Установка SSL-сертификата на Виртуальную машину Битрикс
28.03.2014
Задача: ввести шифрование данных между браузером и сервером сайта, интернет-магазина или корпоративного портала.
Как решать - читаем под катом
[UPD]: добавлено описание установки сертификата с несколькими промежуточными сертификатами.
1. Для начала Вам необходимо выбрать и купить SSL-сертификат. Можно взять простой вариант Thawte SSL123, который действует только на один домен. Обратите внимание, что домен - это infospice.ru ИЛИ www.infospice.ru.
Если Вам нужен 1 сертификат на все домены *.infospice.ru - выбирайте сертификат с Wildcard.
2. После покупки сертификата на руках у вас должны быть следующие файлы:
- файл ключа, который был создан Вами при генерации CSR-запроса для получения сертификата (в нашем примере это private.key).
- файл вашего сертификата, обычно присылается в тексте письма. Текст сертификата от скоровать в отдельный файл и назвать vash_domen.crt, например, infospice.crt
- файлы корневого и/или промежуточного сертификата, например, root.crt - предоставляется компанией, которая выпустила Ваш сертификат. Этот файл необходимо скачать с сайта компании-издателя. Обратите внимание, что для разных операционных системы эти файлы отличаются.
Root CA Certificate - AddTrustExternalCARoot.crt - корневой сертификт Intermediate CA Certificate - COMODORSAAddTrustCA.crt - промежуточный сертификат №1 Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt - промежуточный сертификат №2 |
Все эти файлы (private.key, vash_domen.crt и промежуточный сертификаты) копируем под root по ssh на вашу ВМ Битрикс в папку /etc/nginx/ssl/1 - папку надо предварительно создать.
После чего нам необходимо объединить ваш сертификат домена и промежуточный сертификат в один файл pem. Здесь важно соблюсти обратную последовательность: сначала должен быть сертификат для вашего домена, затем промежуточные сертификаты №2, №1 и корневой сертификат. Сделать это можно через любой текстовый редактор или через командную строку сервера.
cd /etc/nginx/ssl/1/ cat vash_domen.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > cert.pem |
Полученный файл сертификата cert.pem скопировать в папку /nignx/ssl/, заменив старый файл, и прописать в конфигурационном файле nginx путь к публичному ключу - /etc/nginx/bx/conf/ssl.conf:
ssl_certificate /etc/nginx/ssl/cert.pem; ssl_certificate_key /etc/nginx/ssl/private.key; |
[root@1 conf]# service nginx restart Stopping nginx: [ OK ] Starting nginx: [ OK ] |
и проверяем результат, набрав ваш домен по протоколу https -
Браузер не должен выдать никаких предупреждений безопасности. Корректность установки также можно проверить через сайт компании-издателя сертификата. В случае Thawte делается это
23331