Knowledgebase

Aveti intrebari? Sunteti in locul potrivit!

Implementarea Let’s Encrypt cu Lighttpd pe Ubuntu 16.04

Let’s Encrypt este o autoritate de certificare (CA) care emite certificate SSL/TLS. Lighttpd este un server web care are nevoie de putine resurse. Certificatele Let’s Encrypt se pot instala usor pe un server Lighttpd utilizand Certbot, care este un client software care automatizeaza majoritatea procedurilor de optinere a certificatelor.

In acest tutorial presupune ca dispuneti de o instanta dedicata de server cu Lighttpd instalat, aveti un domeniu pointat spre serverul dvs. si sunteti logat cu drepturi de root.

 

Pasul 1: Instalarea Certbot

Primul pas este instalarea Certbot. Adaugati repository-ul Certbot si apasati enter pentru confirmare
add-apt-repository ppa:certbot/certbot

Instalati Certbot:
apt-get update
apt-get install certbot

Pasul 2: Optinerea certificatelor SSL

Dupa instalarea Certbot, puteti optine un certificat SSL. Executati comanda de mai jos inlocuind exemplu.tld cu numele domeniului dvs.


certbot certonly --webroot -w /var/www/html -d example.com -d www.examplu.tld

Continuati pasii installer-ul.

Pasul 3: Setarea fisierelor certificatuliui pentru a putea fi folosite cu Lighttpd

Certbot va adauga fisierele certificatului in /etc/letsencrypt/live/examplu.tld . Este necesar sa permiteti accesul utilizatorului Lighttpd pentru directorul de mai sus.

hown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd necesita o cheie privata intr-un singur fisier. Va trebui sa combinati cele doua fisiere. Executati urmatoarea comanda inlocuind exemplu.tld cu numele domeniul dvs.

cat /etc/letsencrypt/live/examplu.tld/privkey.pem /etc/letsencrypt/live/examplu.tld/cert.pem > /etc/letsencrypt/live/examplu.tld/merged.pem

Fisierele rivkey.pem si cert.pem sunt combinate si salvate in merged.pem

Pasul 4: Configurarea Lighttpd

Dupa ce a fost instalat certificatul, puteti trece la configurarea Lighttpd pentru a folosi certificatul SSL.

Deschideti fisierul de configurare Lighttpd

nano /etc/lighttpd/lighttpd.conf

Adaugati urmatorul bloc si inlocuiti exemplu.tld cu numele domeniului dvs.

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Pasul 5: Fortati utilizarea SSL

Pentru o securitate ridicata puteti forta serverul Lighttpd ca toate cererile HTTP sa fie redirectionate spre HTTPS. Deschideti fisierul lighttpd.conf
nano /etc/lighttpd/lighttpd.conf

Adaugati urmatorul bloc la sfarsitul fisierului.

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Este necesar sa restartati serverul Lighttpd

systemctl restart lighttpd

Reinnoirea certificatelor SSL

Perioada de valabilitate a unui certificat SSL este de 90 de zile. Este necesar sa reinnoiti certificatul inainte de aceasta perioada pentru evitarea erorilor. Puteti reinnoi certificatul cu Certbot.

certbot renew

Este necesar sa combinati cheia si certificatul pentru Lighttpd. Executand comanda de mai jos unde inlocuiti exemplu.tld cu numele domeniului dvs.
cat /etc/letsencrypt/live/examplu.tld/privkey.pem /etc/letsencrypt/live/examplu.tld/cert.pem > /etc/letsencrypt/live/examplu.tld/merged.pem

Certificatul va fi reinnoit pentru alte 90 de zile.