27 ноября, 2020

Как установить сертификат SSL на веб-сервер Apache

Прежде чем начать устанавливать сертификат SSL на веб-сервер Apache, нужно выполнить следующие действия:

  • Купите или продлите сертификат SSL
  • Сгенерируйте CSR с алгоритмом SHA-2
  • Сохраните на вашем сервере CSR и приватный ключ
  • Предоставьте документы для получения сертификата SSL, которые требует центр сертификации (только при проверке организаций и расширенной проверке)

Шаг 1: сохраните файлы сертификата SSL

После оплаты и процесса подтверждения документов вы получите файлы сертификата (сертификат сервера, корневой сертификат и промежуточный сертификат). Они будут присланы по электронной почте. Сохраните эти файлы в папку на сервере Apache.

Например, расположение файла ключа SSL /etc/ssl/ssl.key, а расположение сертификата сервера и связанных с центром сертификации файлов /etc/ssl/ssl.crt.

Шаг 2: скачайте файлы центра сертификации

Эти файлы требуются для установки сертификата SSL. Файлы могут отличаться в зависимости от типа вашего сертификата SSL — с проверкой домена, организации или расширенной проверкой. Посетите сайт центра сертификации для получения файлов.

Шаг 3: изменение файла конфигурации SSL (HTTPD.CNF)

Откройте файл cnf при помощи любого текстового редактора.

В разделе виртуального хоста добавьте следующие строки кода. Они прописывают информацию о домене, который вы защищаете сертификатом SSL:

  • SSLEngine on
  • SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
  • SSLCertificateFile /etc/ssl/ssl.crt/domain.crt
  • SSLCertificateChainFile /etc/ssl/ssl.crt/domain.ca-bundle

Для более старых версий Apache используйте файл SSLCACertificateFile вместо SSLCertificateChainFile:

  • SSLProtocol all
  • SSLHonorCipherOrder On (используется порядок шифрования сервера)
  • SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS (Чтобы задать приоритет более надёжному шифрованию и отключить слабое шифрование).
  • Сохраните файл cnf.
  • Перезапустите сервер Apache.

Можно применить следующие команды для перезапуска сервера:

/usr/local/apache/bin/apachectl startssl
/usr/local/apache/bin/apachectl restart

Теперь ваш сертификат SSL установлен на сервер Apache.

Читать также:  Как установить сертификат SSL на Microsoft Exchange Server 2013

Примечание: названия файлов вроде server.key, domain.crt, domain.ca-bundle используются только в качестве примеров. Вы можете давать им собственные имена.

Добавить комментарий