Bup bip bop… iniciando secuencia 42…
¡Llegaron los robots! Han tomado el control y tradujeron esta página a tu idioma local. Sus corazoncitos de metal solo tienen las mejores intenciones. ¡Quieren ayudar! Dinos si están haciendo un buen trabajo con los botones al final de la página. Ve a la versión en inglés

Instalar un vamos a cifrar SSL (Nginx)

Puede agregar un certificado SSL para cifrar vamos a cualquier sitio Web alojado en el servidor. Puede obtener más información sobre sus certificados SSL y vamos a cifrar en su sitio Web.

Debe renovar los certificados de SSL para cifrar vamos cada 90 días, de lo contrario el certificado caducará y su sitio Web generarán errores.

Requisitos previos

En este artículo se supone un par de cosas:

Instalar la aplicación vamos a cifrar

  1. Conectarse al servidor mediante SSH (Mac/Windows)
  2. Clonar el programa vamos a cifrar desde Git:
    sudo git clone https://github.com/letsencrypt/letsencrypt
  3. Mover a la letsencrypt directorio:
    cd letsencrypt
  4. Instalar la aplicación letsencrypt:
    ./letsencrypt-auto

Crear un certificado

  1. Cree una variable de dominios para las direcciones URL que desea proteger (también conocido como son nombres comunes):
    export DOMAINS="your domain name,www.your domain name"
  2. Cree una variable DIR que almacena la raíz del sitio Web (estamos suponiendo que ha utilizado nuestra guía para crear bloques de servidor NGINX):
    export DIR=/usr/share/nginx/your domain name
  3. Crear un certificado:
    ~/letsencrypt/letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path=$DIR -d $DOMAINS
  4. Introduzca su dirección de correo electrónico y, a continuación, presione ENTRAR.
  5. Acepta términos de vamos a cifrar.

En la sección de Notas importantes , en la primera viñeta, la aplicación letsencrypt indica donde se almacena el certificado. Asegúrese de que tenga en cuenta esta ubicación porque lo necesitará más adelante. Debe ser algo parecido a esto:

/etc/letsencrypt/live/your domain name/fullchain.pem

Configurar NGINX para tráfico SSL

  1. Detener el proceso NGINX:
    sudo service nginx stop
    Después de ejecutar este comando, sitios Web en el servidor dejarán de funcionar hasta que se reinicie NGINX después de instalar el certificado SSL.
  2. Abra el archivo de configuración de su sitio Web NGINX:
    sudo vim /etc/nginx/sites-available/default
    .. .o si ha configurado los bloques de servidor NGINX:
    sudo vim /etc/nginx/sites-available/your domain name
  3. Elimine las dos líneas siguientes de la primera server bloque:
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
  4. Agregar, editar o asegúrese de que tiene las siguientes líneas (ninguna de las líneas debe ser duplicados):
    listen 443 ssl;
    your domain name www.your domain name;
    ssl_certificate /etc/letsencrypt/live/your domain name/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your domain name/privkey.pem;
    Las dos directivas a partir de ssl_ debe utilizar el valor que obtuvo del resultado de la aplicación letsencrypt (sección Notas importantes) al crear el certificado.
  5. Agregue las siguientes líneas en su bloque de servidor para evitar que los problemas de seguridad mediante los protocolos de seguridad más débiles:
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
  6. Fuera de la server Agregar un nuevo bloque que ha estado utilizando, server bloque para redirigir todo el tráfico que no sea HTTPS a HTTP:
    server {
        listen 80;
        your domain name www.your domain name;
        return 301 https://$host$request_uri;
    }
  7. Guarde y cierre el archivo:
    :wq!

No se moleste en reiniciar NGINX aún - haremos todo lo una vez que acepte el contrato de suscriptor en la sección siguiente.

Acepta la vamos a cifrar el contrato de suscriptor

Vamos a cifrar debe establecer manualmente el indicador que señala que haya leído el Contrato de suscriptor. Si omite este paso, se no se puede renovar el certificado.

  1. Acepta la vamos a cifrar el contrato de suscriptor:
    ~/letsencrypt/letsencrypt-auto certonly --agree-tos
  2. Seleccione utilizar automáticamente un servidor de Web temporal (independiente) y, a continuación, presione ENTRAR.
  3. Escriba su nombre de dominio y, a continuación, presione ENTRAR.
  4. Si se le pide, seleccione mantener el certificado existente por ahora y, a continuación, presione ENTRAR.

Reiniciar NGINX

Ahora que ha solicitado el certificado SSL, configurar NGINX para utilizarlo y aceptado el contrato de suscriptor, puede reiniciar NGINX y comience a servir el contenido protegido.

  • sudo service nginx restart

Probar la configuración

Pruebe la configuración de certificado SSL en https://www.ssllabs.com/ssltest/.

Renovar el certificado vamos a cifrar

Debe renovar el certificado de 60 a 90 días después de haberlo creado.

  1. Renovar el certificado:
    ~/letsencrypt/letsencrypt-auto renew
  2. Complete las opciones del menú mostrarán.

Si lo desea, en lugar de renovar el certificado manualmente cada 2-3 meses, puede escribir un script que lo hace por usted. Vamos a cifrar tiene algunos consejos acerca de cómo hacerlo en la sección escribir sus propias secuencias de comandos de renovación de su manual de introducción.


¿Este artículo fue útil?
Gracias por tus comentarios
¡Nos complace haber ayudado! ¿Hay algo más que podamos hacer por ti?
Lo sentimos. ¿Cómo podríamos ser de más utilidad?