Как установить сертификат SSL на веб-сервер Apache

Прежде чем начать устанавливать сертификат SSL на веб-сервер Apache, нужно выполнить следующие действия:

• Купите или продлите сертификат SSL
• Сгенерируйте CSR с алгоритмом SHA-2
• Сохраните на вашем сервере CSR и приватный ключ
• Предоставьте документы для получения сертификата SSL, которые требует центр сертификации (только при проверке организаций и расширенной проверке)

Шаг 1: сохраните файлы сертификата SSL

После оплаты и процесса подтверждения документов вы получите файлы сертификата (сертификат сервера, корневой сертификат и промежуточный сертификат). Они будут присланы по электронной почте. Сохраните эти файлы в папку на сервере Apache.

Например, расположение файла ключа SSL /etc/ssl/ssl.key

, а расположение сертификата сервера и связанных с центром сертификации файлов /etc/ssl/ssl.crt.

Шаг 2: скачайте файлы центра сертификации

Эти файлы требуются для установки сертификата SSL. Файлы могут отличаться в зависимости от типа вашего сертификата SSL — с проверкой домена, организации или расширенной проверкой. Посетите сайт центра сертификации для получения файлов.

Шаг 3: изменение файла конфигурации SSL (HTTPD.CNF)

Откройте файл cnf при помощи любого текстового редактора.

В разделе виртуального хоста добавьте следующие строки кода. Они прописывают информацию о домене, который вы защищаете сертификатом SSL:

• SSLEngine on
• SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
• SSLCertificateFile /etc/ssl/ssl.crt/domain.crt
• SSLCertificateChainFile /etc/ssl/ssl.crt/domain.ca-bundle

Для более старых версий Apache используйте файл SSLCACertificateFile вместо SSLCertificateChainFile:

• SSLProtocol all
• SSLHonorCipherOrder On (используется порядок шифрования сервера)
• SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS (Чтобы задать приоритет более надёжному шифрованию и отключить слабое шифрование).
• Сохраните файл cnf.
• Перезапустите сервер Apache.

Можно применить следующие команды для перезапуска сервера:

/usr/local/apache/bin/apachectl startssl
/usr/local/apache/bin/apachectl restart

Теперь ваш сертификат SSL установлен на сервер Apache.

Примечание: названия файлов вроде server.key, domain.crt, domain.ca-bundle используются только в качестве примеров. Вы можете давать им собственные имена.