Jak zainstalować certyfikat cyber_SSL na serwerach

Apache – instalacja certyfikatu SSL i certyfikatów pośrednich

Do instalacji certyfikatu SSL na serwerze Apache potrzebne będą następujące pliki:

  • plik zawierający certyfikat serwera: yourDomainName.crt
  • plik zawierający klucz prywatny
  • plik zawierający certyfikaty pośrednie (intermediate/ca-bundle) odpowiednie dla zamówionego certyfikatu SSL

Po otrzymaniu informacji o wydanym certyfikacie, plik certyfikatu będzie do pobrania w panelu zarzadzania usługami. Skopiuj całą zawartość certyfikatu od linii —–BEGIN CERTIFICATE—– do —–END CERTIFICATE—– i zapisz do pliku mojadomena.crt.

Pobierz odpowiedni ca-bundle oparty o funkcję skrótu SHA-2 dla Commercial SSL: DVSSLChain-SHA2.crt

Pliki umieść na serwerze, który udostępnia Twoją stronę w odpowiednich katalogach.

Typowe ustawienia:

  • wygenerowany wcześniej klucz prywatny ssl.key należy umieścić w katalogu /etc/ssl/ssl.key. Uwaga: Prawa do tego katalogu może mieć wyłącznie Apache
  • pliki yourDomainName.crt i ca-bundle należy przenieść do katalogu /etc/ssl/ssl.crt

Ważne: powyższe ścieżki są jedynie przykładami. Twój serwer może posiadać inne – być może będzie konieczna ich modyfikacja.

Dokonaj edycji pliku z konfiguracją SSL dla serwera WWW przy użyciu edytora tekstowego.
Ważne: Lokalizacja tego pliku różni się w zależności od konfiguracji serwera WWW.

Dla serwera Apache są to:
Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
Debian and Debian based: /etc/apache2/apache2.conf

Spotykane nazwy plików dla konfiguracji SSL:

  • httpd-ssl.conf
  • ssl.conf
  • lub w katalogu: /etc/apache2/sites-enabled/

W konfiguracji VirtualHost strony, która ma być szyfrowana, należy dodać (jeśli nie istnieją) poniższe wpisy:

  • SSLEngine on
  • SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
  • SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
  • SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle (with Apache 1.x SSLCertificateChainFile instead of SSLCACertificateFile should be used)

Ważne: powyższe ścieżki są jedynie przykładami. Twój serwer może posiadać inne – być może będzie konieczna ich modyfikacja.

Konfiguracja dodatkowa:

  • SSLProtocol all
  • w Apache 2.4 włączenie protokołów SSLv3 i TLSv1 oraz opcjonalnie TLSv1.1 i TLSv1.2 (w OpenSSL 1.0.1 i wyższych)
  • w Apache 2.2 należy użyć dyrektywy SSLProtocol All -SSLv2. Parametr -SSLv2 wyłącza obsługę przestarzałego protokołu SSLv2
  • SSLHonorCipherOrder On – wymuszenie przez serwer kolejności stosowania szyfrów
  • SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS – ustawienie priorytetu dla silnych szyfrów, jednocześnie wyłączenie słabych i przestarzałych

Zapisz zmiany w pliku konfiguracyjnym.

Zrestartuj serwer używając następujących poleceń:

  • dystrybucje Debian lub Ubuntu: /etc/init.d/apache2 restart
  • dystrybucje Red Hat/Fedora/CentOS: apachectl restart
  • inne polecenia: /usr/sbin/httpsd restart lub /etc/init.d/apache restart

IIS 8.0/8.5 – instalacja certyfikatu SSL

Pobierz plik certyfikatu (twojadomena.cer) z konta użytkownika w zakładce Zarządzanie Certyfikatami

Aby „zamknąć” wcześniej wygenerowane żądania CSR w IIS i wgrać uzyskany certyfikat SSL należy przejść do Internet Information Services (IIS) Manager, z lewego menu wybierz nazwę swojego serwera. Ze środkowego panelu kliknij w ikonę Server Certificates, a następnie z prawego panelu Actions wybierz Complete Certificate Request.

Wybierz plik, który zawiera wystawiony certyfikat serwera. W polu Friendly name: podaj przyjazną nazwę certyfikatu, która ułatwi jego identyfikację, np. www.moja-domena.pl. Zatwierdź przyciskiem OK.

Wystawiony certyfikat serwera pojawi się w środkowym panelu Server Certificates.

Powiązanie certyfikatu z witryną:

  • Kliknij na nazwę witryny (Default Web Site) i z menu Actions wybierz Bindings
  • W wyświetlonym oknie Site Bindings kliknij w przycisk Add….
  • W oknie Add Site Bindings z listy rozwijanej Type: wybierz https, następnie z listy rozwijanej SSL certificate: wybierz certyfikat, który będzie używany dla tej Twojej witryny. Wyświetlona lista zawiera certyfikaty, które posiadają swój klucz prywatny
  • Zatwierdź zmiany

Konfiguracja konsoli MMC:

  • Uruchom konsolę MMC (Microsoft Management Console). Z menu File wybierz pozycję Add/Remove Snap-in
  • Następnie z listy dostępnych przystawek (snap-ins) wybierz Certificates i kliknij w przycisk Add
  • Wybierz Computer account i kliknij Next
  • Wybierz Local computer i kliknij Finish

IIS – Instalacja certyfikatów pośrednich

Bardzo ważnym elementem do prawidłowego działania certyfikatu SSL są certyfikaty urzędów pośrednich. Należy je zainstalować na serwerze WWW, aby przeglądarka internetowa poprawnie zweryfikowała wystawcę certyfikatu SSL.

UWAGA!
Czynności opisane w niniejszej instrukcji należy wykonać tylko w przypadku braku zainstalowanych zaświadczeń certyfikacyjnych w systemie Windows 2008/2012 server.

W przypadku certyfikatów wspierających algorytm SHA-2 należy pobrać poniższe zaświadczenia certyfikacyjne:

  • Dla certyfikatu Commercial SSL lub jego opcji MultiDomain/Wildcard należy pobrać i zainstalować na serwerze następujący certyfikat pośredni:
    Klucz urzędu – Certum Domain Validation CA SHA-2

Instalacja certyfikatów pośrednich – krok po kroku

Wciśnij kombinację klawiszy [Windows+ r] wpisz polecenie mmc.exe. Zostanie uruchomiony edytor przystawek MMC. Z menu File wybierz pozycję Add/Remove Snap-in. W nowym oknie kliknij przycisk Add, a następnie wskaż przystawkę Certificates i wciśnij przycisk Add.

Z drzewa Certificates (Local Computer) rozwiń gałąź https://repository.certum.pl/evcasha2.der. Wybierz pozycję Certificates, kliknij prawym przyciskiem i wybierz z menu All Tasks -> Import

W kreatorze importu certyfikatów kliknij Next.

Wybierz plik z certyfikatem pośrednim i kliknij Next.

Wybierz docelowy magazyn w którym będzie przechowywany certyfikat pośredni. Wybierz Place all certificates in the following store. Pole Certificate store: powinno wskazywać Intermediate Certification Authorities

Wybierz plik z certyfikatem pośrednim i kliknij Next.

Jeżeli chcesz zainstalować certyfikaty pośrednie dla innych typów certyfikatów należy powtórzyć opisane wyżej kroki.

UWAGA!
W niektórych przypadkach zmiany w konfiguracji IIS-a mogą nie być widoczne po restarcie usługi. W takim przypadku należy zrestartować system operacyjny Windows.

>
Ela Kornaś
Od 15 lat zajmuję się technologiami hostingowymi, domenowymi oraz związanymi z bezpieczeństwem. Odpowiadam za produkty domenowe oraz certyfikaty SSL. Moja codzienna praca polega na zapewnianiu Ci najciekawszej na rynku oferty nazw domenowych i certyfikatów SSL.