Автор: Содержание:
Прежде чем начать устанавливать сертификат SSL на веб-сервер Apache, нужно выполнить следующие действия:
- Купите или продлите сертификат SSL
- Сгенерируйте CSR с алгоритмом SHA-2
- Сохраните на вашем сервере CSR и приватный ключ
- Предоставьте документы для получения сертификата SSL, которые требует центр сертификации (только при проверке организаций и расширенной проверке)
Шаг 1: сохраните файлы сертификата SSL
После оплаты и процесса подтверждения документов вы получите файлы сертификата (сертификат сервера, корневой сертификат и промежуточный сертификат). Они будут присланы по электронной почте. Сохраните эти файлы в папку на сервере Apache.
Например, расположение файла ключа SSL /etc/ssl/ssl.key, а расположение сертификата сервера и связанных с центром сертификации файлов /etc/ssl/ssl.crt.
Шаг 2: скачайте файлы центра сертификации
Эти файлы требуются для установки сертификата SSL. Файлы могут отличаться в зависимости от типа вашего сертификата SSL — с проверкой домена, организации или расширенной проверкой. Посетите сайт центра сертификации для получения файлов.
Шаг 3: изменение файла конфигурации SSL (HTTPD.CNF)
Откройте файл cnf при помощи любого текстового редактора.
В разделе виртуального хоста добавьте следующие строки кода. Они прописывают информацию о домене, который вы защищаете сертификатом SSL:
- SSLEngine on
- SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
- SSLCertificateFile /etc/ssl/ssl.crt/domain.crt
- SSLCertificateChainFile /etc/ssl/ssl.crt/domain.ca-bundle
Для более старых версий Apache используйте файл SSLCACertificateFile вместо SSLCertificateChainFile:
- SSLProtocol all
- SSLHonorCipherOrder On (используется порядок шифрования сервера)
- SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS (Чтобы задать приоритет более надёжному шифрованию и отключить слабое шифрование).
- Сохраните файл cnf.
- Перезапустите сервер Apache.
Можно применить следующие команды для перезапуска сервера:
/usr/local/apache/bin/apachectl startssl /usr/local/apache/bin/apachectl restart
Теперь ваш сертификат SSL установлен на сервер Apache.
Примечание: названия файлов вроде server.key, domain.crt, domain.ca-bundle используются только в качестве примеров. Вы можете давать им собственные имена.
