NGINX เพิ่ม Native ACME Support ต่ออายุ SSL Certificate ได้จากไฟล์ Config โดยตรง

บอกลา Certbot เมื่อ NGINX เพิ่ม Native ACME Support ในตัว มาดูวิธีขอและต่ออายุ SSL Certificate อัตโนมัติจากไฟล์ config NGINX โดยตรง ซึ่งจะลดความซับซ้อน เพิ่มความปลอดภัยในการต่ออายุ SSL 

ใครที่เคยต้องปวดหัวกับการตั้งค่า Cron Job เพื่อรัน certbot renew หรือจัดการ SSL/TLS Certificate ด้วยเครื่องมือภายนอก วันนี้ชีวิตจะง่ายขึ้นเยอะแล้วครับ

ตอนนี้ NGINX ได้ประกาศเปิดตัว Native Support สำหรับ ACME Protocol อย่างเป็นทางการ (ในเวอร์ชัน Preview)

เรียกได้ว่านี่เป็น game changer ที่จะทำให้การจัดการ Certificate กลายเป็นส่วนหนึ่งของ NGINX โดยตรง ซึ่งช่วยลดความซับซ้อน ลดความผิดพลาด และทำให้ Workflow ของเราปลอดภัยและคล่องตัวยิ่งขึ้นครับ

NGINX Native ACME Support มีอะไรใหม่?

การเปลี่ยนแปลงครั้งนี้มาในรูปแบบของ Module ใหม่ที่ชื่อว่า  ngx_http_acme_module ซึ่งเป็น Rust-based dynamic module ที่ทำงานร่วมกับ NGINX-Rust SDK โดยจะเพิ่ม Directives ใหม่ๆ เข้ามาให้เราสามารถ ขอ ติดตั้ง และต่ออายุ Certificate ได้โดยตรงจากในไฟล์ Config ของ NGINX เลย 

ประโยชน์หลัก ๆ ที่ Developer จะได้

• ลดความผิดพลาดจากการทำงาน Manual เพราะทุกอย่างถูกกำหนดไว้ใน Config ของ NGINX ทำให้ลดโอกาสที่จะเกิด Human Error ลงได้อย่างมาก

• ไม่ต้องพึ่งพาเครื่องมือภายนอก (บอกลา Certbot ได้เลยครับ) อันนี้ลดความยุ่งยากในการติดตั้งและดูแลรักษา External Tools อย่าง Certbot หรือสคริปต์อื่น ๆ ทำให้ Workflow ของเราเรียบง่ายและปลอดภัยขึ้น (ลด Attack Surface)

• Portable และ Platform-Independent เนื่องจากเป็น Native Implementation จึงมีความยืดหยุ่นและทำงานได้บนหลากหลายสภาพแวดล้อมโดยไม่มีข้อจำกัดเฉพาะของแต่ละ Platform

เริ่มต้นใช้งานง่าย ๆ (ACME Workflow ใน NGINX)

การตั้งค่าทั้งหมดเกิดขึ้นในไฟล์ nginx.conf ของเราเลยครับ โดยมีขั้นตอนหลัก ๆ คือ

1. ตั้งค่า ACME Server (Issuer)
กำหนดว่าจะใช้ ACME server ของใคร (เช่น Let's Encrypt) และตั้งค่าพื้นฐานอื่น ๆ ด้วย Directive  acme_issuer  

acme_issuer letsencrypt {
    uri         https://acme-v02.api.letsencrypt.org/directory;
    state_path  /var/cache/nginx/acme-letsencrypt;
    accept_terms_of_service;
}

2. ตั้งค่า Challenge
ในเวอร์ชัน Preview นี้ยังรองรับแค่ HTTP-01 challenge ครับ เราจึงต้องมี server block ที่ listen บน port 80 เพื่อให้ ACME server สามารถเข้ามาตรวจสอบความเป็นเจ้าของโดเมนได้

3. สั่งขอ/ต่ออายุ Certificate
ใน  server block ที่เราต้องการจะเปิดใช้งาน HTTPS (port 443) ให้เพิ่ม Directive   acme_certificate เข้าไป แล้วตามด้วยชื่อ Issuer ที่เราตั้งไว้ในข้อ 1

server {
    listen 443 ssl;
    server_name  .example.com;

    # สั่งให้ NGINX จัดการ Certificate ให้โดเมนนี้ โดยใช้ Issuer 'letsencrypt'
    acme_certificate letsencrypt;

    # ใช้ตัวแปรที่ Module เตรียมไว้ให้
    ssl_certificate       $acme_certificate;
    ssl_certificate_key   $acme_certificate_key;
}

เพียงเท่านี้ NGINX ก็จะไปจัดการขอและต่ออายุ Certificate ให้เราโดยอัตโนมัติ

ข้อจำกัด (และอนาคต)

• ในเวอร์ชัน Preview นี้ยังรองรับแค่ HTTP-01 challenge (มีแผนจะรองรับ TLS-ALPN และ DNS-01 ในอนาคต)

• ยังไม่รองรับ Wildcard Certificate ใน  server_name 

การที่ NGINX ซึ่งตอนนี้เป็น Web Server ที่ได้รับความนิยมสูงสุดในโลก หันมาทำ Native Support สำหรับ ACME Protocol ด้วยตัวเอง ถือเป็นสัญญาณที่ชัดเจนครับว่าการทำ Automation สำหรับ Certificate Lifecycle นั้นได้กลายเป็นมาตรฐานของเว็บยุคใหม่ไปแล้วครับ

ซึ่งอันนี้จะช่วยลดกำแพงทางเทคนิคและทำให้การสร้างเว็บไซต์ที่ปลอดภัยด้วย HTTPS เป็นเรื่องที่ง่ายและเป็นอัตโนมัติอย่างแท้จริงสำหรับทุกคนเลยก็ว่าได้

อ้างอิง

• Nginx introduces native support for ACME protocol - Nginx