SSL tanúsítvány telepítése Apache szerveren
Az alábbi útmutató bemutatja nyilvános kulcs létrehozásának folyamatát, az OpenSSL eszköz segítségével, amely bármilyen szerveren felhasználható, történő nyilvános kulcs létrehozásának folyamatát mutatja be, továbbá az újonnan kiállított tanúsítvány telepítését az Apache szerveren.
CSR generálás folyamata Apache szerveren (OpenSSL)
A CSR request (nyilvános kulcs, public key) és privát kulcs (vagy magán kulcs, private key) generálásához használható az OpenSSL, amelyet a /usr/local/ssl/bin mappában talál
Első lépésként generálja ki a kulcspárt (key pair). Elindítás után írja a parancssorba:
openssl genrsa –des3 –out www.mydomain.com.key 2048
A -des3 paraméter biztosítja a passphrase használatát a privát kulcshoz, ha a paraméter nincs használva, úgy a privát kulcs nem lesz védve.
A második lépésben generálja ki a szóban forgó CSR kérést.. A CSR-t a privát kulccsal az SSLmarket ügyfélfiókja adminisztrációjában is kigerenálhatja, ekkor a privát kulcsot lementve a későbbi telepítéshez.
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
A parancs beadása után a CSR-hez szükséges adatokat kell majd pontosítania. Az adatokat ékezetek nélkül adja meg.
- Common Name: Common Name a domain teljes neve, amely számára a tanúsítvány ki lesz állítva.
- Company / Organization: adja meg a vállalat teljes nevét hivatalos formában, ahogy a kereskedelmi nyilvántartásban szerepel.
- Organizational Unit: A mező kitöltése nem kötelező és a vállati szervezet megadására szolgál, például leányvállalat vagy ügyosztály.
- Locality / City: Város neve
- State / Province: Írja, hogy Hungary
- Country Name: az ország kétbetűs kódja, HU
- CN: www.sslmarket.hu
- OU: Software
- O: ZONER Kft.
- ST: Gyor-Moson-Sopron
- C: HU
- L: Gyor
A CSR fájlba ne írjon más adatot, mint például e-mail cím, belépési kód vagy választható cégnév (optional company name). Az OpenSSL egy .CSR végződésű fájlt hoz létre, amelyet a tanúsítvány megrendeléséhez kell majd feltöltenie az sslmarket.hu-n.
Kiállított tanúsítvány telepítése a szerverre
Elsődleges lépések
Ha a tanúsítványt olyan kiszolgálóra kívánja telepíteni, ahol az Apache konfigurációját még nem módosította, először engedélyezze a HTTPS-t és az alapértelmezett webhelyet a TLS-kapcsolatokhoz. E két alapvető lépés nélkül a HTTPS egyáltalán nem fog működni.
Adja meg a terminálba:
sudo a2enmod ssl
Ez engedélyezi a HTTPS-t.
Ezután engedélyezze az alapértelmezett webhelyet a biztonságos kapcsolatokhoz, különben az Apache csak az alapértelmezett HTTP webhelyet fogja használni:
sudo a2ensite default-ssl
Indítsa újra az Apache-ot, és már képes lesz a HTTP és HTTPS használatára.
systemctl restart apache2
Tanúsítvány és közbenső (intermediate) behelyezése
A kiállított TLS-tanúsítványt e-mailben kézbesítjük. A tanúsítvány Base64 formátumban kódolt szöveges formában érkezik. Mentse vagy másolja az általunk küldött linux_cert+ca.pem fájlt a szerverre.
A linux_cert+ca.pem fájl együtt tartalmazza a domain tanúsítványát és a közbenső tanúsítványt. Egy fájlban vannak együtt, így megtakaríthatja a munkát, mivel a webszerverek eleve együtt várják őket. Közbenső tanúsítványra azért van szükség, hogy az ügyféleszközökön megbízható legyen a kiállított tanúsítvány. Önnek ezen túl nem kell megkeresni és hozzáadni ezeket külön a konfigurációhoz.
Vhost konfigurációja
A mellékelt tanúsítvány használatához módosítani kell az adott tartomány vhost konfigurációját. Nyissa meg a default-ssl.conf (vagy domain-ssl.conf) konfigurációs fájlt szerkesztéshez (az /etc/apache2/sites-enabled fájlban kell lennie; ha nem, menjen vissza az Elsődleges lépések bekezdéshez ), és módosítsa a privát kulcs és a tanúsítványfájl helyét a következő két direktívában:
- SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
- SSLCertificateKeyFile /etc/ssl/private/private.key
sudo apache2ctl configtest
végül restartolja az Apache-t.
sudo systemctl restart apache2
Szerver beállításának példája
Az Apache webszerveren az engedélyezett és használt konfigurációk az /etc2/apache2/sites-enabled mappában vannak tárolva. Itt egy tipikus szerverkonfigurációs példát mutatunk be a default-ssl.conf fájlban.
SSLEngine on
SSLCertificateFile /etc/ssl/private/domain.pem
SSLCertificateKeyFile /etc/ssl/private/domain.key
Ha egyszerűbbé szeretné tenni a webszerver konfigurációját, használja a moz://a SSL Configuration Generator alkalmazást. A konfigurátor azonnal ajánlja a megfelelő beállításokat a webszerver biztonságához.
Az SSL-tanúsítvány helyes telepítését ellenőrzőnkben ellenőrizheti. További információért olvassa el a A tanúsítvány telepítésének ellenőrzése című súgócikket.
Nem tud kiigazodni, kérdése van?
+36 20 234 3883
Sajnáljuk, hogy nem kapott választ.
Segítene a cikk jobbá tételében? Írja meg nekünk mire nem kapott választ.