# Настройка https (nginx) # Установка https, получение сертификата letsencrypt Данный способ предназначен для настройки https, когда к этому компьютеру есть прямой доступ в Интернет через ***выделенный IP*** и nginx расположен на компьютере, где и CSP. Доступ к этому IP не должен быть ограничен из Интернет ## Регистрация домена Необходимо иметь доступ к настройке любого Интернет домена. (Наша компания может выдать домен вида XXX.csp.carabisol.ru) В NS сервере этого домена необходимо прописать в A запись адрес сервера с CSP. ## Установка nginx (Debian 12) Сервер nginx используется для создания безопасного соединения (HTTPS) с сервером ``` apt install nginx rm /etc/nginx/sites-enabled/default ``` Вначале настраивается без шифрования: /etc/nginx/sites-available/csp ``` server { listen 80; listen [::]:80; server_name mysite.ru; error_log /var/log/nginx/csp-error.log warn; location / { #Websocket support proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $http_connection; proxy_http_version 1.1; #Proxy client_max_body_size 100m; add_header X-Served-By $host; proxy_set_header Host $host; proxy_set_header X-Forwarded-Scheme $scheme; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } location ^~ /.well-known/acme-challenge/ { default_type "text/plain"; root /var/www/acme; } } ``` ``` ln -s /etc/nginx/sites-available/csp /etc/nginx/sites-enabled/csp service nginx restart ``` ## LetsEncrypt Установить и получить сертификат: ``` apt install certbot python3-certbot-nginx certbot --nginx --agree-tos --register-unsafely-without-email -v -d [домен] ``` Сообщение при успешном получении сертификата: ``` Deploying certificate Successfully deployed certificate for [домен] to /etc/nginx/sites-enabled/csp Congratulations! You have successfully enabled HTTPS on https://[домен] ``` ### Автопродление сертификата ``` cat << EOT >> /etc/systemd/system/certbot-renew.service [Unit] Description=Certbot Renewal Service After=network-online.target [Service] Type=oneshot ExecStart=/usr/bin/certbot renew --quiet --nginx EOT ``` ``` cat << EOT >> /etc/systemd/system/certbot-renew.timer [Unit] Description=Timer for Certbot Renewal [Timer] OnCalendar=*-*-* 03:00:00 RandomizedDelaySec=3600 Persistent=true [Install] WantedBy=timers.target EOT ``` ``` systemctl daemon-reload systemctl enable certbot-renew.timer systemctl start certbot-renew.timer systemctl status certbot-renew.timer ``` # Установка https без сертификации (самоподписной сертификат) При использовании самоподписного сертификата, ничего не требуется, однако: - Соединение не является безопасным - Браузер будет выдавать предупреждения, необходимо добавить исключение - Нельзя использовать CSP, как PWA приложение - Использовать CSP Client можно полноценно ## Самоподписной сертификат ``` export MYSITE=csp mkdir -p /etc/nginx/ssl/${MYSITE} openssl req -x509 -nodes -days 3650 -subj /C=CA/ST=None/L=NB/O=None/CN=${MYSITE} -newkey rsa:2048 -keyout /etc/nginx/ssl/${MYSITE}/ssl.key -out /etc/nginx/ssl/${MYSITE}/cert.crt ``` В MYSITE можно указать свой домен (напр. mysite.ru) ## Установка nginx ``` apt install nginx rm /etc/nginx/sites-enabled/default ``` Создать файл /etc/nginx/sites-enabled/csp ``` server { listen 80; listen [::]:80; error_log /var/log/nginx/csp-error.log warn; location / { #Websocket support proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $http_connection; proxy_http_version 1.1; #Proxy client_max_body_size 100m; add_header X-Served-By $host; proxy_set_header Host $host; proxy_set_header X-Forwarded-Scheme $scheme; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } location ^~ /.well-known/acme-challenge/ { default_type "text/plain"; root /var/www/acme; } listen 443 ssl; listen [::]:443 ssl; ssl_certificate /etc/nginx/ssl/csp/cert.crt; ssl_certificate_key /etc/nginx/ssl/csp/ssl.key; } ``` ``` ln -s /etc/nginx/sites-available/csp /etc/nginx/sites-enabled/csp service nginx restart ```