Een Premium SSL Certificaat configureren en installeren

Dit artikel zal een DigiCert Premium SSL DV Certificaat genereren, configureren en installeren op een VPS bij ArkHost. (Debian 10 met Apache2)
Het SSL-certificaat in het onderstaande voorbeeld zal worden gegenereerd voor arkhost.org

Vereisten:
  • Een geldig A-record
  • Geldig e-mailadres voor goedkeuring (binnen het domein is een vereiste)

U moet een geldige "CSR" (Certificate Signing Request) hebben om uw SSL-certificaat te configureren. De CSR is een versleuteld stuk tekst dat wordt gegenereerd door de webserver waar het SSL-certificaat zal worden geïnstalleerd. Als u nog geen CSR heeft, moet u er een genereren of uw webhostingprovider vragen er een voor u te ontwikkelen.

Laten we eerst verbinding maken met onze Cloud Server via SSH (zoals getoond in dit artikel), omdat het gemakkelijker zal zijn om de verstrekte informatie te kopiëren en plakken en waar nodig te bewerken.

Genereer de CSR:

openssl req -new -newkey rsa:2048 -nodes -keyout arkhost.key -out arkhost.csr
Voer de gevraagde informatie in:
  • Common Name: De volledig gekwalificeerde domeinnaam, of URL, die u beveiligt.
  • Als u een Wildcard-certificaat aanvraagt, voeg dan een asterisk (*) toe aan de linkerkant van de common name waar u het wildcard wilt, bijvoorbeeld *.coolexample.com.
  • Organization: De wettelijk geregistreerde naam van uw bedrijf. Als u zich inschrijft als individu, voer dan de naam van de certificaataanvrager in.
  • Organization Unit: Indien van toepassing, voer de DBA (doing business as) naam in.
  • City or Locality: Naam van de stad waar uw organisatie is geregistreerd/gevestigd. Niet afkorten.
  • State or Province: Naam van de staat of provincie waar uw organisatie is gevestigd. Niet afkorten.
  • Country: De tweeletterige landcode volgens de International Organization for Standardization (ISO) voor waar uw organisatie wettelijk is geregistreerd.

Er wordt een arkhost.csr-bestand gegenereerd; we moeten het bestand openen om te lezen en de inhoud kopiëren om in het CSR-veld in het ArkHost-klantgedeelte, het venster Certificaatconfiguratie te plakken.

less arkhost.csr

Kopieer alle inhoud tussen BEGIN & END waar "..." de inhoud is.

-----BEGIN CERTIFICATE REQUEST-----

...

-----END CERTIFICATE REQUEST-----

Aangenomen dat u een DigiCert PremiumSSL-certificaat heeft besteld bij ArkHost, log in op het klantgedeelte.

De configuratiestatus is Wachtend op configuratie, Klik op Nu configureren


Stap 1:

Selecteer Apache + ModSSL (in ons geval) of een andere configuratie die bij uw setup past.

Plak in het CSR-veld de inhoud die we hebben gekopieerd uit de arkhost.csr.
Scroll naar beneden, bekijk de Administratieve contactgegevens en klik op de knop "Klik om door te gaan >>".

Stap 2:

Selecteer het goedgekeurde e-mailadres, aangezien dit e-mailadres alleen onder de eigenaar van het domein zelf kan vallen; dit is een Domain Validation (DV) certificaat.

Klik op Doorgaan

Stap 3:

U ontvangt een melding van Configuratie Voltooid op het scherm en ontvangt ook een e-mail ter goedkeuring.

Volg de "Bekijk de details en voltooi het verzoek hier (link is 30 dagen geldig)" en klik op de Goedkeuren knop.


U kunt dit verifiëren op de Productdetails pagina van het Certificaat.

Op dit punt ontvangt u een e-mail van DigiCert met een .pem-bestand als bijlage.
Maar we kunnen dit bestandsformaat niet gebruiken. In plaats daarvan moeten we de Gasttoegang gebruiken van de ontvangen e-mail met het adres en ordernummer/certificaat FQDN om in te loggen.

Wanneer u bent ingelogd op het DigiCert Gasttoegangsportaal, kunt u eenvoudig de .crt downloaden om te configureren in de apache-configuratie van uw website.

Aangenomen dat u de 2 .crt-bestanden uit het .zip-archief heeft geüpload naar de /etc/ssl/arkhost.org/ map op uw Cloud-server.
We kunnen beginnen met het bewerken of toevoegen van de <VirtualHost *:443> directive om correct te verwijzen naar ons SSL-certificaat en sleutelbestand (initieel gegenereerd bij het maken van de CSR aan het begin van dit artikel) zoals hieronder weergegeven.

<VirtualHost *:443>

DocumentRoot /var/www/arkhost.org

SSLEngine on

SSLCertificateFile /etc/ssl/arkhost.org/arkhost_org.crt

SSLCertificateKeyFile /etc/ssl/arkhost.org/arkhost.key

SSLCertificateChainFile /etc/ssl/arkhost.org/arkhost_org.DigiCertCA.crt

</VirtualHost>
In ons geval werden certificaten afgehandeld door Certbot (Let's Encrypt), dat was geïnstalleerd met snap. Om het te verwijderen:
snap remove certbot

+ Verwijder de Cron-taak om automatisch de certificaatvernieuwing af te handelen door de regel uit te commentariëren door een '#' ervoor te zetten.

# m h dom mon dow command

#43 6 * * * certbot renew --post-hook "systemctl reload apache2"

Voer het volgende commando uit om uw configuratiebestand te testen (op sommige systemen is het apache2ctl):
apachectl configtest

Herstart Apache:

U kunt apachectl commando's gebruiken om Apache te stoppen en te starten met SSL-ondersteuning.
apachectl stop

apachectl start

Testen van uw SSL/TLS-certificaatinstallatie

Browser Test
  1. Voor de beste resultaten, zorg ervoor dat u eerst uw webbrowser sluit en dan opnieuw opstart.
  2. Bezoek uw site met de beveiligde HTTPS URL (d.w.z., ga naar https://www.example.com, niet http://www.example.com).
  3. Zorg ervoor dat u uw site test met meer dan alleen Internet Explorer. IE downloadt ontbrekende intermediate certificaten; terwijl andere browsers een foutmelding geven als niet alle certificaten in de certificaatketen correct zijn geïnstalleerd.

Als u SSL versie 2 compatibiliteit moet uitschakelen om te voldoen aan PCI Compliance vereisten, voeg dan de volgende directive toe aan uw Apache configuratiebestand:

SSLCipherSuite HIGH:+MEDIUM:!SSLv2:!EXP:!ADH:!aNULL:!eNULL:!NULL
Als de directive al bestaat, moet u deze mogelijk aanpassen om SSL versie 2 uit te schakelen.

  • 66 gebruikers vonden dit artikel nuttig
Was dit antwoord nuttig?