Всем привет!
Хочу рассказать о таком Сертификационном центре как WoSign.
Они дают бесплатные (и вполне рабочие) SSL сертификаты на 3 года.
Плюс в том, что один сертификат может работать на многих доменах (до 100).
И так приступим.
Переходим на сайт login.wosign.com/reg.html и регистрируемся.
Так как сайт на китайском языке я рекомендую пользоваться для этих целей браузером Google Chrome. Он переведёт этот сайт на приемлемый русский язык.
После регистрации (кстати в подарок дают сертификат для почты) заходим на https://buy.wosign.com/freessl.html и выбирает 3 года и количество желаемых доменов.
Нажимаем зелёную кнопку и идём дальше.
Здесь вводим желаемые домены (не больше количества, указанного ранее.
Так же необходимо пройти вариацию доменов 2 уровня. Для этого WoSign отправит на адрес администратора домена:
После валиками у Вас будет 2 варианта создания сертификата.
1) Ввод своих данных из созданного запроса.
2) Предоставление китайцам самим сделать ключ для сертификата.
Обсудим 1 способ.
На сервере (рекомендую сервера от DigitalOcean) под root’ом выполняем:
openssl req -out mydomain.com.csr \ -new -sha256 -newkey rsa:2048 -nodes \ -keyout mydomain.com.key
Заполняем все предлагаемые поля необходимыми данными и вводим пароль для ключа. Теперь необходимо скопировать текст запроса.
cat mydomain.com.csr
и вставить текст в поле на сайте WoSign.
Вводим капчу и ждём минут 10-15. На почту прийдёт письмо (может упасть в спам) со ссылкой на скачивание архива.
После распаковки выбираем нужный нам веб-сервер содержимое архива кидаем на сервер.
Теперь перейдём к настройке веб-сервера на работу с сертификатом.
Для начала получим все промежуточные сертификаты:
cd /path/to/ssl wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null wget -O - http://aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null wget -O - http://aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null wget -O - http://aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
Я расскажу как настроить Nginx.
1) редактируем файл /etc/nginx/nginx.conf
В блок http добавляем строки:
######################################################### # # ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate "/etc/nginx/ssl/ca-certs.pem"; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; # # #########################################################
Теперь настройка домена.
В разделе server прописываем
ssl on; ssl_certificate /path/to/ssl/ssl.crt; ssl_certificate_key /path/to/ssl/ssl.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH'; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
и перезапускаем веб-сервер.
service nginx restart
Можно пройти проверку на SSL-Test или выполнить на сервере
openssl s_client -connect YourDomain.com:443 -tls1 -tlsextdebug -status
И в результате найти
OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL OCSP Responder(G2) Produced At: Mar 27 13:35:48 2015 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7 Serial Number: 4C306486969BCBC1AE555A1D8C117B87 Cert Status: good This Update: Mar 27 13:35:48 2015 GMT Next Update: Mar 29 13:35:48 2015 GMT Signature Algorithm: sha1WithRSAEncryption 69:f5:99:75:ff:d7:6a:d4:33:8b:32:38:55:44:ed:e2:3c:4a: bc:5f:92:50:a6:8e:8c:a0:d5:b1:ea:a5:8b:4e:4e:6d:e7:0a: 9d:1c:b7:9f:5c:e8:13:7f:c5:93:3c:0c:95:bd:23:67:e5:4a: fb:96:9a:06:29:e0:ae:0b:1f:6a:f2:55:9d:4a:84:b3:5c:f8: 2a:7e:90:4f:a3:48:a4:22:16:83:e1:1d:09:4c:7c:5e:5b:30: 84:9e:ce:f0:23:69:aa:bd:b0:94:72:cb:2e:96:d2:c5:c5:f4: 15:a9:de:3e:62:9d:10:78:2a:c7:f2:64:49:a3:6a:d9:14:0d: 8a:ce:1e:63:59:e4:06:69:dd:bc:3b:10:d9:ae:20:c7:9f:c5: 02:21:ee:20:d3:24:97:0c:f5:a7:f5:6b:25:5b:a7:b2:80:fc: 67:23:89:bc:9b:4a:ed:d8:b8:2e:1f:c4:31:d6:e1:83:f9:b7: b0:88:e5:87:04:55:a9:42:1c:d4:c0:5a:d2:36:af:86:48:76: e8:af:2a:19:63:b4:b2:fd:64:5c:66:20:a8:ad:d1:e6:c2:e4: ce:7e:64:45:ea:50:32:ff:84:ea:06:55:74:81:30:20:36:7f: 3e:5d:0a:b0:f5:78:69:c5:5c:28:8a:cf:96:94:d3:2e:c3:0e: 68:41:66:c1
Вот результаты теста этого блога. A+ — это отличный результат!
Значение OCSP stapling — Yes. Мы этого добились.
Большое спасибо авторам статей на Хабре:
http://habrahabr.ru/post/252529/
http://habrahabr.ru/post/249529/
Всем спасибо )
some domains no valited в окошке выскакиевает…
Где у Вас выскакивает это окошко?
Отлично получил)))
только незнаю как его впихнуть в вебмин…