Всем привет!
Хочу рассказать о таком Сертификационном центре как WoSign.
Они дают бесплатные (и вполне рабочие) SSL сертификаты на 3 года.
Плюс в том, что один сертификат может работать на многих доменах (до 100).
И так приступим.
Переходим на сайт login.wosign.com/reg.html и регистрируемся.
Так как сайт на китайском языке я рекомендую пользоваться для этих целей браузером Google Chrome. Он переведёт этот сайт на приемлемый русский язык.
После регистрации (кстати в подарок дают сертификат для почты) заходим на https://buy.wosign.com/freessl.html и выбирает 3 года и количество желаемых доменов.
Нажимаем зелёную кнопку и идём дальше.
Здесь вводим желаемые домены (не больше количества, указанного ранее.
Так же необходимо пройти вариацию доменов 2 уровня. Для этого WoSign отправит на адрес администратора домена:
После валиками у Вас будет 2 варианта создания сертификата.
1) Ввод своих данных из созданного запроса.
2) Предоставление китайцам самим сделать ключ для сертификата.
Обсудим 1 способ.
На сервере (рекомендую сервера от DigitalOcean - ССЫЛКА РЕФЕРАЛЬНАЯ) под root'ом выполняем:
openssl req -out mydomain.com.csr \\
-new -sha256 -newkey rsa:2048 -nodes \\
-keyout mydomain.com.key
Заполняем все предлагаемые поля необходимыми данными и вводим пароль для ключа. Теперь необходимо скопировать текст запроса.
cat mydomain.com.csr
и вставить текст в поле на сайте WoSign.
Вводим капчу и ждём минут 10-15. На почту прийдёт письмо (может упасть в спам) со ссылкой на скачивание архива.
После распаковки выбираем нужный нам веб-сервер содержимое архива кидаем на сервер.
Теперь перейдём к настройке веб-сервера на работу с сертификатом.
Для начала получим все промежуточные сертификаты:
cd /path/to/ssl
wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null
wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null
wget -O - http://aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
wget -O - http://aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
wget -O - http://aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
Я расскажу как настроить Nginx.
1) редактируем файл /etc/nginx/nginx.conf
В блок http добавляем строки:
#########################################################
#
#
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate "/etc/nginx/ssl/ca-certs.pem";
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
#
#
#########################################################
Теперь настройка домена.
В разделе server прописываем
ssl on;
ssl_certificate /path/to/ssl/ssl.crt;
ssl_certificate_key /path/to/ssl/ssl.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
и перезапускаем веб-сервер.
service nginx restart
Можно пройти проверку на SSL-Test или выполнить на сервере
openssl s_client -connect YourDomain.com:443 -tls1 -tlsextdebug -status
И в результате найти
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL OCSP Responder(G2)
Produced At: Mar 27 13:35:48 2015 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B
Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7
Serial Number: 4C306486969BCBC1AE555A1D8C117B87
Cert Status: good
This Update: Mar 27 13:35:48 2015 GMT
Next Update: Mar 29 13:35:48 2015 GMT
Signature Algorithm: sha1WithRSAEncryption
69:f5:99:75:ff:d7:6a:d4:33:8b:32:38:55:44:ed:e2:3c:4a:
bc:5f:92:50:a6:8e:8c:a0:d5:b1:ea:a5:8b:4e:4e:6d:e7:0a:
9d:1c:b7:9f:5c:e8:13:7f:c5:93:3c:0c:95:bd:23:67:e5:4a:
fb:96:9a:06:29:e0:ae:0b:1f:6a:f2:55:9d:4a:84:b3:5c:f8:
2a:7e:90:4f:a3:48:a4:22:16:83:e1:1d:09:4c:7c:5e:5b:30:
84:9e:ce:f0:23:69:aa:bd:b0:94:72:cb:2e:96:d2:c5:c5:f4:
15:a9:de:3e:62:9d:10:78:2a:c7:f2:64:49:a3:6a:d9:14:0d:
8a:ce:1e:63:59:e4:06:69:dd:bc:3b:10:d9:ae:20:c7:9f:c5:
02:21:ee:20:d3:24:97:0c:f5:a7:f5:6b:25:5b:a7:b2:80:fc:
67:23:89:bc:9b:4a:ed:d8:b8:2e:1f:c4:31:d6:e1:83:f9:b7:
b0:88:e5:87:04:55:a9:42:1c:d4:c0:5a:d2:36:af:86:48:76:
e8:af:2a:19:63:b4:b2:fd:64:5c:66:20:a8:ad:d1:e6:c2:e4:
ce:7e:64:45:ea:50:32:ff:84:ea:06:55:74:81:30:20:36:7f:
3e:5d:0a:b0:f5:78:69:c5:5c:28:8a:cf:96:94:d3:2e:c3:0e:
68:41:66:c1
Вот результаты теста этого блога. A+ - это отличный результат!
Значение OCSP stapling - Yes. Мы этого добились.Большое спасибо авторам статей на Хабре: http://habrahabr.ru/post/252529/ http://habrahabr.ru/post/249529/
Всем спасибо )
Комментариев нет:
Отправить комментарий