LINUX.ORG.RU
ФорумSecurity

сертификат ssl

 ,


1

1

Ребята доброго времени суток

Извините за нубский вопрос, получил сертификат с расширением mydomain.pem куда его на сервере ставить?

443 порт apache обрабатывает, с ssl никогда дела не имел.

У тебя еще должен быть ключ как минимум, а также цепочка сертификатов для валидации.

https://httpd.apache.org/docs/2.4/mod/mod_ssl.html - директивы SSLCertificateChainFile, SSLCertificateFile и SSLCertificateKeyFile

anonymous
()

Я использую этот конфиг, на sslabs оценка А+:

<IfModule mod_ssl.c>
    SSLCipherSuite AES256+EECDH:AES256+EDH:AES128+EECDH:AES128+EDH
    SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
    SSLHonorCipherOrder on
    SSLStrictSNIVHostCheck Off
    SSLCompression off
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
    SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
    SSLUseStapling on
    SSLStaplingResponderTimeout 5
    SSLStaplingReturnResponderErrors off

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
    Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
    Header set Public-Key-Pins "pin-sha256=\"<Subject Public Key Information (SPKI)>\"; max-age=2592000; includeSubDomains"
    Header always set X-Frame-Options SAMEORIGIN

<VirtualHost _default_:443>
    ServerAdmin ***@***.ru
    ServerName ***
    ServerAlias ***

    DocumentRoot /var/www/***

    ErrorLog ${APACHE_LOG_DIR}/error-***.log
    CustomLog ${APACHE_LOG_DIR}/access-***.log combined

    SSLEngine on

    SSLCertificateFile      /etc/ssl/***/***.crt
    SSLCertificateKeyFile /etc/ssl/***/***.key

    SSLCACertificatePath /etc/ssl/***/
    SSLCACertificateFile /etc/ssl/***/ca.crt

    <FilesMatch "\.(cgi|shtml|phtml|php)$">
                    SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory /usr/lib/cgi-bin>
                    SSLOptions +StdEnvVars
    </Directory>

    BrowserMatch "MSIE [2-6]" \
                    nokeepalive ssl-unclean-shutdown \
                    downgrade-1.0 force-response-1.0
    BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>


Смотри чего тебе не хватает. Твой pem - это в моем конфиге, скорее всего, SSLCertificateFile. Еще тебе как минимум нужен key файл и очень желателен ca (сертификат удостоверяющего центра, может еще называться bundle или root).

Так же попробуй посмотреть свой pem файл, это текстовик. В нем, теоретически, может быть и key вшит, тогда просто раздербань его на разные сертификаты или через openssl сделай (нагуглишь как).

BaBL ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security