Различия

Показаны различия между двумя версиями страницы.

--- certification_ssl [2023/09/27 12:07] – Администратор
+++ certification_ssl [2023/12/25 09:21] (текущий) – Администратор
@@ Строка 1: / Строка 1: @@
-===== Сертификаты SSL =====
+====== Сертификаты SSL ======
-Сертификаты могут лежать в нескольких местах
+===== Сертификаты могут лежать в нескольких местах =====
 <code>
 /etc/ssl/
@@ Строка 12: / Строка 12: @@
 </code>
-Создание Сертификата SSL
+===== Создание Сертификата SSL через openssl =====
 <code>
 openssl req -new -x509 -days 1461 -nodes -out /etc/ssl/public.pem -keyout /etc/ssl/private.key -subj "/C=RU/ST=SPb/L=SPb/O=Global Security/OU=IT Department/CN=Ваше доменное имя"
 </code>
-<note>Где\\
+<note>Где **/etc/ssl/** путь к сертификату</note>
- **/etc/ssl/** путь к сертификату</note>
+===== Создание сертификата SSL через certbot =====
+==== Apache ====
+<code>certbot certonly --webroot --agree-tos --email service@fellk.ru --webroot-path /var/www/html/ -d fellk.ru -d www.fellk.ru</code>
+==== TXT вашего хостера ====
+<code>certbot certonly --manual --agree-tos --email service@fellk.ru --preferred-challenges=dns -d fellk.ru -d www.fellk.ru</code>
+На запрос отвечаем Y и получаем подобное сообщение
+<note>Please deploy a DNS TXT record under the name
+_acme-challenge.fellk.ru with the following value:
+VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd
+Once this is deployed,</note>
+Теперь идем к хостеру и создаем там TXT-запись _acme-challenge.fellk.ru
+с содержимым **VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd**
+===== Создание сертификата SSL через certbot на все поддомены =====
+<code>certbot certonly --manual --agree-tos --email service@fellk.ru --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges=dns -d fellk.ru -d *.fellk.ru</code>
+Как и в предыдущем случае система попросит создать TXT запись.
+===== Собственный центр сертификации =====
+  * Создаем корневой закрытый ключ - <code>openssl genpkey -algorithm RSA -out rootCA.key -aes-128-cbc</code>
+  * Создаем корневой закрытый сертификат - <code>openssl req -x509 -new -key rootCA.key -sha256 -days 3650 -out rootCA.crt</code>
+  * Создаем файл для хранения порядковых номеров с содержимым **00** - <code>nano rootCA.srl</code>
+  * Устанавливаем корневой сертификат на все нужные ПК любым способом в **Доверенные корневые центры сертификации**
+  * Создаем конфигурационный файл под каждое ваше доменное имя - <code>nano test.cnf</code>
+<note>Содержимое конфига меняйте по своей структуре
+<code>
+[ req ]
+default_bits = 2048
+distinguished_name  = req_distinguished_name
+req_extensions     = req_ext
+[ req_distinguished_name ]
+countryName                  = Country Name (2 letter code)
+countryName_default          = RU
+stateOrProvinceName          = State or Province Name (full name)
+stateOrProvinceName_default  = Spb
+localityName                 = Locality Name (eg, city)
+localityName_default         = Spb
+organizationName             = Organization Name (eg, company)
+organizationName_default     = Test
+commonName                   = Common Name (eg, YOUR name or FQDN)
+commonName_max               = 64
+commonName_default           = test.test.ru
+[ req_ext ]
+basicConstraints = CA:FALSE
+keyUsage = nonRepudiation, digitalSignature, keyEncipherment
+subjectAltName          = DNS:test.test.ru
+</code>
+</note>
+  * Создаем закрытый ключ для своего домена - <code>openssl genpkey -algorithm RSA -out test.key</code>
+  * Создаем файл запроса - <code>openssl req -new -key test.key -config test.cnf -reqexts req_ext -out test.csr</code>
+  * Создаем сам сертификат - <code>openssl x509 -req -days 730 -CA rootCA.crt -CAkey rootCA.key -extfile test.cnf -extensions req_ext -in test.csr -out test.crt</code>
+  * Подключаем созданный сертификат к вашему домену через ваш веб сервер
+  * Проверяем работу домена и не забываем обновлять сертификаты по истечении срока годности

Инструменты

меню и быстрый поиск

быстрый поиск

статус сайта

Инструменты страницы

мета-данные страницы

Различия