v1.0
Шаблон nginx конфига

Certbot + Let's Encrypt автонастройка

Полный конфиг для автополучения и обновления SSL-сертификатов через Certbot

Пример конфига
nginx.conf 
# HTTP: обслуживаем ACME challenge и редиректим всё остальное
server {
    listen 80;
    listen [::]:80;
    server_name example.com;

    # Certbot webroot challenge — необходим до получения сертификата
    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
        try_files $uri =404;
    }

    # После получения сертификата — редирект на HTTPS
    location / {
        return 301 https://$host$request_uri;
    }
}

# HTTPS: основной сервер
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;

    # OCSP Stapling — ускоряет TLS-хендшейк
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    server_tokens off;
    client_max_body_size 10m;

    access_log /var/log/nginx/ssl-access.log combined;
    error_log  /var/log/nginx/ssl-error.log warn;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_http_version 1.1;
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Connection        "";
        proxy_read_timeout 60s;
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /usr/share/nginx/html;
    }
}
Как настроить
  1. Создайте директорию для webroot challenge: mkdir -p /var/www/certbot
  2. Скопируйте базовый HTTP-конфиг (без SSL-блока) в nginx и перезагрузите: systemctl reload nginx
  3. Получите сертификат через webroot: certbot certonly --webroot -w /var/www/certbot -d example.com
  4. Раскомментируйте HTTPS-блок в конфиге и полностью перезагрузите: nginx -t && systemctl reload nginx
  5. Настройте автообновление через cron или systemd timer: certbot renew --dry-run
  6. Добавьте post-hook для автоперезагрузки nginx: certbot renew --post-hook 'systemctl reload nginx'