мета-данные страницы
  •  

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
certification_ssl [2023/09/27 12:22] Администраторcertification_ssl [2023/12/25 09:21] (текущий) Администратор
Строка 22: Строка 22:
 <code>certbot certonly --webroot --agree-tos --email service@fellk.ru --webroot-path /var/www/html/ -d fellk.ru -d www.fellk.ru</code> <code>certbot certonly --webroot --agree-tos --email service@fellk.ru --webroot-path /var/www/html/ -d fellk.ru -d www.fellk.ru</code>
 ==== TXT вашего хостера ==== ==== TXT вашего хостера ====
-<code>certbot certonly --manual --agree-tos --email service@dmosk.ru --preferred-challenges=dns -d fellk.ru -d www.fellk.ru</code>+<code>certbot certonly --manual --agree-tos --email service@fellk.ru --preferred-challenges=dns -d fellk.ru -d www.fellk.ru</code>
 На запрос отвечаем Y и получаем подобное сообщение На запрос отвечаем Y и получаем подобное сообщение
 <note>Please deploy a DNS TXT record under the name <note>Please deploy a DNS TXT record under the name
Строка 34: Строка 34:
  
 ===== Создание сертификата SSL через certbot на все поддомены ===== ===== Создание сертификата SSL через certbot на все поддомены =====
-<code>certbot certonly --manual --agree-tos --email service@dmosk.ru --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges=dns -d fellk.ru -d *.fellk.ru</code>+<code>certbot certonly --manual --agree-tos --email service@fellk.ru --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges=dns -d fellk.ru -d *.fellk.ru</code>
 Как и в предыдущем случае система попросит создать TXT запись. Как и в предыдущем случае система попросит создать TXT запись.
 +
 +===== Собственный центр сертификации =====
 +  * Создаем корневой закрытый ключ - <code>openssl genpkey -algorithm RSA -out rootCA.key -aes-128-cbc</code>
 +  * Создаем корневой закрытый сертификат - <code>openssl req -x509 -new -key rootCA.key -sha256 -days 3650 -out rootCA.crt</code>
 +  * Создаем файл для хранения порядковых номеров с содержимым **00** - <code>nano rootCA.srl</code>
 +  * Устанавливаем корневой сертификат на все нужные ПК любым способом в **Доверенные корневые центры сертификации**
 +  * Создаем конфигурационный файл под каждое ваше доменное имя - <code>nano test.cnf</code>
 +<note>Содержимое конфига меняйте по своей структуре
 +<code>
 +[ req ]
 +default_bits = 2048
 +distinguished_name  = req_distinguished_name
 +req_extensions     = req_ext
 +[ req_distinguished_name ]
 +countryName                  = Country Name (2 letter code)
 +countryName_default          = RU
 +stateOrProvinceName          = State or Province Name (full name)
 +stateOrProvinceName_default  = Spb
 +localityName                 = Locality Name (eg, city)
 +localityName_default         = Spb
 +organizationName             = Organization Name (eg, company)
 +organizationName_default     = Test
 +commonName                   = Common Name (eg, YOUR name or FQDN)
 +commonName_max               = 64
 +commonName_default           = test.test.ru
 +[ req_ext ]
 +basicConstraints = CA:FALSE
 +keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 +subjectAltName          = DNS:test.test.ru
 +</code>
 +</note>
 +  * Создаем закрытый ключ для своего домена - <code>openssl genpkey -algorithm RSA -out test.key</code>
 +  * Создаем файл запроса - <code>openssl req -new -key test.key -config test.cnf -reqexts req_ext -out test.csr</code>
 +  * Создаем сам сертификат - <code>openssl x509 -req -days 730 -CA rootCA.crt -CAkey rootCA.key -extfile test.cnf -extensions req_ext -in test.csr -out test.crt</code>
 +  * Подключаем созданный сертификат к вашему домену через ваш веб сервер
 +  * Проверяем работу домена и не забываем обновлять сертификаты по истечении срока годности