Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версияСледующая версияСледующая версия справа и слева |
wiki:technical:ssl-sertificate [2015/11/25 20:50] – alexander | wiki:technical:ssl-sertificate [2015/11/28 21:25] – alexander |
---|
====== Получение и установка SSL-сертификата ====== | ====== Получение и установка SSL-сертификата ====== |
===== Генерация CSR запроса ===== | ===== Заказ сертификата ===== |
Чтобы заказать SSL сертификат у Центра Сертификации вам необходимо в начале сгенерировать CSR (запрос на сертификат) и RSA – приватный ключ (генерируется вместе с CSR). Это можно сделать на [[https://csrgenerator.com/|https://csrgenerator.com/]] или в панели ISPmanager в разделе **World Wide Web > SSL сертификаты**: | При заказе SSL-сертифика в панели биллинга необходимо указать срок действия сертификата и ввести CSR (Certificate Signing Request) код: |
{{ :wiki:technical:ssl-sertificate:isp_ssl1.jpg?nolink |}} | {{ :wiki:technical:ssl-sertificate:ssl1.png?nolink |}} |
В разделе **SSL сертификаты** в правом верхнем углу нажимаем **Создать**: | Форма автоматической генерации CSR доступна по адресу [[https://csrgenerator.com|https://csrgenerator.com]]. Заполните все необходимые поля и сгенерируйте код: |
{{ :wiki:technical:ssl-sertificate:isp_ssl2.jpg?nolink |}} | {{ :wiki:technical:ssl-sertificate:ssl5.png?nolink |}} |
и в открывшемся окне заполняем поля: | Сохраните полученные данные. Введите CSR-код, ограниченный тегами //-----BEGIN CERTIFICATE REQUEST-----// и //-----END CERTIFICATE REQUEST-----// в соответствующее поле: |
* **Имя сертификата** - можно указать любое, но лучше использовать имя домена, чтобы в дальнейшем не путаться. | {{ :wiki:technical:ssl-sertificate:ssl2.png?nolink |}} |
* **Длина ключа** - укажите длину в 2048 бит. | Далее указываем используемый http-сервер и адрес почты, на который придет запрос подтверждения сертификата: |
* **Код страны** - код страны в двухсимвольном коде (RU и др.). | {{ :wiki:technical:ssl-sertificate:ssl3.png?nolink |}} |
* **Штат/провинция** - укажите область или район. | После отправки заказа и его оплаты приходит подтверждение запроса - подтверждаем его, нажав **"Approve"**. По получении сертификата мы разместим его в тикете для клиента. |
* **Город** - город, где расположена ваша организация. | |
* **Компания** - название вашей организации. Если вы заказываете сертификат на физическое лицо, укажите имя домена. | |
* **Подразделение** - укажите отдел организации, например, IT или support. | |
* **Доменное имя** - выберите из списка доменное имя или другое, а затем введите необходимое. | |
* **E-mail** - укажите e-mail, на который вы хотите получить уведомления о выдаче сертификата. | |
Для того, чтобы скопировать код CSR запроса, выделите нужный и нажмите кнопку **Скачать** в правом верхнем углу. Копировать нужно весь текст, включая теги //"BEGIN/END CERTIFICATE REQUEST"//. Скопированный текст вставьте в необходимое поле в форме заказа вашего SSL сертификата. После заказа сертификата и его оплаты на почту, указанную в ключе, придет запрос подтверждения - ссылка на подтверждение сертификата. Необходимо подтвердить заказ - нажать **Approve**. После подтверждения, на почту придет письмо, содержащее сертификат. | |
| |
===== Установка SSL-сертификата в ISPmanager ===== | ===== Установка сертификата ===== |
Для установки ssl-сертификата снова идем в ISPmanager в **World Wide Web > SSL сертификаты**, в правом верхнем углу нажимаем **Создать**. Заполняем необходимые поля, выбрав тип сертификата **Существующий**. При использовании приватного ключа (RSA), сгенерированного в этой панели клиента вместе с запросом (CSR) выбираем в поле «Использовать ключ» необходимый сгенерированный запрос (в нашем случае – example.com) и вставляем только сам сертификат (CRT) и Цепочку сертификатов (CABUNDLE) в необходимые поля: | Для установки сертификата потребуется: |
{{ :wiki:technical:ssl-sertificate:isp_ssl5.jpg?nolink |}} | * Файл сертификата и цепочка сертификата, полученные на предыдущем этапе. |
Не забываем про тэги //"BEGIN/END CERTIFICATE"//. Пароль для сертификата выставляется по вашему желанию. | * Ключ сертификата. Он также был получен на предыдущем этапе и сохранен в надежном месте. |
| |
При использовании ключа (приватного), сгенерированного на другом ресурсе или программном обеспечении выбираем в поле Использовать ключ «Указать вручную» и вводим RSA (приватный ключ), сам сертификат (CRT) и Цепочку сертификатов (CABUNDLE) в необходимые поля: | Центром сертификации будут отправлены следующие файлы: |
{{ :wiki:technical:ssl-sertificate:isp_ssl6.jpg?nolink |}} | * AddTrustExternalCARoot.crt |
Не забываем про тэги //"BEGIN/END PRIVATE KEY"// и //"BEGIN/END CERTIFICATE"//. Пароль для сертификата выставляется по вашему желанию. | * COMODORSAAddTrustCA.crt |
| * COMODORSADomainValidationSecureServerCA.crt |
| * domainname.crt |
| |
Для активации сертификат необходимо привязать к домену. Для этого необходимо перейти в раздел **WWW домены**, зайти в параметры необходимого домена (в нашем случае example.com) и выбрать данный сертификат в поле **SSL сертификат**. | domainname.crt - это непосредственно сам сертификат. Остальные файлы нам нужны для того, чтобы получить цепочку: |
| <code> |
| $ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle |
| </code> |
| Сертификат устанавливается в файле конфигурации http-сервера, который обрабатывает ssl запросы. Целесообразно настроить редирект запросов с 80 на 443 порт. |
| |
| ==== Apache ==== |
| <code> |
| <VirtualHost 10.0.0.1:443> |
| DocumentRoot /home/user/data/www/domain.com |
| ServerName domain.com |
| SSLEngine on |
| SSLCertificateFile /path/to/domain.crt |
| SSLCertificateKeyFile /path/to/domain.key |
| SSLCACertificateFile /path/to/ca.crt |
| </VirtualHost> |
| </code> |
| Где: |
| * ''domain.com'' - имя вашего домена |
| * ''10.0.0.1'' - ip адрес, на котором находится домен |
| * ''/home/user/data/www/domain.com'' - путь до домашней директории вашего домена |
| * ''/path/to/domain.crt'' - файл, в котором находится сертификат |
| * ''/path/to/domain.key'' - файл, в котором находится ключ сертификата |
| * ''/path/to/ca.crt'' - файл корневого сертификата |
| Перезапустите Apache. |
| |
| ==== Nginx ==== |
| <code> |
| server { |
| listen 10.0.0.1:443; |
| server_name domain.com; |
| ssl on; |
| ssl_certificate /path/to/domain.crt; |
| ssl_certificate_key /path/to/domain.key ; |
| } |
| </code> |
| Где: |
| * ''domain.com'' - имя вашего домена |
| * ''10.0.0.1'' - ip адрес, на котором находится домен |
| * ''/path/to/domain.crt'' - файл, в котором находится сертификат |
| * ''/path/to/domain.key'' - файл, в котором находится ключ сертификата |
| Цепочка сертификатов дописывается в файл с сертификатом. |
| |
===== Ссылки ===== | ===== Ссылки ===== |
* [[http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата|http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата]] | * [[http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата|http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата]] |
* [[https://www.reg.ru/support/ssl-sertifikaty/|https://www.reg.ru/support/ssl-sertifikaty/]] | * [[https://www.reg.ru/support/ssl-sertifikaty/|https://www.reg.ru/support/ssl-sertifikaty/]] |