SSL tanúsítvány telepítése Apache szerveren

Az alábbi útmutató bemutatja nyilvános kulcs létrehozásának folyamatát, az OpenSSL eszköz segítségével, amely bármilyen szerveren felhasználható, történő nyilvános kulcs létrehozásának folyamatát mutatja be, továbbá az újonnan kiállított tanúsítvány telepítését az Apache szerveren.

CSR generálás folyamata Apache szerveren (OpenSSL)

A CSR request (nyilvános kulcs, public key) és privát kulcs (vagy magán kulcs, private key) generálásához használható az OpenSSL, amelyet a /usr/local/ssl/bin mappában talál

Első lépésként generálja ki a kulcspárt (key pair). Elindítás után írja a parancssorba:

openssl genrsa –des3 –out www.mydomain.com.key 2048

A -des3 paraméter biztosítja a passphrase használatát a privát kulcshoz, ha a paraméter nincs használva, úgy a privát kulcs nem lesz védve.

A második lépésben generálja ki a szóban forgó CSR kérést.. A CSR-t a privát kulccsal az SSLmarket ügyfélfiókja adminisztrációjában is kigerenálhatja, ekkor a privát kulcsot lementve a későbbi telepítéshez.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

A parancs beadása után a CSR-hez szükséges adatokat kell majd pontosítania. Az adatokat ékezetek nélkül adja meg.

  • Common Name: Common Name a domain teljes neve, amely számára a tanúsítvány ki lesz állítva.
  • Company / Organization: adja meg a vállalat teljes nevét hivatalos formában, ahogy a kereskedelmi nyilvántartásban szerepel.
  • Organizational Unit: A mező kitöltése nem kötelező és a vállati szervezet megadására szolgál, például leányvállalat vagy ügyosztály.
  • Locality / City: Város neve
  • State / Province: Írja, hogy Hungary
  • Country Name: az ország kétbetűs kódja, HU
Helyesen kitöltött CSR példája:

A CSR fájlba ne írjon más adatot, mint például e-mail cím, belépési kód vagy választható cégnév (optional company name). Az OpenSSL egy .CSR végződésű fájlt hoz létre, amelyet a tanúsítvány megrendeléséhez kell majd feltöltenie az sslmarket.hu-n.

Kiállított tanúsítvány telepítése a szerverre

Elsődleges lépések

Ha a tanúsítványt olyan kiszolgálóra kívánja telepíteni, ahol az Apache konfigurációját még nem módosította, először engedélyezze a HTTPS-t és az alapértelmezett webhelyet a TLS-kapcsolatokhoz. E két alapvető lépés nélkül a HTTPS egyáltalán nem fog működni.

Adja meg a terminálba: sudo a2enmod ssl Ez engedélyezi a HTTPS-t.
Ezután engedélyezze az alapértelmezett webhelyet a biztonságos kapcsolatokhoz, különben az Apache csak az alapértelmezett HTTP webhelyet fogja használni: sudo a2ensite default-ssl Indítsa újra az Apache-ot, és már képes lesz a HTTP és HTTPS használatára. systemctl restart apache2

Tanúsítvány és közbenső (intermediate) behelyezése

A kiállított TLS-tanúsítványt e-mailben kézbesítjük. A tanúsítvány Base64 formátumban kódolt szöveges formában érkezik. Mentse vagy másolja az általunk küldött linux_cert+ca.pem fájlt a szerverre.

A linux_cert+ca.pem fájl együtt tartalmazza a domain tanúsítványát és a közbenső tanúsítványt. Egy fájlban vannak együtt, így megtakaríthatja a munkát, mivel a webszerverek eleve együtt várják őket. Közbenső tanúsítványra azért van szükség, hogy az ügyféleszközökön megbízható legyen a kiállított tanúsítvány. Önnek ezen túl nem kell megkeresni és hozzáadni ezeket külön a konfigurációhoz.

Vhost konfigurációja

A mellékelt tanúsítvány használatához módosítani kell az adott tartomány vhost konfigurációját. Nyissa meg a default-ssl.conf (vagy domain-ssl.conf) konfigurációs fájlt szerkesztéshez (az /etc/apache2/sites-enabled fájlban kell lennie; ha nem, menjen vissza az Elsődleges lépések bekezdéshez ), és módosítsa a privát kulcs és a tanúsítványfájl helyét a következő két direktívában:

  • SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
  • SSLCertificateKeyFile /etc/ssl/private/private.key
Az Apache korábbi verziói támogatták az SSLCertificateChainFile direktívát (a 2.4.8-as verzió óta nem használták); törölheti vagy megjegyzést fűzhet hozzá. A közbenső, intermediate a tanúsítványfájlban a fentiek szerint található. Az SSLCACertificateFile direktíva az kliens tanúsítványokhoz használatos, ezért hagyja figyelmen kívül a TLS-tanúsítványok esetében.

Mentse el a fájlt. Az újraindítás előtt a konfiguráció helyességét a következő paranccsal ellenőrizheti sudo apache2ctl configtest végül restartolja az Apache-t. sudo systemctl restart apache2

Szerver beállításának példája

Az Apache webszerveren az engedélyezett és használt konfigurációk az /etc2/apache2/sites-enabled mappában vannak tárolva. Itt egy tipikus szerverkonfigurációs példát mutatunk be a default-ssl.conf fájlban. SSLEngine on
SSLCertificateFile /etc/ssl/private/domain.pem
SSLCertificateKeyFile /etc/ssl/private/domain.key

Ha egyszerűbbé szeretné tenni a webszerver konfigurációját, használja a moz://a SSL Configuration Generator alkalmazást. A konfigurátor azonnal ajánlja a megfelelő beállításokat a webszerver biztonságához.

Az SSL-tanúsítvány helyes telepítését ellenőrzőnkben ellenőrizheti. További információért olvassa el a A tanúsítvány telepítésének ellenőrzése című súgócikket.


Segítség az SSL tanúsítványokkal

Nem tud kiigazodni, kérdése van?

Írjon nekünk
info@sslmarket.hu
admin@zoner.hu
Kapcsolatfelvételi űrlap
Hívjon minket
+36 20 234 3883
Hasznos volt Önnek ez a cikk?