Inštalácia SSL certifikátu na server Apache

Nasledujúci návod vám ukáže spôsob vytvorenia verejného kľúča na serveri Apache pomocou nástroja OpenSSL, ktorý je možné použiť na akomkoľvek serveri, a následnú inštaláciu novo vystaveného certifikátu.

Postup pre vygenerovanie CSR na Apache (OpenSSL)

Pre vygenerovanie CSR requestu (verejného kľúča) a privátneho kľúča je použitý nástroj OpenSSL, ktorý spravidla nájdete v umiestnení /usr/local/ssl/bin.

V prvom kroku vygenerujte pár kľúčov (key pair) . Po spustení napíšte do príkazového riadka:

openssl genrsa -des3 -out www.mydomain.com.key 2048

Parameter -des3 zaisťuje použitie passphrase pre privátny kľúč; ak tento parameter nepoužijete, bude privátny kľúč nechránený.

V druhom kroku vygenerujte samotný CSR request . CSR s privátnym kľúčom si môžete vygenerovať aj v administrácii SSLmarketu a privátny kľúč uložiť pre neskoršie inštaláciu.

openssl req -New -key www.mydomain.com.key -out www.mydomain.com.csr

Po zadaní príkazu budete vyzvaní na upresnenie údajov pre CSR. Údaje zadávajte bez diakritiky.

  • Common Name : Common Name je kompletný názov domény, pre ktorú má byť certifikát vystavený
  • Company/Organization : Zadajte kompletný názov spoločnosti, ako je uvedený v obchodnom registri a to vrátane právnej formy.
  • Organizational Unit : Toto pole je nepovinné a je určené pre zadanie organizačnej jednotky organizácie, napríklad pobočky alebo oddelenia.
  • Locality/City : Názov mesta
  • State/Province : Zadajte Slovakia
  • Country Name : dvojpísmenový kód štátu, SK
Príklad správne vyplneného CSR

Do CSR requestu nevkladajte ďalšie doplňujúce informácie, ako e-mailová adresa, heslo alebo voliteľné company name. OpenSSL vytvorí súbor s príponou CSR, ktorý vložíte do objednávky certifikátu na sslmarket.sk.

Inštalácia vydaného certifikátu na server

Prvotné kroky

Ak budete certifikát inštalovať na server, kde zatiaľ nebola konfigurácia Apache upravená, tak najprv povoľte HTTPS a východiskové site pre TLS spojenie. Bez týchto dvoch základných krokov nebude HTTPS vôbec fungovať.

Zadajte do termínu: sudo a2enmod ssl Tým dôjde k povoleniu HTTPS.
Potom povoľte predvolené site pre zabezpečené spojenie, inak bude Apache používať iba predvolené site s HTTP: sudo a2ensite default-ssl Reštartujte Apache a bude potom bude môcť používať HTTP aj HTTPS. systemctl reštart apache2

Uloženie certifikátu a intermediate

Vystavený TLS certifikát je doručený e-mailom. Certifikát dorazí v textovej podobe zakódovaný vo formáte Base64. Nami zaslaný súbor linux_cert+ca.pem uložte alebo skopírujte na server.

V súbore linux_cert+ca.pem je obsiahnutý certifikát pre doménu a intermediate certifikát dohromady. Spoločne sú v jednom súbore preto, aby sme vám ušetrili prácu, pretože webové servery ich chcú dohromady. Intermediate certifikát je potrebný pre dôveryhodnosť vydaného certifikátu na klientskych zariadeniach, ale vy ho nemusíte hľadať a do konfigurácie pridávať.

Konfigurácia vhostov

Pre použitie dodaného certifikátu je potrebné upraviť konfiguráciu vhostu pre danú doménu. Otvorte pre editáciu konfiguračný súbor default-ssl.conf (či domena-ssl.conf) (mal by byť umiestnený v /etc/apache2/sites-enabled; pokiaľ nie je, tak sa vráťte do odseku Prvotné kroky ) a upravte v nasledujúcich dvoch direktívach umiestnenie súborov s privátnym kľúčom a s certifikátom, ktoré sa majú používať:

  • SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
  • SSLCertificateKeyFile /etc/ssl/private/private.key
Predchádzajúce verzie Apache podporovali direktívu SSLCertificateChainFile (od verzie 2.4.8 sa nepoužíva); môžete ju zmazať alebo zakomentovať. Intermediate je v súbore s certifikátom, ako je uvedené vyššie. Direktíva SSLCACertificateFile zase slúži pre klientské certifikáty, takže ju pre TLS certifikát ignorujte.

Súbor uložte. Pred reštartom môžete správnosť konfigurácie otestovať príkazom sudo apache2ctl configtest Nakoniec reštartujte Apache. sudo systemctl reštart apache2

Príklad konfigurácie servera

Na webovom serveri Apache sa ukladajú povolené a používané konfigurácie do priečinka /etc2/apache2/sites-enabled. Tu uvádzame typický príklad konfigurácie servera v súbore default-ssl.conf. SSLEngine on
SSLCertificateFile /etc/ssl/private/domena.pem
SSLCertificateKeyFile /etc/ssl/private/domena.key

Ak si chcete konfiguráciu webového servera uľahčiť, tak použite moz://a SSL Configuration Generator. Konfigurátor vám rovno odporučí správne nastavenia pre zabezpečenie webového servera.

Správnosť inštalácie SSL certifikátu si môžete skontrolovať v našom overovači. Pre ešte viac informácií čítajte článok pomocníka Kontrola inštalácie certifikátu .


Pomoc s SSL certifikáty

Je toho na vás veľa?

Napíšte nám
admin@zoner.sk
Kontaktný formulár
Zavolajte nám
+421 2 682 659 86

 

Bol tento článok pre vás užitočný?