình đổi mới chứng chỉ SSL của mình.

Mọi người cùng tìm kiếm: almalinux 8