В этой статье мы рассмотрим, как заказать бесплатный SSL–сертификат и установить его на облачный VPS от Infobox. Базовые SSL–сертификаты бесплатно выдает центр сертификации StartCom.
Бесплатные сертификаты StartSSL™ класса 1 служат для подтверждения доменных имен и адресов электронной почты. Проверки заказчиков, как правило, производятся автоматически и требуют минимального участия со стороны сотрудников StartCom. В процессе проверки подтверждается то, что подписчик является владельцем домена и действующего ящика электронной почты.
Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена. Если вам необходима сертификация более высокого уровня — можно заказать SSL сертификат в панели управления Infobox на главной странице в блоке «Мои услуги» -> «Заказать новую услугу». Доступ к панели управления предоставляется при заказе любой услуги, например VPS или облачных VPS.
Для обеспечения секретности передаваемых данных простых сайтов сертификаты StartCom подходят неплохо.
Заказ бесплатного SSL–сертификата
Откройте страницу заказа бесплатного сертификата SSL. Заполните информацию о вас (данные должны быть реальными, это очень важно).
На следующем шаге от вас потребуется код подтверждения, отправленный на указанную электронную почту.
Введите код и нажмите «Continue»
После этого необходимо дождаться подтверждания регистрации от StartCom (может занимать до 6 часов, но обычно ссылка для доступа и код подтверждения приходит гораздо быстрее). После получения письма введите код из него по ссылке, указанной в письме. Далее выберите длинну сертификата (лучше выбирать максимальную).
После этого будет сгенерирован сертификат для доступа к сертифицирующему центру StartCom. Сохраните его в безопасном месте и установите в систему, выполнив по нему двойной клик мышью и нажав «Install».
Теперь у вас есть доступ к сертифицирующему центру. На следующем шаге введите имя домена, для которого хотите получить сертификат.
Для подтверждения домена необходимо создать на нем один из трех адресов:
- postmaster@domain
- hostmaster@domain
- webmaster@domain
Если у вас еще не подключена почта для домена, можно привязать домен к бесплатной Яндекс.Почте или воспользоваться бизнес-почтой «Офис 24»
После создания почтового ящика на домене выберите его у StartCom и подтвердите принадлежность домена вам.
После подтверждения владения доменом вы можете сгенерировать секретный ключ, как показано на скриншоте ниже:
Пароль может состоять только из букв и цифр (без знаков препинания). Длина пароль: от 10 до 32 символов.
Будет сгенерирован приватный ключ. Сохраните его (например в файл ssl.key).
На следующем шаге будет предложено выбрать домен, а далее — добавьте поддомер www к домену, чтобы сертификат действовал и на него.
Будет сгенерирован crt сертификат, сохраните его содержимое в файл ssl.crt.
Для веб-сервера потребуется расшифрованный сертификат. Перейдите в раздел Toolbox -> Decrypt Private Key. Вставьте содержимое ssl.key и введите пароль, заданный при генерации сертификата.
После этого содержимое расшифрованного сертификата сохраните как private.key.
Вам понадобится корневой и промежуточный сертификаты StartCom. Для их получения перейдите в раздел Toolbox -> StartCom CA Certificates.
Сохраните файлы по ссылке Class 1 Intermediate Server CA (sub.class1.server.ca.pem) и StartCom Root CA (ca.pem).
В итоге у вас будут сохранены следующие файлы:
- ca.pem
- private.key
- sub.class1.server.ca.pem
- ssl.key (не нужно копировать на сервер)
- ssl.crt
Копируем файлы на сервер
Создайте сервер из шаблона Ubuntu 14.04 lamp в облаке. Процесс создания сервера был рассмотрен в статье ранее.
Необходимо скопировать ca.pem, private.key, sub.class1.server.ca.pem и ssl.crt в папку /etc/ssl (если ее нет — создать).
Это можно сделать например через Filezilla (установка клиента рассмотрена также в статье). Однако способ подключения будет отличаться, так как нужен доступ не только к папке сайта, но и ко всему серверу.
Добавьте новое SFTP подключение, как показано на скриншоте ниже. Используйте логин и пароль от сервера, которые пришли на вашу электронную почту после создания сервера, а также внешний ip–адрес сервера.
При подключении подтвердите, что вы подключаетесь к известному вам серверу, нажав OK.
Подключение будет успешно установлено.
Перейдите в папку "/etc/ssl" и скопируйте туда файлы ca.pem, ssl.key, sub.class1.server.ca.pem и ssl.crt.
Теперь подключитесь к серверу по SSH.
Включаем SSL в NGINX
В шаблоне LAMP настраивать SSL нужно на реверс-прокси NGINX.
Расшифруйте приватный ключ командой:
openssl rsa -in /etc/ssl/ssl.key -out /etc/ssl/private.key
При расшифровке нужно будет ввести пароль, который вы задавали при генерации сертификата сайта в панели управления StartCom.
Объедините корневой и промежуточный сертификаты командой:
cat /etc/ssl/sub.class1.server.ca.pem >> /etc/ssl/cau.pem
Добавьте к объединению ваш сертификат
cat /etc/ssl/ssl.crt /etc/ssl/cau.pem >> /etc/ssl/group.crt
Откройте результат в nano:
nano /etc/ssl/group.crt
Сохраните изменения (Ctrl+X, Y, Enter).
Перенесите начало каждого нового сертификата на новую строчку после окончания предыдущего сертификата и сохраните изменения.
Отредактируйте файл конфигурации nginx:
nano /etc/nginx/sites-enabled/default
Внесите изменения, как показано на скриншоте ниже (вместо le-vert.ru используйте ваш домен):
Перезапустите NGINX.
service nginx restart
Если вы попробуете зайти на сайт по ip–адресу по протоколу HTTPS, то вы увидите предупреждение о том, что сертификат небезопасен.
Для безопасного соединения заходите на сайт по имени домена.
Для этого в DNS-записи А для домена и поддомена www укажите ip–адрес сайта и дождитесь обновления DNS. Либо для тестирования пропишите соответствие ip–адреса сервера и домена в файле hosts вашей ОС.
Успешного использования Infobox!
ссылка на оригинал статьи http://habrahabr.ru/post/256283/
Добавить комментарий