Различия

Показаны различия между двумя версиями страницы.

--- wiki:technical:ssl-sertificate [2015/11/25 20:34] – создано alexander
+++ wiki:technical:ssl-sertificate [2017/04/10 00:00] (текущий) – [Ссылки] alexander
@@ Строка 1: / Строка 1: @@
 ====== Получение и установка SSL-сертификата ======
-===== Генерация CSR запроса =====
+===== Заказ сертификата =====
-Чтобы заказать SSL сертификат у Центра Сертификации вам необходимо в начале сгенерировать CSR (запрос на сертификат) и RSA – приватный ключ (генерируется вместе с CSR). Это можно сделать на [[https://csrgenerator.com/|https://csrgenerator.com/]] или в панели ISPmanager в разделе **World Wide Web > SSL сертификаты**:
+При заказе SSL-сертифика в панели биллинга необходимо указать срок действия сертификата и ввести CSR (Certificate Signing Request) код:
-{{ :wiki:technical:ssl-sertificate:isp_ssl1.jpg?nolink |}}
+{{ :wiki:technical:ssl-sertificate:ssl1.png?nolink |}}
-В разделе **SSL сертификаты** в правом верхнем углу нажимаем **Создать**:
+Форма автоматической генерации CSR доступна по адресу [[https://csrgenerator.com|https://csrgenerator.com]]. Заполните все необходимые поля и сгенерируйте код:
-{{ :wiki:technical:ssl-sertificate:isp_ssl2.jpg?nolink |}}
+{{ :wiki:technical:ssl-sertificate:ssl5.png?nolink |}}
-и в открывшемся окне заполняем поля:
+Сохраните полученные данные. Введите CSR-код, ограниченный тегами //-----BEGIN CERTIFICATE REQUEST-----// и //-----END CERTIFICATE REQUEST-----// в соответствующее поле:
-  * **Имя сертификата** - можно указать любое, но лучше использовать имя домена, чтобы в дальнейшем не путаться.
+{{ :wiki:technical:ssl-sertificate:ssl2.png?nolink |}}
-  * **Длина ключа** - укажите длину в 2048 бит.
+Далее указываем используемый http-сервер и адрес почты, на который придет запрос подтверждения сертификата:
-  * **Код страны** - код страны в двухсимвольном коде (RU и др.).
+{{ :wiki:technical:ssl-sertificate:ssl3.png?nolink |}}
-  * **Штат/провинция** - укажите область или район.
+После отправки заказа и его оплаты приходит подтверждение запроса - подтверждаем его, нажав **"Approve"**. По получении сертификата мы разместим его в тикете для клиента.
-  * **Город** - город, где расположена ваша организация.
-  * **Компания** - название вашей организации. Если вы заказываете сертификат на физическое лицо, укажите имя домена.
-  * **Подразделение** - укажите отдел организации, например, IT или support.
-  * **Доменное имя** - выберите из списка доменное имя или другое, а затем введите необходимое.
-  * **E-mail** - укажите e-mail, на который вы хотите получить уведомления о выдаче сертификата.
-Для того, чтобы скопировать код CSR запроса, выделите нужный и нажмите кнопку **Скачать** в правом верхнем углу. Копировать нужно весь текст, включая теги //"BEGIN/END CERTIFICATE REQUEST"//. Скопированный текст вставьте в необходимое поле в форме заказа вашего SSL сертификата. После заказа сертификата и его оплаты на почту, указанную в ключе, придет запрос подтверждения - ссылка на подтверждение сертификата. Необходимо подтвердить заказ - нажать **Approve**. После подтверждения, на почту придет письмо, содержащее сертификат.
-===== Установка SSL-сертификата в ISPmanager =====
+===== Установка сертификата =====
-Для установки ssl-сертификата снова идем в ISPmanager в **World Wide Web > SSL сертификаты**, в правом верхнем углу нажимаем **Создать**. Заполняем необходимые поля, выбрав тип сертификата **Существующий**. При использовании приватного ключа (RSA), сгенерированного в этой панели клиента вместе с запросом (CSR) выбираем в поле «Использовать ключ» необходимый сгенерированный запрос (в нашем случае – example.com) и вставляем только сам сертификат (CRT) и Цепочку сертификатов (CABUNDLE) в необходимые поля:
+Для установки сертификата потребуется:
-{{ :wiki:technical:ssl-sertificate:isp_ssl5.jpg?nolink |}}
+  * Файл сертификата и цепочка сертификата, полученные на предыдущем этапе.
-Не забываем про тэги //"BEGIN/END CERTIFICATE"//. Пароль для сертификата выставляется по вашему желанию.
+  * Ключ сертификата. Он также был получен на предыдущем этапе и сохранен в надежном месте.
-При использовании ключа (приватного), сгенерированного на другом ресурсе или программном обеспечении выбираем в поле Использовать ключ «Указать вручную» и вводим RSA (приватный ключ), сам сертификат (CRT) и Цепочку сертификатов (CABUNDLE) в необходимые поля:
-{{ :wiki:technical:ssl-sertificate:isp_ssl6.jpg?nolink |}}
-Не забываем про тэги //"BEGIN/END PRIVATE KEY"// и //"BEGIN/END CERTIFICATE"//. Пароль для сертификата выставляется по вашему желанию.
-Для активации сертификат необходимо привязать к домену. Для этого необходимо перейти в раздел **WWW домены**, зайти в параметры необходимого домена (в нашем случае example.com) и выбрать данный сертификат в поле **SSL сертификат**.
+Центром сертификации будут отправлены следующие файлы:
+  * AddTrustExternalCARoot.crt
+  * COMODORSAAddTrustCA.crt
+  * COMODORSADomainValidationSecureServerCA.crt
+  * domainname.crt
+domainname.crt - это непосредственно сам сертификат. Остальные файлы нам нужны для того, чтобы получить цепочку:
+<code>
+$ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt >  yourDomain.ca-bundle
+</code>
+Сертификат устанавливается в файле конфигурации http-сервера, который обрабатывает ssl запросы. Целесообразно настроить редирект запросов с 80 на 443 порт.
+==== Apache ====
+=== Установка сертификата ===
+<code>
+<VirtualHost 10.0.0.1:443>
+  DocumentRoot /home/user/data/www/domain.com
+  ServerName domain.com
+  SSLEngine on
+  SSLCertificateFile /path/to/domain.crt
+  SSLCertificateKeyFile /path/to/domain.key
+  SSLCACertificateFile /path/to/ca.crt
+</VirtualHost>
+</code>
+Где:
+  * ''domain.com'' - имя вашего домена
+  * ''10.0.0.1'' - ip адрес, на котором находится домен
+  * ''/home/user/data/www/domain.com'' - путь до домашней директории вашего домена
+  * ''/path/to/domain.crt'' - файл, в котором находится сертификат
+  * ''/path/to/domain.key'' - файл, в котором находится ключ сертификата
+  * ''/path/to/ca.crt'' - файл корневого сертификата
+=== Настройка редиректа ===
+<code>
+NameVirtualHost *:80
+<VirtualHost *:80>
+   ServerName www.example.com
+   Redirect permanent / https://secure.example.com/
+</VirtualHost>
+<VirtualHost _default_:443>
+   ServerName secure.example.com
+   DocumentRoot /usr/local/apache2/htdocs
+   SSLEngine On
+   ...
+   ...
+</VirtualHost>
+</code>
+==== Nginx ====
+=== Установка сертификата ===
+<code>
+server {
+        listen 10.0.0.1:443;
+        server_name domain.com;
+        ssl                  on;
+        ssl_certificate     /path/to/domain.crt;
+        ssl_certificate_key  /path/to/domain.key ;
+  }
+</code>
+Где:
+  * ''domain.com'' - имя вашего домена
+  * ''10.0.0.1'' - ip адрес, на котором находится домен
+  * ''/path/to/domain.crt'' - файл, в котором находится сертификат
+  * ''/path/to/domain.key'' - файл, в котором находится ключ сертификата
+Цепочка сертификатов дописывается в файл с сертификатом. Перезапустите Nginx.
+=== Настройка редиректа ===
+<code>
+server {
+               server_name my.domain.com;
+               listen ip:80;
+location / {
+   rewrite ^(.*)$ https://my.domain.com$1 permanent;
+  }
+}
+</code>
 ===== Ссылки =====
-[[http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата|http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата]]
+  * [[https://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата|http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата]]
+  * [[https://www.reg.ru/support/ssl-sertifikaty/|https://www.reg.ru/support/ssl-sertifikaty/]]
+  * [[https://nginx.org/ru/docs/http/configuring_https_servers.html|http://nginx.org/ru/docs/http/configuring_https_servers.html]]
+  * [[https://wiki.apache.org/httpd/RedirectSSL|http://wiki.apache.org/httpd/RedirectSSL]]