Получить и установить сертификат

1. Откройте сертификат сервера в любом текстовом редакторе и полностью скопируйте в буфер обмена его содержимое (включая строки, содержащие текст “BEGIN” и “END”).
   
2. Создайте на сервере текстовый файл yourdomain.crt (в названии используйте название вашего домена либо любое другое понятное вам имя) и вставьте в него сертификат сервера из буфера обмена. Сохраните файл в директории сертификатов. Обычно это директория /usr/local/ssl/crt, но также может использоваться и любой другой путь.
   
3. Поместите файл закрытого ключа в директорию для ключей. По аналогии с директорией для сертификатов путь, скорее всего, будет следующим: /usr/local/ssl/private.
4. Откройте для редактирования конфигурационный файл Apache – httpd.conf. Найдите раздел VirtualHost и добавьте (или отредактируйте, если они уже имеются) следующие директивы, указав актуальные пути к файлам сертификатов и ключа:
   SSLEngine on
   SSLCertificateKeyFile /usr/local/ssl/private/private.key
   SSLCertificateFile /usr/local/ssl/crt/youdomain.crt
   SSLCACertificateFile /usr/local/ssl/crt/intermediate.crt
   Убедитесь в правильности путей: каждый из них должен указывать на существующий файл.
5. Сохраните изменения и выполните перезапуск веб-сервера:
   /usr/local/sbin/apachectl restart
   или
   /usr/local/sbin/apachectl startssl
6. Теперь, если все сделано правильно, к вашему домену можно обращаться, используя защищенный протокол https.

Для типового сервера nginx

Структура конфигурационных файлов сервера nginx может различаться в зависимости от операционной системы.

Например:

root@VM-97-7114-01:/etc/nginx# ls -al

drwxr-xr-x 2 root root 4096 Feb 6 2014 conf.d
-rw-r—r— 1 root root 898 Dec 13 2011 fastcgi_params
-rw-r—r— 1 root root 2258 Sep 25 2011 koi-utf
-rw-r—r— 1 root root 1805 Sep 25 2011 koi-win
-rw-r—r— 1 root root 2085 Nov 15 2011 mime.types
-rw-r—r— 1 root root 5287 Mar 24 2012 naxsi_core.rules
-rw-r—r— 1 root root 287 Mar 25 2012 naxsi.rules
-rw-r—r— 1 root root 1605 Mar 29 2012 nginx.conf
-rw-r—r— 1 root root 131 Sep 25 2011 proxy_params
-rw-r—r— 1 root root 465 Sep 25 2011 scgi_params
drwxr-xr-x 2 root root 4096 Dec 23 18:35 sites-available
drwxr-xr-x 2 root root 4096 Dec 23 18:35 sites-enabled
-rw-r—r— 1 root root 497 Sep 25 2011 uwsgi_params
-rw-r—r— 1 root root 3071 Sep 25 2011 win-utf

Требуемые конфигурационные файлы содержат «директивы» — блоки, выделенные фигурными скобками и содержащие внутри параметры конфигурации сервера.

Блоки могут выглядеть следующим образом:

server {
server_name example.com www.example.com;
}

или

server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate public.crt;
ssl_certificate_key my_private.key;
}

Конфигурация второго блока в примере дает команду веб-серверу принимать входящие запросы https по 443 порту. Помимо этого, в примере указано название сервера и пути файлов с ключом и сертификатом.

Требуемые блоки находятся в файле.

#/etc/nginx/sites-enabled/default

Рекомендуется следующая конфигурация (используется для версии nginx 1.1.19 и OpenSSL 1.0.1):

# HTTPS server
server {
listen 443;
server_name localhost;
root html;
index index.html index.htm;
ssl on;
ssl_certificate /etc/ssl/bundle.crt;
ssl_certificate_key /etc/ssl/my_private.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers —
ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES;
ssl_prefer_server_ciphers on;
location / {
try_files $uri $uri/ /index.html;
}
}

Важно правильно указать пути к файлам, содержащим сертификаты и приватный ключ, в строках:

ssl_certificate bundle.crt;
ssl_certificate_key my_private.key;

Для настройки сервера используются несколько файлов: файл приватного ключа, файл сертификата сервера и файл промежуточного сертификата.

Фактически промежуточных сертификатов может быть больше одного, а может и не быть вовсе; их количество определяется внутренней политикой удостоверяющего центра, выдающего сертификат:

1. Файл с сертификатом public.crt.
2. Файл с промежуточным сертификатом intermediate.crt
3. Файл с приватным ключом, который сгенерирован при формировании CSR. Это файл my_private.key

В соответствии с руководством по настройке, следует сделать один файл из файлов с основным и промежуточным сертификатами:

#cat public.crt intermediate.crt >> bundle.crt

Если имеются дополнительные файлы с промежуточными сертификатами, по аналогии следует добавить в этот же файл.

Далее необходимо указать правильные пути к файлам в конфигурации выше:

ssl_certificate /etc/ssl/bundle.crt;
ssl_certificate_key /etc/ssl/my_privatet.key;

Затем следует сохранить и закрыть редактируемый файл, после чего проверить конфигурацию командой:

# nginx –t

Если конфигурация верна, то сервер запросит ввести пароль, который был задан для приватного ключа.

#Enter PEM pass phrase:
#nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
#nginx: configuration file /etc/nginx/nginx.conf test is successful

В случае если сервер не найдет указанные файлы по заданным путям, он выдаст соответствующее сообщение.

Если сообщений об ошибке не получено, необходимо перезапустить сервер:

#service nginx restart

или, если nginx еще не запущен,

#service nginx start

Сервер повторно запросит пароль, который был задан для приватного ключа.

Если при запуске сервера сообщений об ошибке не получено, можно проверить правильность установки сертификата, обратившись к серверу через браузер.

Значения остальных параметров ssl_ в секции server приведены на странице документации nginx (на русском языке): http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#directives

Примеры:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; — разрешает и указывает на приоритет использования клиентских протоколов при установке защищенного соединения.

ssl_ciphers «HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES»; — отображает разрешенные алгоритмы шифрования

Скопируйте в буфер обмена содержимое SSL сертификата (включая строки “BEGIN” и “END”)

Создайте текстовый файл на сервере, вставьте в него текст сертификата из буфера обмена и сохраните под именем yourdomain.crt.txt (в названии используйте название вашего домена).

Выполните запуск Internet Information Services. Откройте «Панель управления» — «Администрирование» — «Диспетчер служб IIS».

Правым щелчком мыши на вашем веб-сайте в левом меню вызовите контекстное меню и выберите пункт «Свойства».

На вкладке «Безопасность каталога» (Directory Security) нажмите кнопку «Сертификат» (Server Certificate).

Будет выполнен запуск мастера сертификатов. Нажмите кнопку «Далее».

Выберите пункт «Обработать ожидающий запрос и установить сертификат» (Process the Pending Request and Install the Certificate). Переходите к следующему шагу.

Укажите путь до файла с вашим сертификатом, нажмите «Далее»

Номер порта оставьте без изменений и переходите к завершающему шагу

Внимательно ознакомьтесь с общей информацией, чтобы быть уверенным, что выбран корректный сертификат, и нажмите «Далее» и завершите работу мастера.

Установка сертификата завершена.

Скопируйте в буфер обмена содержимое SSL сертификата (включая строки “BEGIN” и “END”)

Создайте текстовый файл на сервере, вставьте в него текст сертификата из буфера обмена и сохраните под именем yourdomain.crt.txt (в названии используйте название вашего домена).

Выполните запуск Internet Information Services. Откройте «Панель управления» — «Администрирование» — «Диспетчер служб IIS».

В левом меню выберите имя сервера для установки сертификата.

В основном окне выберите «Сертификаты сервера».

Правым щелчком мыши вызовите контекстное меню и выберите пункт «Запрос установки сертификатов».

Укажите путь до файла с вашим сертификатом, во втором поле введите его имя. Нажмите кнопку «ОК» и завершите установку сертификата.

Установка сертификата завершена.