Установка SSL-сертификата на Виртуальную машину Битрикс


Задача: ввести шифрование данных между браузером и сервером сайта, интернет-магазина или корпоративного портала.

Как решать - читаем под катом
[UPD]: добавлено описание установки сертификата с несколькими промежуточными сертификатами.


1. Для начала Вам необходимо выбрать и купить SSL-сертификат. Можно взять простой вариант Thawte SSL123, который действует только на один домен. Обратите внимание, что домен - это infospice.ru ИЛИ www.infospice.ru.

Если Вам нужен 1 сертификат на все домены *.infospice.ru - выбирайте сертификат с Wildcard.

2. После покупки сертификата на руках у вас должны быть следующие файлы:

  1. файл ключа, который был создан Вами при генерации CSR-запроса для получения сертификата (в нашем примере это private.key).
  2. файл вашего сертификата, обычно присылается в тексте письма. Текст сертификата от скоровать в отдельный файл и назвать vash_domen.crt, например, infospice.crt
  3. файлы корневого и/или промежуточного сертификата, например, root.crt - предоставляется компанией, которая выпустила Ваш сертификат. Этот файл необходимо скачать с сайта компании-издателя. Обратите внимание, что для разных операционных системы эти файлы отличаются.
В случае установки сертификатов Comodo Вы можете получить несколько промежуточных сертификатов. Например:


Root CA Certificate - AddTrustExternalCARoot.crt - корневой сертификт
Intermediate CA Certificate - COMODORSAAddTrustCA.crt - промежуточный сертификат №1
Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt - промежуточный сертификат №2

Все эти файлы (private.key, vash_domen.crt и промежуточный сертификаты) копируем под root по ssh на вашу ВМ Битрикс в папку /etc/nginx/ssl/1 - папку надо предварительно создать.

После чего нам необходимо объединить ваш сертификат домена и промежуточный сертификат в один файл pem. Здесь важно соблюсти обратную последовательность: сначала должен быть сертификат для вашего домена, затем промежуточные сертификаты №2, №1 и корневой сертификат. Сделать это можно через любой текстовый редактор или через командную строку сервера.

cd /etc/nginx/ssl/1/
cat vash_domen.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > cert.pem

Полученный файл сертификата cert.pem скопировать в папку /nignx/ssl/, заменив старый файл, и прописать в конфигурационном файле nginx путь к публичному ключу - /etc/nginx/bx/conf/ssl.conf:

ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/private.key;

Перезагружаем nginx

[root@1 conf]# service nginx restart
Stopping nginx:                                            [  OK  ]
Starting nginx:                                            [  OK  ]

и проверяем результат, набрав ваш домен по протоколу https - https://www.infospice.ru

Браузер не должен выдать никаких предупреждений безопасности. Корректность установки также можно проверить через сайт компании-издателя сертификата. В случае Thawte делается это тут. Если у вас сертификат от Comodo, провряем тут: https://sslanalyzer.comodoca.com


Просмотров: 23331