Настройка и установка премиум SSL-сертификата

Эта статья поможет сгенерировать, настроить и установить SSL-сертификат DigiCert Premium DV на VPS от ArkHost. (Debian 10 с Apache2)
SSL-сертификат в приведенном ниже примере будет сгенерирован для arkhost.org

Предварительные требования:
  • Действительная A-запись
  • Действительный адрес электронной почты для подтверждения (обязательно в пределах домена)

У вас должен быть действительный "CSR" (Certificate Signing Request) для настройки вашего SSL-сертификата. CSR - это зашифрованный текст, генерируемый веб-сервером, на котором будет установлен SSL-сертификат. Если у вас еще нет CSR, вы должны сгенерировать его самостоятельно или попросить вашего хостинг-провайдера сделать это за вас.

Сначала давайте подключимся к нашему облачному серверу по SSH (как показано в этой статье), так как это упростит копирование и вставку предоставленной информации и редактирование при необходимости.

Генерация CSR:

openssl req -new -newkey rsa:2048 -nodes -keyout arkhost.key -out arkhost.csr
Введите запрашиваемую информацию:
  • Common Name: Полное доменное имя или URL, который вы защищаете.
  • Если вы запрашиваете сертификат с подстановочным знаком (Wildcard), добавьте звездочку (*) слева от общего имени, где вы хотите использовать подстановочный знак, например, *.coolexample.com.
  • Organization: Официально зарегистрированное название вашей компании. Если вы регистрируетесь как частное лицо, введите имя запрашивающего сертификат.
  • Organization Unit: Если применимо, введите название DBA (doing business as).
  • City or Locality: Название города, где зарегистрирована/расположена ваша организация. Не сокращайте.
  • State or Province: Название штата или провинции, где расположена ваша организация. Не сокращайте.
  • Country: Двухбуквенный код страны в формате Международной организации по стандартизации (ISO), где ваша организация юридически зарегистрирована.

Будет сгенерирован файл arkhost.csr; нам нужно открыть файл для чтения и скопировать содержимое, чтобы вставить его в поле CSR в клиентской области ArkHost, в окне настройки сертификата.

less arkhost.csr

Скопируйте все содержимое между BEGIN и END, где "..." - это содержимое.

-----BEGIN CERTIFICATE REQUEST-----

...

-----END CERTIFICATE REQUEST-----

Предполагая, что вы заказали сертификат DigiCert PremiumSSL на ArkHost, войдите в клиентскую область.

Статус конфигурации - Ожидает настройки, Нажмите на Настроить сейчас


Шаг 1:

Выберите Apache + ModSSL (в нашем случае) или любую другую конфигурацию, подходящую для вашей установки.

В поле CSR вставьте содержимое, которое мы скопировали из arkhost.csr.
Прокрутите вниз, просмотрите Административную контактную информацию и нажмите кнопку "Нажмите, чтобы продолжить >>".

Шаг 2:

Выберите одобренный адрес электронной почты, так как этот адрес может принадлежать только владельцу домена; это сертификат с проверкой домена (DV).

Нажмите Продолжить

Шаг 3:

Вы получите уведомление о завершении настройки на экране, а также получите электронное письмо для подтверждения.

Следуйте ссылке "Просмотреть детали и завершить запрос здесь (ссылка действительна в течение 30 дней)" и нажмите кнопку Подтвердить.


Вы можете проверить это на странице Детали продукта сертификата.

На этом этапе вы получите электронное письмо от DigiCert с прикрепленным файлом .pem.
Но мы не можем использовать этот формат файла. Вместо этого нам нужно использовать Гостевой доступ из полученного электронного письма, используя адрес и номер заказа/FQDN сертификата для входа.

После входа в портал гостевого доступа DigiCert вы можете легко загрузить файл .crt для настройки в конфигурации apache вашего веб-сайта.

Предполагая, что вы загрузили 2 файла .crt из архива .zip в директорию /etc/ssl/arkhost.org/ на вашем облачном сервере.
Мы можем начать редактировать или добавлять директиву <VirtualHost *:443>, чтобы правильно указать на наш SSL-сертификат и файл ключа (изначально сгенерированный при создании CSR в самом начале этой статьи), как показано ниже.

<VirtualHost *:443>

DocumentRoot /var/www/arkhost.org

SSLEngine on

SSLCertificateFile /etc/ssl/arkhost.org/arkhost_org.crt

SSLCertificateKeyFile /etc/ssl/arkhost.org/arkhost.key

SSLCertificateChainFile /etc/ssl/arkhost.org/arkhost_org.DigiCertCA.crt

</VirtualHost>
В нашем случае сертификатами управлял Certbot (Let's Encrypt), который был установлен через snap. Чтобы удалить его:
snap remove certbot

+ Удалите задачу Cron для автоматического обновления сертификата, закомментировав строку, добавив '#' перед ней.

# m h dom mon dow command

#43 6 * * * certbot renew --post-hook "systemctl reload apache2"

Выполните следующую команду для проверки вашего конфигурационного файла (на некоторых системах это apache2ctl):
apachectl configtest

Перезапустите Apache:

Вы можете использовать команды apachectl для остановки и запуска Apache с поддержкой SSL.
apachectl stop

apachectl start

Проверка установки вашего SSL/TLS-сертификата

Тест в браузере
  1. Для лучших результатов обязательно закройте свой веб-браузер и затем запустите его заново.
  2. Посетите ваш сайт по защищенному URL HTTPS (т.е., перейдите на https://www.example.com, а не http://www.example.com).
  3. Обязательно проверьте ваш сайт не только в Internet Explorer. IE загружает недостающие промежуточные сертификаты, в то время как другие браузеры выдают ошибку, если все сертификаты цепочки не установлены правильно.

Если вам нужно отключить совместимость с SSL версии 2 для соответствия требованиям PCI Compliance, добавьте следующую директиву в ваш конфигурационный файл Apache:

SSLCipherSuite HIGH:+MEDIUM:!SSLv2:!EXP:!ADH:!aNULL:!eNULL:!NULL
Если директива уже существует, возможно, вам потребуется изменить ее, чтобы отключить SSL версии 2.

  • 66 Пользователи нашли это полезным
Помог ли вам данный ответ?