====== Сертификаты SSL ======

===== Сертификаты могут лежать в нескольких местах =====
<code>
/etc/ssl/
</code>
<code>
/etc/letsencrypt/archive/доменное имя
</code>
<code>
/etc/letsencrypt/live/доменное имя
</code>

===== Создание Сертификата SSL через openssl =====
<code>
openssl req -new -x509 -days 1461 -nodes -out /etc/ssl/public.pem -keyout /etc/ssl/private.key -subj "/C=RU/ST=SPb/L=SPb/O=Global Security/OU=IT Department/CN=Ваше доменное имя"
</code>
<note>Где **/etc/ssl/** путь к сертификату</note>

===== Создание сертификата SSL через certbot =====
==== Apache ====
<code>certbot certonly --webroot --agree-tos --email service@fellk.ru --webroot-path /var/www/html/ -d fellk.ru -d www.fellk.ru</code>
==== TXT вашего хостера ====
<code>certbot certonly --manual --agree-tos --email service@fellk.ru --preferred-challenges=dns -d fellk.ru -d www.fellk.ru</code>
На запрос отвечаем Y и получаем подобное сообщение
<note>Please deploy a DNS TXT record under the name
_acme-challenge.fellk.ru with the following value:

VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd

Once this is deployed,</note>
Теперь идем к хостеру и создаем там TXT-запись _acme-challenge.fellk.ru
с содержимым **VHFPbXt82j2oUjhxVgS7Bphpkf3Cv1Bq9KSA2dd**

===== Создание сертификата SSL через certbot на все поддомены =====
<code>certbot certonly --manual --agree-tos --email service@fellk.ru --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges=dns -d fellk.ru -d *.fellk.ru</code>
Как и в предыдущем случае система попросит создать TXT запись.

===== Собственный центр сертификации =====
  * Создаем корневой закрытый ключ - <code>openssl genpkey -algorithm RSA -out rootCA.key -aes-128-cbc</code>
  * Создаем корневой закрытый сертификат - <code>openssl req -x509 -new -key rootCA.key -sha256 -days 3650 -out rootCA.crt</code>
  * Создаем файл для хранения порядковых номеров с содержимым **00** - <code>nano rootCA.srl</code>
  * Устанавливаем корневой сертификат на все нужные ПК любым способом в **Доверенные корневые центры сертификации**
  * Создаем конфигурационный файл под каждое ваше доменное имя - <code>nano test.cnf</code>
<note>Содержимое конфига меняйте по своей структуре
<code>
[ req ]
default_bits = 2048
distinguished_name  = req_distinguished_name
req_extensions     = req_ext
[ req_distinguished_name ]
countryName                  = Country Name (2 letter code)
countryName_default          = RU
stateOrProvinceName          = State or Province Name (full name)
stateOrProvinceName_default  = Spb
localityName                 = Locality Name (eg, city)
localityName_default         = Spb
organizationName             = Organization Name (eg, company)
organizationName_default     = Test
commonName                   = Common Name (eg, YOUR name or FQDN)
commonName_max               = 64
commonName_default           = test.test.ru
[ req_ext ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = DNS:test.test.ru
</code>
</note>
  * Создаем закрытый ключ для своего домена - <code>openssl genpkey -algorithm RSA -out test.key</code>
  * Создаем файл запроса - <code>openssl req -new -key test.key -config test.cnf -reqexts req_ext -out test.csr</code>
  * Создаем сам сертификат - <code>openssl x509 -req -days 730 -CA rootCA.crt -CAkey rootCA.key -extfile test.cnf -extensions req_ext -in test.csr -out test.crt</code>
  * Подключаем созданный сертификат к вашему домену через ваш веб сервер
  * Проверяем работу домена и не забываем обновлять сертификаты по истечении срока годности