ssl certificate

Блог адміна: Workflow: SSL сертифікати

12.10.2015

п’ятниця, 27 липня 2012 р.
Workflow: SSL сертифікати

Одна з рутинних операцій, з якими доводиться стикатися системного адміністратора — управління SSL сертифікатами. Я постараюся зібрати на одній сторінці довідкове керівництво, яке допоможе управляти життєвим циклом сертифіката. Для наочності процесу я буду описувати процедуру в контексті WEB-сервера (в інших випадках багато чого збігається, хоча є й відмінності).

Для себе я виділяю кілька етапів у життєвому циклі SSL сертифікату:

  • створення SSL сертифікату
  • установка SSL сертифікату
  • моніторинг валідності та терміну SSL сертифікату

Створення SSL сертифікату

Сертифікат може бути підписаний центром (Certificate Authority, CA), чий сертифікат не входить в список сертифікатів кореневих засвідчують центрів (Root CA) включені в поставку ОС або браузера, в цьому випадку він називається саме-підписаною (self-signed).

Генерація запиту на підписування сертифіката (Certificate Sign Request, CSR)

Далі генеруємо запит на підпис сертифіката

Створений запит знаходиться у файлі www.example.com.csr. Подальші дії залежать від CA і я їх описувати не буду.

Генерація self-signed сертифіката

Якщо потрібно швидко створити self-signed сертифікат, то це робиться так

в цьому випадку буде створений сертифікат у форматі PEM, дійсний 10 років з приватної частиною без пароля і довжиною ключа 2048 біт.

Якщо ви хочете використовувати SAN (Subject Alternate Names), то спочатку потрібно виконати дії, описані в розділі «Генерація запиту на підписування сертифіката», після чого у вас буде два файла: www.example.com.key і www.example.com.csr — вони знадобляться для генерації сертифіката.

Установка SSL сертифікату

У цьому розділі я розгляну установку сертифіката для найбільш часто зустрічаються web-серверів Apache2 і Nginx. Для інших процедура схожа і докладно описана в документації.

Якщо у вас сертифікат self-signed, то вам потрібні два файла: www.example.com.key — приватний ключ і www.example.com.crt — сертифікат для домену www.example.com. Якщо сертифікат був куплений у CA, то часто до неї додається ще й сертифікат CA, наприклад gd_bundle.crt (у GoDaddy)

Установка сертифіката для Apache2

Щоб обмежити доступ до використання сертифіката, його приватний ключ доступний тільки користувачу root.

Додайте в файл конфігурації сайту блок

Після цього можна перезавантажити конфігурацію Apache

Додайте в конфігурацію сайту блок

Якщо у вас є сертифікат для intermediate CA, то його потрібно об’єднати з сертифікатом домену.

І далі використовувати для Nginx /etc/ssl/certs/www.example.com_nginx.crt замість /etc/ssl/certs/www.example.com.crt. Після цього можна перезавантажити конфігурацію Nginx

Моніторинг валідності SSL сертифікату
Отримання інформації про SSL сертифікат

Короткий опис статті: ssl certificate

Джерело: Блог адміна: Workflow: SSL сертифікати

Також ви можете прочитати