О самоподписанных сертификатах
SSL-сертификат — это способ шифрования информации сайта и создания более защищенных соединений. Кроме того, сертификат может предоставить посетителям сайта идентификационную информацию о виртуальном выделенном сервере. Чтобы получить SSL сертификат, подтверждающий данные сервера, можно обратиться в центр сертификации или же создать самостоятельно подписанный сертификат, не требующий сторонних подтверждений.
Thank you for reading this post, don't forget to subscribe!
Требования
Для выполнения данного руководства на VPS должен быть установлен nginx.
Чтобы установить nginx:
- установите репозиторий EPEL:
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
- затем приступайте к установке nginx:
yum install nginx
1: Создайте каталог для сертификата
SSL-сертификат состоит из двух частей: самого сертификата и открытого ключа. Для простоты работы нужно создать отдельный каталог для хранения этих файлов:
mkdir /etc/nginx/ssl
Теперь перейдите в новый каталог, поскольку следующие действия нужно выполнить в нем:
cd /etc/nginx/ssl
2: Создайте ключ и запрос на подпись сертификата
Сначала создайте закрытый ключ. В ходе этого процесса будет предложено ввести определенный пароль. Обязательно запишите или запомните этот пароль — если он будет утерян, получить доступ к сертификату будет невозможно.
openssl genrsa -des3 -out server.key 1024
Затем создайте запрос на подпись сертификата:
openssl req -new -key server.key -out server.csr
Данная команда выведет на экран список полей, которые необходимо заполнить.
Самым важным полем является Common Name. Внесите в него официальный домен или IP-адрес (если домена нет). Поля Challenge password и Optional company name заполнять не нужно.
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:NYC
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Awesome Inc
Organizational Unit Name (eg, section) []:Dept of Merriment
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:webmaster@awesomeinc.com[/spoiler]
3: Удалите пароль
Сертификат почти готов. На данном этапе нужно удалить установленный ранее пароль. Конечно, наличие пароля повышает уровень безопасности. Тем не менее, его нужно вводить всякий раз, когда nginx терпит сбои или требует перезагрузки,.
Для удаления пароля используйте команду:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
4: Подпишите SSL-сертификат
Теперь осталось только подписать сертификат. Обратите внимание: на данном этапе можно указать срок действия сертификата. Для этого нужно заменить 365 нужным количеством дней. Согласно следующей команде, сертификат будет действителен в течение 365 дней:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Сертификат SSL готов!
5: Установите сертификат
Откройте конфигурационный файл SSL:
vi /etc/nginx/conf.d/ssl.conf
Раскомментируйте раздел, начинающийся со строки HTTPS Server. Отредактируйте данный файл согласно нижеприведенному коду (не забудьте заменить example.com в строке server_name своим доменным именем или IP-адресом). Чтобы просто протестировать сертификат, укажите root по умолчанию.
[spoiler]# HTTPS server
server {
listen 443;
server_name example.com;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
}[/spoiler]
Затем перезапустите nginx:
/etc/init.d/nginx restart
Посетите https://ваш_адрес.
Это откроет страницу самоподписанного сертификата.
Готово!
6: Установить сертификат корректнее так:
пути прописать в виртхосте, в секции server:
server {
listen 443;
server_name test2.t www.test2.t;ssl on;
ssl_certificate /etc/nginx/ssl/test2.t.crt;
ssl_certificate_key /etc/nginx/ssl/test2.t.key;