Установка nginx для https, получение сертификата letsencrypt
В разных локальных сетях, имеются разные ограничения.
Данный способ предназначен для настройки https, когда к этому компьютеру есть прямой доступ в Интернет через выделенный IP и nginx расположен на компьютере, где и CSP.
Регистрация домена
Необходимо иметь доступ к настройке любого Интернет домена. (Наша компания может выдать домен вида XXX.csp.carabisol.ru)
В NS сервере этого домена необходимо прописать в A запись адрес сервера с CSP.
Переключение CSP на 8080 порт
Установка nginx (Debian 12)
Настройка nginx
Без шифрования:
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
resolver 127.0.0.11 ipv6=off;
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
set $csp_address "127.0.0.1:8080";
set $csp_domain "mysite.ru";
listen 80;
listen [::]:80;
server_name $csp_domain;
error_log /var/log/nginx/csp-error.log warn;
location / {
#Websocket support
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;
#Proxy
client_max_body_size 100m;
add_header X-Served-By $host;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://$csp_address$request_uri;
}
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/acme;
}
}
}
Для получения сертификата:
server {
listen 80;
listen [::]:80;
server_name mydomain.ru;
error_log /var/logs/nginx/error.log warn;
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/letsencrypt;
}
}
Когда сертификат получен:
server {
set $csp_address "127.0.0.1";
listen 443 ssl;
listen [::]:443 ssl;
server_name mydomain.ru;
error_log /var/logs/nginx/csp-error.log warn;
location / {
#Websocket support
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;
# Let's Encrypt SSL
include conf.d/include/letsencrypt-acme-challenge.conf;
include conf.d/include/ssl-ciphers.conf;
ssl_certificate /etc/letsencrypt/live/xxxx/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxxx/privkey.pem;
#Proxy
client_max_body_size 512m;
add_header X-Served-By $host;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://$csp_address:80$request_uri;
}
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/letsencrypt;
}
}
Самоподписной сертификат
MYSITE=mysite.ru
mkdir -p /etc/nginx/ssl/${MYSITE}
openssl req -x509 -nodes -days 3650 -subj /C=CA/ST=None/L=NB/O=None/CN=${MYSITE} -newkey rsa:2048 -keyout /etc/nginx/ssl/${MYSITE}/ssl.key -out /etc/nginx/ssl/${MYSITE}/cert.crt
Ответить на вопросы, в CommonName указать свой домен (напр. mysite.ru) Добавить в конец блока server
listen 443 ssl;
listen [::]:443 ssl;
# SSL certificate and key paths
ssl_certificate /etc/nginx/ssl/mysite.ru/cert.crt;
ssl_certificate_key /etc/nginx/ssl/mysite.ru/ssl.key;
# Optional: SSL protocol and ciphers for enhanced security
# ssl_protocols TLSv1.2 TLSv1.3;
# ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
# ssl_prefer_server_ciphers on;