Форумы

GNU.SU - Записки нубо-линуксойда :: Форумы :: Сервисы :: Web-Server
 
<< Предыдущая тема | Следующая тема >>
Сертификаты и с чем их есть!!! (SSl, CSR, KEY, NGINX, IIS)
Модераторы: tastelinux, Frizze, andrey, Bender
Автор Добавил
tastelinux
Птн Май 04 2012, 05:08
andreika

ID пользователя #1
Зарегистрирован: Птн Апр 30 2010, 12:25

Сообщений: 337
Создание запроса на сертификат (CSR)

Выполнить:
openssl genrsa -out <домен>.key 2048
openssl req -new -key <домен>.key -out <домен>.csr


Указать:
Country Name (2 letter code) [AU]:<свое>State or Province Name (full name) [Some-State]:<свое>Locality Name (eg, city) []:<свое>Organization Name (eg, company) [Internet Widgits Pty Ltd]:<свое>Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:<сдомен>Email Address []:<контактный ящик>


NB: При генерации CSR не протерять ключик!!!

Получившийся csr файл отправить поставщику сертификата.

Подготовка сертификата

Получить файл с сертификатом.
Если вместе с сертификатом домена будут идти другие сертификаты, нужно их объединить в один файл.
Сначала нужно выяснить, в каком порядке они друг с другом связаны.
Скорее всего, будет так: корневой сертификат - промежуточные - сертификат нужного домена.
Нужно записать тексты сертификатов в файл в обратном порядке.
Т..е.:

записать текст искомого сертификата в файл;
дописать в конец файла текст предыдущего сертификата;
...
дописать в конец файла текст корневого сертификата;

Например, сертификат от comodo нужно сформировать так:

cat <домен>.crt > <домен>.pem
cat PositiveSSLCA.crt >> <домен>.pem
cat UTNAddTrustServerCA.crt >> <домен>.pem
cat AddTrustExternalCAtastelinux.crt >> <домен>.pem


Установка сертификата Nginx

Скопировать сертификат и ключ в папку /etc/nginx/ssl.

В настройках искомого домена указать:
ssl          on;
ssl_protocols       SSLv3 TLSv1;
ssl_certificate     /etc/nginx/ssl/<домен>.pem;
ssl_certificate_key /etc/nginx/ssl/<домен>.key;


IIS

Сформировать pfx файл:

openssl pkcs12 -export -out <домен>.pfx -inkey <домен>.key -in <домен>.pem


url: https://www.sslshopper.com/ssl-converter.html

Импортировать pfx файл в настройках IIS в разделе Server Certificates.
Для правильного импорта можно использовать программу DigiCertUtil.
url: https://www.digicert.com/util/DigiCertUtil.exe

Указать новый binding https с нужным сертификатом.
url: http://www.ssl.ua/info/howto/install/iis7

При возникновении ошибки "A specified logon session does not exist. It may already have been terminated. (Exception from HRESULT: 0x80070520)":

  • http://phaq.phunsites.net/2010/12/09/binding-ssl-in-iss-causes-a-specified-logon-session-does-not-exist-it-may-already-have-been-terminated-error/
  • http://blogs.msdn.com/b/asiatech/archive/2010/08/12/got-error-0x80070520-when-binding-certificate-to-web-site-on-iis-7.aspx
  • http://support.microsoft.com/default.aspx?scid=kb;EN-US;278381


мне помог совет #2:

Установка прав "Full Control" группе "Administrators" для папки "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys".
Может потребоваться включить TLS 1.2

  • http://derek858.blogspot.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html


Создание CA:

Наверх
A specified logon session does not exist. It may a   csr   key   pem. nginx   nginx ssl   iis ssl   

 

Перейти:     Наверх

Транслировать сообщения этой темы: rss 0.92 Транслировать сообщения этой темы: rss 2.0 Транслировать сообщения этой темы: RDF
Powered by e107 Forum System