Практично кожна більш-менш велика компанія займаються наданням послуг хостингу готова запропонувати своїм клієнтам можливість придбання SSL сертифікату від іменитих компаній, що займаються їх випуском. SSL сертифікат призначений для захисту сайту, і є ключовим елементом в шифруванні інформації, що передається між сайтом і клієнтськими програмами. Іншими словами, можна сказати, що наявність сертифіката SSL сайт слугує підтвердженням того, що обмін даними між сайтом і браузером здійснюється по захищеному каналу, і покликана забезпечити безпечне з’єднання і конфіденційність.

Випустити сертифікат можна самому, і він буде за якістю шифрування нічим не гірше того, що ви придбаєте у сторонніх компаній. Так що ж відрізняє сертифікат зроблений самим від того, за який слід виплатити певну суму сторонньої компанії? Справа в тому, що коли ви купуєте сертифікат у сторонньої компанії, вони попередньо засвідчуються в достовірності інформації про вас. Головним чином це і сприяє симпатії з боку користувачів до сертифікатів даного типу, ніж тим, що зроблені власноруч власниками сайту. В цьому і полягає основна відмінність.

Тепер давайте розглянемо приклад встановлення SSL сертифікату від Comodo в Nginx, під управлінням операційної системи Linux CentOS. Перед придбанням сертифіката ми створюємо секретний ключ і файл CSR (запит на підпис сертифіката), ми зробимо це за допомогою команди OpenSSL.

openssl req -new -newkey rsa:2048 -nodes -keyout example_com.key -out example_com.csr

Після виконання команди в директорії, в якій ви перебували, будуть створені два файла:

  • example_com.key – ваш закритий ключ;
  • example_com.csr – CSR файл;

Після того як ви відправили заявку на сертифікат, а так само пройшли всю процедуру перед його отриманням, вам на пошту буде відправлено архів, в якому будуть знаходитися файли, серед яких так само буде ваш SSL сертифікат.
Переконайтеся, що у вас є такі файли, якщо їх немає, то їх можна скачати на самому сайті comodo, за винятком, звичайно, вашого сертифіката:

  • AddTrustExternalCARoot.crt – кореневий сертифікат CA;
  • COMODORSAAddTrustCA.crt – проміжний сертифікат CA;
  • COMODORSADomainValidationSecureServerca.crt – проміжний сертифікат CA;
  • www_example_com.crt – ваш сертифікат, або ім’я може бути у вигляді набору цифр і символів;

Ставимо все це справа в Nginx
Першим ділом створимо файл «bundle» — простіше кажучи, цей файл поєднує в собі кілька ключів. У цьому можна переконатися, відкривши його в текстовому редакторі.

cat www_example_com.crt COMODORSADomainValidationSecureServerca.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

Далі слід помістити файл в директорію разом з самим SSL сертифікатом. Як правило, слід розміщувати файли сертифіката в директорію, щоб Nginx мав можливість отримати доступ до неї. У нашому прикладі сертифікати будуть знаходитися в директорії /etc/pki/example_com/.

Все, що залишилося зробити — це прописати настройки в конфігураційному файлі хостів Nginx.
Відкриваємо файл з налаштуваннями хостів:

vi /etc/nginx/conf.d/vhosts.conf

Прописуємо параметри:

server {
listen 443;
ssl on;
ssl_certificate /etc/pki/example_com/ssl-bundle.crt;
ssl_certificate_key /etc/pki/example_com/example_com.key;
# side note: only use TLS since SSLv2 and SSLv3 have had recent vulnerabilities
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# …
}

Не забудьте після того як прописали параметри файлу перезапустити nginx.

service nginx restart

На цьому все, хотілося б ще відзначити, що тут ми встановлювали сертифікат PositiveSSL Certificate, інші сертифікати встановлюються аналогічним чином. Трохи уваги, і все вийде. Успіхів!

Додав: htmaker, 20.12.2015 р.
(2 голосів, середній: 3,00 з 5)

Завантаження…

Діліться з друзями:

См. також:


Оновлення пакетів в CentOS
Рубрика: Linux

Bash: mail: command not found
Рубрика: Linux

Виставляємо тимчасову зону в CentOS 7
Рубрика: Linux

Налаштування SELinux, включення, відключення
Рубрика: Linux, Інф. безпека

Змінюємо пароль root в MySQL 5.7
Рубрика: Linux, MySQL

Установка і настройка mSMTP на Linux
Рубрика: Linux

Установка GIT на CentOS 7
Рубрика: Linux

Як відключити IPv6 в CentOS 7?
Рубрика: Linux

Ротація логів в Linux
Рубрика: Apache, Linux