Inštalácia SSL certifikátu na server Apache
Nasledujúci návod vám ukáže spôsob vytvorenia verejného kľúča na serveri Apache pomocou nástroja OpenSSL, ktorý je možné použiť na akomkoľvek serveri, a následnú inštaláciu novo vystaveného certifikátu.
Postup pre vygenerovanie CSR na Apache (OpenSSL)
Pre vygenerovanie CSR requestu (verejného kľúča) a privátneho kľúča je použitý nástroj OpenSSL, ktorý spravidla nájdete v umiestnení /usr/local/ssl/bin.
V prvom kroku vygenerujte pár kľúčov (key pair) . Po spustení napíšte do príkazového riadka:
openssl genrsa -des3 -out www.mydomain.com.key 2048
Parameter -des3 zaisťuje použitie passphrase pre privátny kľúč; ak tento parameter nepoužijete, bude privátny kľúč nechránený.
V druhom kroku vygenerujte samotný CSR request . CSR s privátnym kľúčom si môžete vygenerovať aj v administrácii SSLmarketu a privátny kľúč uložiť pre neskoršie inštaláciu.
openssl req -New -key www.mydomain.com.key -out www.mydomain.com.csr
Po zadaní príkazu budete vyzvaní na upresnenie údajov pre CSR. Údaje zadávajte bez diakritiky.
- Common Name : Common Name je kompletný názov domény, pre ktorú má byť certifikát vystavený
- Company/Organization : Zadajte kompletný názov spoločnosti, ako je uvedený v obchodnom registri a to vrátane právnej formy.
- Organizational Unit : Toto pole je nepovinné a je určené pre zadanie organizačnej jednotky organizácie, napríklad pobočky alebo oddelenia.
- Locality/City : Názov mesta
- State/Province : Zadajte Slovakia
- Country Name : dvojpísmenový kód štátu, SK
- CN: www.sslmarket.cz
- OU: Softvér
- O: ZONER, sro
- ST: Jihomoravsky
- C: CZ
- L: Brno
Do CSR requestu nevkladajte ďalšie doplňujúce informácie, ako e-mailová adresa, heslo alebo voliteľné company name. OpenSSL vytvorí súbor s príponou CSR, ktorý vložíte do objednávky certifikátu na sslmarket.sk.
Inštalácia vydaného certifikátu na server
Prvotné kroky
Ak budete certifikát inštalovať na server, kde zatiaľ nebola konfigurácia Apache upravená, tak najprv povoľte HTTPS a východiskové site pre TLS spojenie. Bez týchto dvoch základných krokov nebude HTTPS vôbec fungovať.
Zadajte do terminalu:
sudo a2enmod ssl
Tým dôjde k povoleniu HTTPS.
Potom povoľte predvolené site pre zabezpečené spojenie, inak bude Apache používať iba predvolené site s HTTP:
sudo a2ensite default-ssl
Reštartujte Apache a bude potom bude môcť používať HTTP aj HTTPS.
systemctl reštart apache2
Uloženie certifikátu a intermediate
Vystavený TLS certifikát je doručený e-mailom. Certifikát dorazí v textovej podobe zakódovaný vo formáte Base64. Nami zaslaný súbor linux_cert+ca.pem uložte alebo skopírujte na server.
V súbore linux_cert+ca.pem je obsiahnutý certifikát pre doménu a intermediate certifikát dohromady. Spoločne sú v jednom súbore preto, aby sme vám ušetrili prácu, pretože webové servery ich chcú dohromady. Intermediate certifikát je potrebný pre dôveryhodnosť vydaného certifikátu na klientskych zariadeniach, ale vy ho nemusíte hľadať a do konfigurácie pridávať.
Konfigurácia vhostov
Pre použitie dodaného certifikátu je potrebné upraviť konfiguráciu vhostu pre danú doménu. Otvorte pre editáciu konfiguračný súbor default-ssl.conf (či domena-ssl.conf) (mal by byť umiestnený v /etc/apache2/sites-enabled; pokiaľ nie je, tak sa vráťte do odseku Prvotné kroky ) a upravte v nasledujúcich dvoch direktívach umiestnenie súborov s privátnym kľúčom a s certifikátom, ktoré sa majú používať:
- SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
- SSLCertificateKeyFile /etc/ssl/private/private.key
sudo apache2ctl configtest
Nakoniec reštartujte Apache.
sudo systemctl reštart apache2
Príklad konfigurácie servera
Na webovom serveri Apache sa ukladajú povolené a používané konfigurácie do priečinka /etc2/apache2/sites-enabled. Tu uvádzame typický príklad konfigurácie servera v súbore default-ssl.conf.
SSLEngine on
SSLCertificateFile /etc/ssl/private/domena.pem
SSLCertificateKeyFile /etc/ssl/private/domena.key
Ak si chcete konfiguráciu webového servera uľahčiť, tak použite moz://a SSL Configuration Generator. Konfigurátor vám rovno odporučí správne nastavenia pre zabezpečenie webového servera.
Správnosť inštalácie SSL certifikátu si môžete skontrolovať v našom overovači. Pre ešte viac informácií čítajte článok pomocníka Kontrola inštalácie certifikátu .
Mrzí nás, že ste tu nenašli potrebné.
Pomôžete nám článok vylepšiť? Napíš nám, čo ste tu očakávali a nedozvedeli sa.