Инструменты пользователя

Инструменты сайта


wiki:technical:ssl-sertificate

Получение и установка SSL-сертификата

Заказ сертификата

При заказе SSL-сертифика в панели биллинга необходимо указать срок действия сертификата и ввести CSR (Certificate Signing Request) код: Форма автоматической генерации CSR доступна по адресу https://csrgenerator.com. Заполните все необходимые поля и сгенерируйте код: Сохраните полученные данные. Введите CSR-код, ограниченный тегами —–BEGIN CERTIFICATE REQUEST—– и —–END CERTIFICATE REQUEST—– в соответствующее поле: Далее указываем используемый http-сервер и адрес почты, на который придет запрос подтверждения сертификата: После отправки заказа и его оплаты приходит подтверждение запроса - подтверждаем его, нажав «Approve». По получении сертификата мы разместим его в тикете для клиента.

Установка сертификата

Для установки сертификата потребуется:

  • Файл сертификата и цепочка сертификата, полученные на предыдущем этапе.
  • Ключ сертификата. Он также был получен на предыдущем этапе и сохранен в надежном месте.

Центром сертификации будут отправлены следующие файлы:

  • AddTrustExternalCARoot.crt
  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt
  • domainname.crt

domainname.crt - это непосредственно сам сертификат. Остальные файлы нам нужны для того, чтобы получить цепочку:

$ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt >  yourDomain.ca-bundle

Сертификат устанавливается в файле конфигурации http-сервера, который обрабатывает ssl запросы. Целесообразно настроить редирект запросов с 80 на 443 порт.

Apache

Установка сертификата

<VirtualHost 10.0.0.1:443>
  DocumentRoot /home/user/data/www/domain.com
  ServerName domain.com
  SSLEngine on
  SSLCertificateFile /path/to/domain.crt
  SSLCertificateKeyFile /path/to/domain.key
  SSLCACertificateFile /path/to/ca.crt
</VirtualHost>

Где:

  • domain.com - имя вашего домена
  • 10.0.0.1 - ip адрес, на котором находится домен
  • /home/user/data/www/domain.com - путь до домашней директории вашего домена
  • /path/to/domain.crt - файл, в котором находится сертификат
  • /path/to/domain.key - файл, в котором находится ключ сертификата
  • /path/to/ca.crt - файл корневого сертификата

Настройка редиректа

NameVirtualHost *:80
<VirtualHost *:80>
   ServerName www.example.com
   Redirect permanent / https://secure.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName secure.example.com
   DocumentRoot /usr/local/apache2/htdocs
   SSLEngine On
   ...
   ...
</VirtualHost>

Nginx

Установка сертификата

server {
        listen 10.0.0.1:443;
        server_name domain.com;
        ssl                  on;
        ssl_certificate     /path/to/domain.crt;
        ssl_certificate_key  /path/to/domain.key ;
  }

Где:

  • domain.com - имя вашего домена
  • 10.0.0.1 - ip адрес, на котором находится домен
  • /path/to/domain.crt - файл, в котором находится сертификат
  • /path/to/domain.key - файл, в котором находится ключ сертификата

Цепочка сертификатов дописывается в файл с сертификатом. Перезапустите Nginx.

Настройка редиректа

server {
               server_name my.domain.com;
               listen ip:80;
            
location / {
   rewrite ^(.*)$ https://my.domain.com$1 permanent;
  }
}

Ссылки

wiki/technical/ssl-sertificate.txt · Последние изменения: 2017/04/09 21:00 — Администратор