====== Получение и установка SSL-сертификата ======
===== Заказ сертификата =====
При заказе SSL-сертифика в панели биллинга необходимо указать срок действия сертификата и ввести CSR (Certificate Signing Request) код:
{{ :wiki:technical:ssl-sertificate:ssl1.png?nolink |}}
Форма автоматической генерации CSR доступна по адресу [[https://csrgenerator.com|https://csrgenerator.com]]. Заполните все необходимые поля и сгенерируйте код:
{{ :wiki:technical:ssl-sertificate:ssl5.png?nolink |}}
Сохраните полученные данные. Введите CSR-код, ограниченный тегами //-----BEGIN CERTIFICATE REQUEST-----// и //-----END CERTIFICATE REQUEST-----// в соответствующее поле:
{{ :wiki:technical:ssl-sertificate:ssl2.png?nolink |}}
Далее указываем используемый http-сервер и адрес почты, на который придет запрос подтверждения сертификата:
{{ :wiki:technical:ssl-sertificate:ssl3.png?nolink |}}
После отправки заказа и его оплаты приходит подтверждение запроса - подтверждаем его, нажав **"Approve"**. По получении сертификата мы разместим его в тикете для клиента.
===== Установка сертификата =====
Для установки сертификата потребуется:
* Файл сертификата и цепочка сертификата, полученные на предыдущем этапе.
* Ключ сертификата. Он также был получен на предыдущем этапе и сохранен в надежном месте.
Центром сертификации будут отправлены следующие файлы:
* AddTrustExternalCARoot.crt
* COMODORSAAddTrustCA.crt
* COMODORSADomainValidationSecureServerCA.crt
* domainname.crt
domainname.crt - это непосредственно сам сертификат. Остальные файлы нам нужны для того, чтобы получить цепочку:
$ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle
Сертификат устанавливается в файле конфигурации http-сервера, который обрабатывает ssl запросы. Целесообразно настроить редирект запросов с 80 на 443 порт.
==== Apache ====
=== Установка сертификата ===
DocumentRoot /home/user/data/www/domain.com
ServerName domain.com
SSLEngine on
SSLCertificateFile /path/to/domain.crt
SSLCertificateKeyFile /path/to/domain.key
SSLCACertificateFile /path/to/ca.crt
Где:
* ''domain.com'' - имя вашего домена
* ''10.0.0.1'' - ip адрес, на котором находится домен
* ''/home/user/data/www/domain.com'' - путь до домашней директории вашего домена
* ''/path/to/domain.crt'' - файл, в котором находится сертификат
* ''/path/to/domain.key'' - файл, в котором находится ключ сертификата
* ''/path/to/ca.crt'' - файл корневого сертификата
=== Настройка редиректа ===
NameVirtualHost *:80
ServerName www.example.com
Redirect permanent / https://secure.example.com/
ServerName secure.example.com
DocumentRoot /usr/local/apache2/htdocs
SSLEngine On
...
...
==== Nginx ====
=== Установка сертификата ===
server {
listen 10.0.0.1:443;
server_name domain.com;
ssl on;
ssl_certificate /path/to/domain.crt;
ssl_certificate_key /path/to/domain.key ;
}
Где:
* ''domain.com'' - имя вашего домена
* ''10.0.0.1'' - ip адрес, на котором находится домен
* ''/path/to/domain.crt'' - файл, в котором находится сертификат
* ''/path/to/domain.key'' - файл, в котором находится ключ сертификата
Цепочка сертификатов дописывается в файл с сертификатом. Перезапустите Nginx.
=== Настройка редиректа ===
server {
server_name my.domain.com;
listen ip:80;
location / {
rewrite ^(.*)$ https://my.domain.com$1 permanent;
}
}
===== Ссылки =====
* [[https://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата|http://ru.ispdoc.com/index.php/Ручная_установка_SSL_сертификата]]
* [[https://www.reg.ru/support/ssl-sertifikaty/|https://www.reg.ru/support/ssl-sertifikaty/]]
* [[https://nginx.org/ru/docs/http/configuring_https_servers.html|http://nginx.org/ru/docs/http/configuring_https_servers.html]]
* [[https://wiki.apache.org/httpd/RedirectSSL|http://wiki.apache.org/httpd/RedirectSSL]]