Cài đặt Let's Encrypt SSL trên AlmaLinux 9 với Nginx và sử dụng Certbot

Một chứng chỉ SSL cung cấp hai phần chính: mã hóa và xác nhận. Mã hóa đảm bảo rằng lưu lượng điều hướng đến và từ trang web của bạn diễn ra qua một kết nối an toàn và được mã hóa, ngăn chặn bên thứ ba độc hại từ việc chặn dữ liệu, ví dụ.

Xác nhận có nghĩa là một tổ chức chứng chỉ độc lập kiểm tra xem một tên miền có thực sự thuộc sở hữu của người hoặc tổ chức đang yêu cầu hay không. Mức độ xác nhận càng cao, đảm bảo bạn đang giao tiếp với người chính họ.

Let’s Encrypt, như tên gọi, có mục tiêu chính là mã hóa thông tin. Họ chỉ cung cấp chứng chỉ SSL, bao gồm Xác nhận Tên Miền. Với các chứng chỉ SSL mà họ phát hành, không có dữ liệu tổ chức của người nộp đơn được kiểm tra, như làm với SSL Tổ chức và SSL Mở Rộng.

Yêu cầu đầu tiên 

1. Đăng nhập với tư cách người dùng không phải là root có đặc quyền sudo và thiết lập tường lửa cơ bản. Bạn có thể kiểm tra bài viết thiết lập máy chủ ban đầu cho AlmaLinux 9.

2. Bạn cần cài đặt Nginx trên AlmaLinux 9 và thiết lập các khối máy chủ của Nginx. Để làm điều này, bạn có thể truy cập bài viết của chúng tôi về Cách Cài Đặt Nginx trên AlmaLinux 9.

3. Bạn cũng cần một tên miền đã đăng ký đầy đủ.

Khi bạn đã hoàn tất những yêu cầu này, bạn có thể bắt đầu tạo chứng chỉ ssl miễn phí với Let's Encrypt với Nginx trên AlmaLinux 9.

Các bước để tạo chứng chỉ ssl miễn phí với Let's Encrypt cùng Nginx trên AlmaLinux 9

Cài đặt Certbot Let’s Encrypt Client trên AlmaLinux 9

Mặc định, gói certbot không có sẵn trong quản lý gói DNF. Bạn cần bật kho lưu trữ EPEL.

Chạy lệnh sau để thêm kho lưu trữ EPEL trên AlmaLinux 9:

sudo dnf install epel-release -y

Bây giờ bạn có thể cài đặt tất cả các gói certbot với lệnh sau:

sudo dnf install certbot python3-certbot-nginx -y

Tại điểm này, bạn đã cài đặt được client Let’s Encrypt. Để nhận chứng chỉ, bạn cần cập nhật cài đặt tường lửa trước tiên.

Để kiểm tra xem các dịch vụ nào đã được bật, hãy chạy lệnh sau:

sudo firewall-cmd --permanent --list-all

Trong đầu ra, bạn sẽ thấy:

public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client http https ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

Lưu ý: Nếu bạn không thấy HTTP và HTTPS trong danh sách dịch vụ của mình, hãy chạy các lệnh sau để kích hoạt chúng:

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

Để áp dụng những thay đổi này, làm mới tường lửa với lệnh sau:

sudo firewall-cmd --reload

Bây giờ bạn đã sẵn sàng nhận chứng chỉ SSL từ Let’s Encrypt trên AlmaLinux 9.

Cách nhận chứng chỉ SSL trên AlmaLinux 9

Ở đây, bạn có thể yêu cầu chứng chỉ SSL cho tên miền của bạn.

Lưu ý: Nếu bạn muốn cài đặt một chứng chỉ duy nhất hợp lệ cho nhiều tên miền hoặc phụ tên miền, bạn có thể truyền chúng như các tham số bổ sung cho lệnh.

Ở đây, tên miền của chúng tôi là nginx.orcacore.net, bạn nên thay thế nó bằng tên miền của bạn trong các lệnh.

sudo certbot --nginx -d nginx.orcacore.net -d www.nginx.orcacore.net

Đối với một tên miền duy nhất, bạn có thể sử dụng:

sudo certbot --nginx -d nginx.orcacore.net

Bạn sẽ được yêu cầu nhập địa chỉ email và sau đó đồng ý với các điều khoản dịch vụ.

Trong đầu ra của bạn, bạn sẽ thấy:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/nginx.orcacore.net/fullchain.pem
Key is saved at: /etc/letsencrypt/live/nginx.orcacore.net/privkey.pem
This certificate expires on 2022-12-27.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for nginx.orcacore.net to /etc/nginx/conf.d/nginx.orcacore.net.conf
Successfully deployed certificate for www.nginx.orcacore.net to /etc/nginx/conf.d/nginx.orcacore.net.conf
Your existing certificate has been successfully renewed, and the new certificate has been installed.

Tại điểm này, khi bạn đã sử dụng xong certbot, bạn có thể kiểm tra tình trạng chứng chỉ SSL của mình từ Let’s Encrypt trên AlmaLinux 9. Gõ liên kết sau vào trình duyệt web của bạn:

https://www.ssllabs.com/ssltest/analyze.html?d=nginx.orcacore.net

Ở đây, bạn sẽ nhận được điểm A từ chứng chỉ SSL của mình. Bạn cũng có thể truy cập trang web của mình bằng cách sử dụng tiền tố HTTPs.

Bây giờ, bạn nên đổi mới chứng chỉ định kỳ để duy trì cài đặt này hoạt động.

Cách thiết lập tự động đổi mới cho chứng chỉ SSL

Chứng chỉ Let's Encrypt có thời hạn 90 ngày, nhưng khuyến nghị đổi mới chúng mỗi 60 ngày.

Bạn có thể kiểm thử đổi mới tự động cho chứng chỉ của mình với lệnh sau:

sudo certbot renew --dry-run

Đầu ra của bạn nên tương tự như sau:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/nginx.orcacore.net.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Account registered.
Simulating renewal of an existing certificate for nginx.orcacore.net and www.nginx.orcacore.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
/etc/letsencrypt/live/nginx.orcacore.net/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Cũng an toàn để tạo một công việc cron chạy mỗi tuần, hoặc thậm chí mỗi ngày.

Để chỉnh sửa crontab cho người dùng root, chạy lệnh sau:

sudo crontab -e

Sau đó, thêm dòng sau vào tập tin trống:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew --quiet

Khi bạn hoàn thành, lưu và đóng tập tin với ":wq".

Tại điểm này, bạn đã học cách cài đặt Client Let’s Encrypt Certbot, tải xuống chứng chỉ SSL cho tên miền của bạn và thiết lập tự động đổi mới chứng chỉ.

Mọi người cùng tìm kiếm: certbot, almalinux 9