Секретные записки WEB-программиста




100mbru, bitrix, CentOS, cms, drupal, java, joomla, LAMP, linux, mysql, nicru, Open-Source, php, Red Hat, seo, Typo3, ubuntu, win, windows, авто, администрирование, алгоритмы, алкоголь, бизнес, битрикс, видео, военмех, выборы, германия, джино, домены, интересности, исследования, картинки, кино, компьютеры, ливия, магазин, маразм, мастерхост, обработка-изображений, пейнтбол, политика, политэкономия, прикольное-видео, программирование, путешествия, работа, религия, рунет, сайтостроение, сео, сми, технологии, украина, форум, хиханьки, холивары, хостинг

Как установить SSL сертификат?

16.12.2014

Установка SSL сертификата на Plesk

> 1 . Войдите в панель управления Plesk.

2. Выберите Domains из левостороннего меню.

3. Выберите имя домена, для которого предназначается сертификат.

4. Нажмите на Certificates .

5. Нажмите кнопку Browse и найдите место сохранения полученного сертификата. Далее выберите Send File . Сертификат загрузится и установится соответственно секретному ключу.

6. Имя сертификата появится в списке в нижней части страницы.

7. Нажмите на имя сертификата из списка.

8. Вставьте промежуточный и корневой сертификат в поле CA Certificate :

(Обратите внимание на то, что между сертификатами не должно быть отступа)

-----BEGIN CERTIFICATE-----
(Ваш промежуточный сертификат: sslua.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Ваш корневой сертификат: TrustedRoot.crt)
-----END CERTIFICATE-----

9. Нажмите Send Text .

10. Теперь нажмите Up Level , пока не перешли на начальный уровень и нажмите Setup .

11. В верхней части страницы выберите из выпадающего меню SSL Certificate сертификат, который установили.

12. Выберите пункт меню Server в левой части страницы.

13. Перейдите на вкладку Service Management .

Установка SSL сертификата на Apache

1. Скопируйте файлы сертификата на ваш сервер.

2. Найдите файл конфигурации Apache для редактирования.

Обычно такие файлы конфигурации хранятся в /etc/httpd. Основной файл конфигурации в большинстве случаев называется httpd.conf. В некоторых случаях блоки могут находиться в нижней части файла httpd.conf. Иногда вы можете найти блоки отдельно под директорией, например /etc/httpd/vhosts.d/ или /etc/httpd/sites/ или в файле с названием ssl.conf.

Если вы открываете файл в текстовом редакторе, вы должны убедиться в наличии блоков которые содержат настройки Apache.

3. Установите блоки SSL для задания конфигурации.

Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, вам необходим виртуальный хост для каждого соединения. Сделайте копию существующего незащищенного виртуального хоста и создайте его для SSL-соединения как описано в п. 4.

4. Создайте блоки для подключения SSL-соединения.

Ниже приведен очень простой пример виртуального хоста для SSL-соединения. Части, выделенные жирным должны быть добавлены в SSL конфигурацию:

DocumentRoot /var/www/html2
ServerName www.yourdomain.com
SSLEngine on
SSLCertificateFile /path/to/your_domain_name.crt
SSLCertificateKeyFile /path/to/your_private.key


Поисправляйте имена файлов для согласования с файлами сертификатов:

  • SSLCertificateFile должен быть файлом вашего сертификата (например: your_domain_name.crt).
  • SSLCertificateKeyFile должен быть файлом ключа, созданного при генерации CSR.
  • Установка SSL сертификата на Microsoft IIS

    1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.

    2. Нажмите на имени сервера.

    3. В центральном меню откройте "Server Certificates" в разделе "Security" .

    4. Далее из меню "Actions" в правой части окна нажмите на "Complete Certificate Request" . Откроется окно мастера Complete Certificate Request.

    5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.

    6. Нажмите "ОК" и сертификат будет установлен на сервер.

    7. После того, как сертификат будет успешно установлен на сервер, вам необходимо установить его на соответствующий веб-сайт, который использует IIS.

    8. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.

    9. В разделе Sites выберите сайт, для которого оформлялся сертификат.

    10. Из меню Actions в правой части страницы нажмите на Bindings . Откроется окно Site Bindings.

    11. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding .

    12. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).

    13. Нажмите "ОК".

    Установка SSL сертификата на Nginx

    1. Скопируйте файлы сертификата на сервер.

    Скопируйте ваш сертификат (your_domain_name.crt) и корневой сертификат (root.crt), вместе с .key-файлом, который вы генерировали при создании CSR-запроса в директорию на вашем сервере, куда вы собираетесь установить сертификат. Для обеспечения безопасности, сохраняйте файлы с пометкой "только чтение".

    2. Соедените сертификат с корневым сертификатом.

    Вам необходимо соединить файл сертификата с файлом корневого сертификата в единый .pem файл, выполнив следующую команду:

    cat root.crt >> your_domain_name.crt

    3. Измените файл виртуального хоста Nginx.

    Откройте ваш файл виртуального хоста Nginx для сайта, который вы защищаете. Если вам необходимо, чтобы сайт работал и с защищенным соединением (https), и с незащищенным (http), вам нужен серверный модуль для каждого типа соединения. Сделайте копию существующего серверного модуля для незащищенного соединения и вставьте ниже оригинала. После этого добавьте строчки, который приведены ниже жирным шрифтом:

    server {

    listen 443;

    ssl on;
    ssl_certificate /etc/ssl/your_domain_name.crt;
    (or .pem)
    ssl_certificate_key /etc/ssl/your_domain_name.key;

    server_name your.domain.com;
    access_log /var/log/nginx/nginx.vhost.access.log;
    error_log /var/log/nginx/nginx.vhost.error.log;
    location / {
    root /home/www/public_html/your.domain.com/public/;
    index index.html;
    }

    }


    Настройка имен файлов:

  • ssl_certificate - файл, содержащий основной и корневой сертификаты (шаг 2).
  • ssl_certificate_key - файл с ключем, который был сгенерирован при создании CSR.
  • Установка SSL-сертификата на Виртуальную машину Битрикс

    После покупки сертификата на руках у вас должны быть следующие файлы:

    файл ключа, который был создан Вами при генерации CSR-запроса для получения сертификата (в нашем примере это private.key).
    файл вашего сертификата, обычно присылается в тексте письма. Текст сертификата от скоровать в отдельный файл и назвать vash_domen.crt, например, infospice.crt

    файл корневого или промежуточного сертификата, например, root.crt - предоставляется компанией, которая выпустила Ваш сертификат. Этот файл необходимо скачать с сайта компании-издателя. Обратите внимание, что для разных операционных системы эти файлы отличаются.

    Все эти файлы (private.key, root.crt, vash_domen.crt) копируем под root по ssh на вашу ВМ Битрикс в папку /etc/nginx/ssl/1 - папку надо предварительно создать.

    После чего нам необходимо объединить ваш сертификат домена и промежуточный сертификат в один файл pem:

     cat vash_domen.crt root.crt >> cert.pem

    Полученный файл сертификата cert.pem скопировать в папку /nignx/ssl/, заменив старый файл,

    и прописать в конфигурационном файле nginx путь к публичному ключу - /etc/nginx/bx/conf/ssl.conf:

     ssl_certificate /etc/nginx/ssl/cert.pem;ssl_certificate_key /etc/nginx/ssl/private.key;


    Перезагружаем nginx

     [root@1 conf]# service nginx restart
    Stopping nginx: [ OK ]
    Starting nginx:

    и проверяем результат, набрав ваш домен по протоколу https

    Браузер не должен выдать никаких предупреждений безопасности. Корректность установки также можно проверить через сайт компании-издателя сертификата. В случае Thawte делается это тут .

    Установка SSL сертификата на Tomcat

    1. Необходимо импортировать сертификат в хранилище Keystore
    Чтобы импортировать Primary CA Certificate в хранилище ключей, используйте следующую команду Keytool:

    keytool -import -alias Primary -trustcacerts -file Primary.crt -keystore keystore.kdb

    (Примечание: Игнорировать опцию-trustcacerts если среда клиентов является MAC / Safari)

    Для импорта Secondary CA Certificate в хранилище ключей, используйте следующую команду Keytool:

    keytool -import -alias Secondary -trustcacerts -file Secondary.crt -keystore keystore.kdb

    Чтобы импортировать SSL сертификат в хранилище ключей, используйте следующую команду Keytool:

    keytool -import -alias aliasname -trustcacerts -file sslcert.cer -keystore keystore.kdb

    Примечание: При выполнении команды импорта сертификата SSL, необходимо указать фактический псевдоним (Alias), используемый при первоначальном создании хранилища ключей. Если вы не уверены в этом, запустите команду , чтобы увидеть содержимое вашего хранилища ключей: keytool -list -v -keystore keystorefile.kdb

    2. Конфигурация Tomcat

    Примечание: По умолчанию Tomcat работает SSL через порт 8443. Убедитесь, что этот порт включен на сервере Tomcat и брандмауэр не блокирует его.

    • 1. Найдите конфигурационный файл apache (например Server.xml)
    • 2. Откройте файл Server.xml текстовым редактором, например vi
    • 3. Найдите данный текст и уберите комментарии выделенные красным.

    < -- SSL Connector on Port 8443 -- >
    < !--
    className="org.apache.coyote.tomcat4.CoyoteConnector"
    port="8443" minProcessors="5"
    maxProcessors="75"
    enableLookups="false"
    acceptCount="10"
    connectionTimeout="60000" debug="0"
    scheme="https" secure="true">
    className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
    clientAuth="false" protocol="TLS"
    keystoreFile=" insert path to the keystore here ">
    keystorePass=" insert keystore password here ">

    -->

    • 4. Обновите абсолютные пути (например "C:/tomcat/bin/certs/keystore.kdb")
    • 5. Сохраните файл Server.xml6. Запустите Tomcat

    Примечание:

    Для получения SSL-сертификата необходимо заполнить спец.форму заявки для регистрации;

    SSL-сертификат отправляется Вам в zip-архиве с нужными файлами на адрес доверительной почты;

    SSL - сертификаты Вы также можете использовать на других сервисах, например на почтовых серверах - Postfix и MS Exchange.

    http://my.activecloud.com/uz/index.php?/Knowledgebase/Article/View/79