Установка https, получение сертификата letsencrypt
Данный способ предназначен для настройки https, когда к этому компьютеру есть прямой доступ в Интернет через выделенный IP и nginx расположен на компьютере, где и CSP.
Доступ к этому IP не должен быть ограничен из Интернет
Регистрация домена
Необходимо иметь доступ к настройке любого Интернет домена. (Наша компания может выдать домен вида XXX.csp.carabisol.ru)
В NS сервере этого домена необходимо прописать в A запись адрес сервера с CSP.
Установка nginx (Debian 12)
Сервер nginx используется для создания безопасного соединения (HTTPS) с сервером
apt install nginx
rm /etc/nginx/sites-enabled/default
Вначале настраивается без шифрования:
/etc/nginx/sites-available/csp
server {
listen 80;
listen [::]:80;
server_name mysite.ru;
error_log /var/log/nginx/csp-error.log warn;
location / {
#Websocket support
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;
#Proxy
client_max_body_size 100m;
add_header X-Served-By $host;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://127.0.0.1:8080;
}
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/acme;
}
}
ln -s /etc/nginx/sites-available/csp /etc/nginx/sites-enabled/csp
service nginx restart
LetsEncrypt
Установить и получить сертификат:
apt install certbot python3-certbot-nginx
certbot --nginx --agree-tos --register-unsafely-without-email -v -d [домен]
Сообщение при успешном получении сертификата:
Deploying certificate
Successfully deployed certificate for [домен] to /etc/nginx/sites-enabled/csp
Congratulations! You have successfully enabled HTTPS on https://[домен]
Автопродление сертификата
cat << EOT >> /etc/systemd/system/certbot-renew.service
[Unit]
Description=Certbot Renewal Service
After=network-online.target
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --nginx
EOT
cat << EOT >> /etc/systemd/system/certbot-renew.timer
[Unit]
Description=Timer for Certbot Renewal
[Timer]
OnCalendar=*-*-* 03:00:00
RandomizedDelaySec=3600
Persistent=true
[Install]
WantedBy=timers.target
EOT
systemctl daemon-reload
systemctl enable certbot-renew.timer
systemctl start certbot-renew.timer
systemctl status certbot-renew.timer
No Comments