Получаем валидные сертификаты SSL от Let's Encrypt для NGINX
Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный некоммерческой организацией Internet Security Research Group (ISRG).
Центр сертификации Let’s Encrypt выдаёт валидные сертификаты SSL сроком действия на 90 дней. Мы также можем автоматизировать процесс продления сертификатов с помощью запланировщика задач cron.
Устанавливаем необходимые пакеты:
Ubuntu / Debian
apt install certbot python3-certbot-nginx -yRHEL
yum install certbot-nginx -yСоздадим конфигурацию для сайта newsite.com в NGINX:
vi /etc/nginx/conf.d/newsite_com.conf
server {
listen 80;
server_name newsite.com www.newsite.com;
#return 301 https://$host$request_uri;
root /usr/share/nginx/html;
index index.html;
location / {
deny all;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_error.log error;
access_log /var/log/nginx/newsite_com_access.log;
}Проверяем изменения на наличие ошибок и перечитываем конфиг:
nginx -t
nginx -s reloadЗапускаем скрипт для получения сертификата для домена newsite.com через плагин webroot:
certbot certonly -a webroot -w /usr/share/nginx/html --email adm@newsite.com --agree-tos -d newsite.com -d www.newsite.comПроверяем наличие сертификата в директории:
ls -l /etc/letsencrypt/live/Редактируем конфигурацию сайта:
vi /etc/nginx/conf.d/newsite_com.conf
server {
listen 80;
server_name newsite.com www.newsite.com;
return 301 https://$host$request_uri;
root /usr/share/nginx/html;
index index.html;
location / {
deny all;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_error.log error;
access_log /var/log/nginx/newsite_com_access.log;
}
server {
listen 443 ssl;
server_name newsite.com www.newsite.com;
ssl_certificate /etc/letsencrypt/live/newsite.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/newsite.com/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
root /usr/share/nginx/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_ssl_error.log error;
access_log /var/log/nginx/newsite_com_ssl_access.log;
}Проверяем изменения на наличие ошибок и перечитываем конфиг:
nginx -t
nginx -s reloadСоздадим скрипт для автоматического продления сертификатов:
vi /root/le-renew.sh
#!/bin/bash
certbot renewЗапланируем запуск скрипта на каждый месяц:
crontab -e
0 0 1 * * /root/le-renew.shДелаем скрипт исполняемым:
chmod u+x /root/le-renew.shНовость отредактировал: sobir - 17-10-2021, 11:38
Причина: Информация обновлена
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Салом, можно ещё создать файл в /etc/nginx/proxy_params, a потом добавить туда следующие строки:
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
после просто подключить в конфиге nginx:
proxy_pass https://your_backend;
include proxy_params;
на Ubuntu такой файл уже существует можно просто подключить
komronu
Можно ещё так:
1. Создаем отдельную сеть для наших контейнеров
docker network create zbx-net
2. Указываем сеть по умолчанию в docker-compose.yml
networks:
default:
name: zbx-net
external: true
sobir
Спасибо за отзыв, написал отдельную статью по установке и настройке Ansible
komronu
sobir
certbot certonly --force-renew -d newsite.com
sobir
