мета-данные страницы
Сертификаты SSL
Сертификаты могут лежать в нескольких местах
/etc/ssl/
/etc/letsencrypt/archive/доменное имя
/etc/letsencrypt/live/доменное имя
Создание Сертификата SSL через openssl
openssl req -new -x509 -days 1461 -nodes -out /etc/ssl/public.pem -keyout /etc/ssl/private.key -subj "/C=RU/ST=SPb/L=SPb/O=Global Security/OU=IT Department/CN=Ваше доменное имя"
Где /etc/ssl/ путь к сертификату
Создание сертификата SSL через certbot
Apache
certbot certonly --webroot --agree-tos --email service@fellk.ru --webroot-path /var/www/html/ -d fellk.ru -d www.fellk.ru
TXT вашего хостера
certbot certonly --manual --agree-tos --email service@fellk.ru --preferred-challenges=dns -d fellk.ru -d www.fellk.ruНа запрос отвечаем Y и получаем подобное сообщение
Please deploy a DNS TXT record under the name
_acme-challenge.fellk.ru with the following value:
VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd
Once this is deployed,
Теперь идем к хостеру и создаем там TXT-запись _acme-challenge.fellk.ru с содержимым VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd
Создание сертификата SSL через certbot на все поддомены
certbot certonly --manual --agree-tos --email service@fellk.ru --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges=dns -d fellk.ru -d *.fellk.ruКак и в предыдущем случае система попросит создать TXT запись.
Собственный центр сертификации
- Создаем корневой закрытый ключ -
openssl genpkey -algorithm RSA -out rootCA.key -aes-128-cbc
- Создаем корневой закрытый сертификат -
openssl req -x509 -new -key rootCA.key -sha256 -days 3650 -out rootCA.crt
- Создаем файл для хранения порядковых номеров с содержимым 00 -
nano rootCA.srl
- Устанавливаем корневой сертификат на все нужные ПК любым способом в Доверенные корневые центры сертификации
- Создаем конфигурационный файл под каждое ваше доменное имя -
nano test.cnf
Содержимое конфига меняйте по своей структуре
[ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = RU stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Spb localityName = Locality Name (eg, city) localityName_default = Spb organizationName = Organization Name (eg, company) organizationName_default = Test commonName = Common Name (eg, YOUR name or FQDN) commonName_max = 64 commonName_default = test.test.ru [ req_ext ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = DNS:test.test.ru
- Создаем закрытый ключ для своего домена -
openssl genpkey -algorithm RSA -out test.key
- Создаем файл запроса -
openssl req -new -key test.key -config test.cnf -reqexts req_ext -out test.csr
- Создаем сам сертификат -
openssl x509 -req -days 730 -CA rootCA.crt -CAkey rootCA.key -extfile test.cnf -extensions req_ext -in test.csr -out test.crt
- Подключаем созданный сертификат к вашему домену через ваш веб сервер
- Проверяем работу домена и не забываем обновлять сертификаты по истечении срока годности
Обсуждение