Creare un certificato SSL per Nginx in Ubuntu Server 16.04

da Raffaele Chiatto | Lug 7, 2017 | Ubuntu | 1 commento

PRE-REQUISITI

Prima di iniziare, è necessario disporre di un utentza root sul sistem Ubuntu Server.
Inoltre, sarà necessario installare il server web Nginx.

CREAZIONE DEL CERTIFICATO SSL

TLS / SSL funziona utilizzando una combinazione di un certificato pubblico e di una chiave privata. Il codice SSL viene mantenuto segreto sul server. Viene utilizzato per crittografare i contenuti inviati ai client. Il certificato SSL è pubblicamente condiviso con chiunque richiede il contenuto. Può essere utilizzato per decrittografare il contenuto firmato dal relativo codice SSL.

Possiamo creare chiave pubblica e priovata con OpenSSL lanciando il comando:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

0	sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

Vi verranno poste una serie di domande.

Di segutio la spiegazione di tutti i parametri utilizzati nel comando:

Openssl: Questo è lo strumento di riga di comando di base per la creazione e la gestione di certificati OpenSSL, chiavi e altri file.
Req: Questo sottocomando specifica che vogliamo utilizzare la gestione delle richieste di firma di certificato X.509 (CSR). Il “X.509” è uno standard di infrastruttura chiave pubblica che SSL e TLS aderiscono per la gestione delle chiavi e dei certificati. Vogliamo creare un nuovo certificato X.509, quindi stiamo usando questo sottocomando.

-x509: questo modifica ulteriormente il subcomando precedente indicando l’utilità che vogliamo creare un certificato auto-firmato anziché generare una richiesta di firma del certificato, come accade normalmente.
-nodes: questo dice a OpenSSL di saltare l’opzione per proteggere il nostro certificato con una passphrase. Abbiamo bisogno di Nginx per poter leggere il file, senza intervento dell’utente, quando il server si avvia. Una passphrase impedirebbe che questo accada perché dovremmo entrare dopo ogni riavvio.
-days 3650: Questa opzione imposta la durata del tempo che il certificato sarà considerato valido. nel mio caso ho impostato la valisità per 10 anni

-newkey rsa: 2048: specifica che vogliamo generare un nuovo certificato e una nuova chiave contemporaneamente. Non abbiamo creato la chiave necessaria per firmare il certificato in un passaggio precedente, quindi abbiamo bisogno di crearlo insieme al certificato. La parte di rsa: 2048 lo dice per fare un tasto RSA che è 2048 bit lungo.

-keyout: questa riga dice a OpenSSL dove posizionare il file di chiave privata generato che stiamo creando.
-out: Questo indica a OpenSSL dove inserire il certificato che stiamo creando.

Di seguito vi riporto le domande a cui rispondere:

Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:Torino
Locality Name (eg, city) []:Torino
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ACME S.r.l.
Organizational Unit Name (eg, section) []:ACME S.r.l.
Common Name (e.g. server FQDN or YOUR name) []:NOME_DEL_SERVER (va bene mettere anche lì'IP Address)
Email Address []:admin@dominio.com

Country Name (2 letter code) [AU]:IT

State or Province Name (full name) [Some-State]:Torino

Locality Name (eg, city) []:Torino

Organization Name (eg, company) [Internet Widgits Pty Ltd]:ACME S.r.l.

Organizational Unit Name (eg, section) []:ACME S.r.l.

Common Name (e.g. server FQDN or YOUR name) []:NOME_DEL_SERVER (va bene mettere anche lì'IP Address)

Email Address []:admin@dominio.com

Entrambi i file creati verranno collocati nelle sottodirectory appropriate della directory /etc/ssl.

Mentre utilizziamo OpenSSL, dobbiamo anche creare il gruppo Diffie-Hellman, utilizzato per negoziare Perfect Forward Secrecy con i clienti.

Creiamo il gruppo con questo comando:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

0	sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Questa operazione può richiedere diversi minuti ed al termine avremo un gruppo DH in /etc/ssl/certs/dhparam.pem che possiamo usare nella nostra configurazione.

CONFIGURARE NGINX PER L’UTILIZZO DEL CERTIFICATO SSL

Abbiamo creato i nostri file chiavi e certificati sotto la directory /etc/ssl.

Ora abbiamo solo bisogno di modificare la nostra configurazione Nginx per utilizzare l’SSL

Innanzitutto, creiamo un nuovo snippet di configurazione Nginx nella directory /etc/nginx/snippets.

Per distinguere correttamente lo scopo di questo file, lo chiamiamo self-signed.conf:

sudo nano /etc/nginx/snippets/self-signed.conf

0	sudo nano /etc/nginx/snippets/self-signed.conf

All’interno del file creato inseriamo le seguenti righe quindi salviamo e usciamo

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

0 1	ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

Successivamente creeremo un altro snippet che definirà alcune impostazioni SSL. Questo proteggerà Nginx con una forte suite di codici SSL e abiliterà alcune funzionalità avanzate che contribuiranno a mantenere sicuro il nostro server.

I parametri che verranno impostati possono essere riutilizzati nelle future configurazioni di Nginx, quindi daremo al file un nome generico:

sudo nano /etc/nginx/snippets/ssl-params.conf

0	sudo nano /etc/nginx/snippets/ssl-params.conf

Per impostare in sicurezza la Nginx SSL, utilizzeremo le raccomandazioni di Remy van Elst sul sito Cipherli.st.

Inseriamo quindi nel file creato le seguenti righe di codice:

# from https://cipherli.st/
# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Disable preloading HSTS for now. You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

# from https://cipherli.st/

# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

ssl_ecdh_curve secp384r1;

ssl_session_cache shared:SSL:10m;

ssl_session_tickets off;

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 5s;

# Disable preloading HSTS for now. You can use the commented out header line that includes

# the "preload" directive if you understand the implications.

#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";

add_header X-Frame-Options DENY;

add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Salviamo il file ed usciamo dall’editor.

A questo punto è possibile customizzare la configurazione del nostro Nginx per l’utilizzo del certificato SSL creato.

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360°…
Mi sono avvicinato al mondo dell’informatica nel lontano 1996 con Windows 95 e da allora non ho più smesso di dedicarmi allo studio ed approfondimento di questo settore.
Laureato in Ingegneria Informatica nel 2009, lavoro nel campo dell’IT dal lontano 2001.

Legal

Cookie Policy

Link – Friends

Infrastrutture IT

English School

Act for Change

Graphic and Web solution

← Previous Next →

Categorie:Ubuntu

Installazione e Configurazione di phpIPAM 1.7 su Ubuntu Server 22.04

da Raffaele Chiatto | Apr 19, 2024 | phpIpam, Ubuntu

phpIPAM è un'applicazione di gestione degli indirizzi IP Web open source (IPAM). Il suo obiettivo è fornire una gestione degli indirizzi IP leggera, moderna e utile. È un'applicazione basata su php con backend database MySQL, che utilizza librerie jQuery, funzionalità...

Installazione e Configurazione di Cockpit (web-based GUI) su Ubuntu Server 22.04

da Raffaele Chiatto | Mar 26, 2024 | Cockpit, Ubuntu

Cockpit è una GUI basata sul Web per server di gestione che in genere viene fornita con distribuzioni basate su RHEL come Red Hat Enterprise Linux, CentOS Stream, Rocky Linux e AlmaLinux. È un ottimo modo per tenere sotto controllo i tuoi server, gestire utenti,...

Installazione e Configurazione di Graylog Server 5.2.5 con Web Gui su Ubuntu Server 22.04

da Raffaele Chiatto | Mar 22, 2024 | Graylog, Ubuntu

Graylog è uno strumento di gestione dei Log e open source basato su Java, Elasticsearch/OpenSearch e MongoDB che può essere utilizzato per raccogliere, indicizzare e analizzare qualsiasi log server da una postazione centralizzata. Si può facilmente monitorare i SSH...

Installazione e Configurazione di BookStack su Ubuntu Server 22.04

da Raffaele Chiatto | Feb 5, 2024 | BookStack, Ubuntu

BookStack è una piattaforma semplice, self-hosted e facile da usare per organizzare e archiviare informazioni. BookStack è completamente gratuito e aperto, concesso in licenza dal MIT. La fonte è disponibile su GitHub. Non sono previsti costi per il download e...

Installazione del Software di Asset Management Snipe-IT su Ubuntu Server 22.04

da Raffaele Chiatto | Gen 25, 2024 | Snipe-IT, Ubuntu

In questo tutorial tratteremo l’installazione della piattaforma per la gestione delle risorse aziendali (Tool di Asset Management) chiamata Snipe-IT su Ubuntu 22.04. Il software Snipe-IT è basato sul framework Laravel e per la sua installazione necessita anche del PHP...

Installazione e Configurazione di phpMyFAQ su Ubuntu Server 22.04

da Raffaele Chiatto | Gen 15, 2024 | phpMyFAQ, Ubuntu

phpMyFAQ è un sistema FAQ multilingue, completamente basato su database. Supporta vari database per archiviare tutti i dati. Per accedere a questi dati è necessario PHP 8.2 o superiore. phpMyFAQ offre anche un sistema di gestione dei contenuti multilingue con un...

1 commento

Roger Goetzendorff il 5 Marzo 2020 alle 04:14

Grande! Tra mille che hanno provato tu ci sei riuscito! GRANDE!!!

Creare un certificato SSL per Nginx in Ubuntu Server 16.04

PRE-REQUISITI

CREAZIONE DEL CERTIFICATO SSL

CONFIGURARE NGINX PER L’UTILIZZO DEL CERTIFICATO SSL

Articoli Recenti

Legal

Related Posts

Installazione e Configurazione di phpIPAM 1.7 su Ubuntu Server 22.04

Installazione e Configurazione di Cockpit (web-based GUI) su Ubuntu Server 22.04

Installazione e Configurazione di Graylog Server 5.2.5 con Web Gui su Ubuntu Server 22.04

Installazione e Configurazione di BookStack su Ubuntu Server 22.04

Installazione del Software di Asset Management Snipe-IT su Ubuntu Server 22.04

Installazione e Configurazione di phpMyFAQ su Ubuntu Server 22.04

1 commento

Invia un commento

Home

Chi Sono

Skill

Contatti

Blog

Download

Cookie Policy

Privacy Policy

Follow US

Partners