Sekdami šią pamoką galėsite įdiegti sertifikatą, įsigytą iš
sertifikatai.lt arba kito tiekėjo.
Pagrindiniai failai, kurie jums yra reikalingi:
SSLCertificateFile -- Sertifikato užklausos failas
SSLCertificateKeyFile -- Sertifikato raktas
SSLCertificateChainFile -- Leidėjo šakninis raktas
Jei sertifikatas užsakytas iš
sertifikatai.lt, ši informacija prieinama
klientų sistemoje.
Generuojame SSL sertifikato užklausą.
Tą padaryti galite prisijungę prie serverio SSH konsolės arba mūsų klientų sistemoje pasirinkę nuostatą, jog
sertifikatai.lt sugeneruotų užklausą už Jus.
Jei generuojate SSL sertifikato užklausą savarankiškai, atlikite šiuos žingsnius:
1. Sugeneruojame privatų raktą ir CSR užklausą:
openssl req -new -newkey rsa:2048 -nodes -keyout domenas.key -out domenas.csr
Jūsų paprašys įvesti šiuos duomenis:
Country Name (2 letter code) [XX]:
LT
State or Province Name (full name) []:
Lietuva
Locality Name (eg, city) [Default City]:
Vilnius
Organization Name (eg, company) [Default Company Ltd]:
UAB Testas (Draudžiami simboliai < > ~ ! @ # $ % ^ * / \ ( ) ?.,& )
Organizational Unit Name (eg, section) []:
IT (Įmonės skyrius)
Common Name (eg, your name or your server's hostname) []:
domenas.lt (tikslus domeno pavadinimas, kuriam generuojamas sertifikatas. Jei generuojama užklausa
WildCard sertifikatui, tuomet bus
*.domenas.lt, jei tai SAN sertifikatas, tuomet bus pagrindinis domenas:
www.domenas.lt)
Email Address []:
adresas@domenas.lt
A challenge password []:
Spauskite ENTER
An optional company name []:
Spauskite ENTER
Jūsų sertifikato užklausa yra paruošta SSL sertifikato pasirašymui. CSR failo turinį galite pateikti sertifikato leidėjui.
2. Peržiūrėti CSR failo turinį galite šios komandos pagalba:
cat domenas.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIC1DCCAbwCAQAwgY4xCzAJBgNVBAYTAkxUMRAwDgYDVQQIDA dMaWV0dXZhMRAw
DgYDVQQHDAdWaWxuaXVzMRMwEQYDVQQKDApVQUIgVGVzdGFzMQ swCQYDVQQLDAJJ
VDEbMBkGA1UEAwwSc2VydmVyLnJvbWFuLml2Lmx0MRwwGgYJKo ZIhvcNAQkBFg1y
b21hbi5sQGl2Lmx0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMI IBCgKCAQEA2Gal
YNnZAP15JX8Ds3C8vDZvLtevDYu1am7KzDe2GheHVVvbz0oWNt 7+exGBlpQXwHBf
CIE99yUaygXBNHw80xVfZcXjpKUxPaZcTNFf8XOe6BrsLU/4hqGVT7NjzUxmvbsu
ScHULTyKKBAoodK6nTKEFMLOXuHsVlb2nYb7nWQIhjQzRGxh2z xwlEuihdCFccLg
CW5JrCdtxOLNUFtPW2N1XW/MTQ5nJGT3MiAuP+qzS1J398haAxBSLd9GSbR0iJOx
c031LV0r5yKbduCs067oXdhu4kTv68S3dyC3TU9cJKzg6VMHRK PK9tt0o9pijGuY
BQMNn48Kx/jSiv7P9QIDAQABoAAwDQYJKoZIhvcNAQEFBQADggEBAI8hlVmN krNP
zM0/3zFGMTeLl7PqHKCY6MVT+y8yxfMlyd1ySHbXFFKBpDRlR69qXM I9TH+4oEw1
hH4zw4AERahgFa+6NEOiFfZSV4tG3bRcv+gnvbvnjrILh0wZCB FbTbv0c9cS5Wr9
PXKSxVDZSqimTuGV/dlxXDbsAKxqcTUimQ7/p5zYzWE+2jCX/k9xbrx9KBUx/kER
9yNn9S4tFU8fPJKHlndezTjoX/IZj5rLtr6eFWW5xFX8bFG/L2R85IRybcM2oWjF
v9/G2YNeirs3MZSUID4kqBJVeE5Ys4dfhy2eOwycDtyRpeyJSQQ86 Y/HnPpnVcDX
OyMGuMMk7fc=
-----END CERTIFICATE REQUEST-----
Diegiame sertifikatą:
1. Persikeliame į SSL sertifikatui skirtą aplanką:
cd /etc/ssl
2. Sukuriame failą pavadinimu domenas.crt :
nano domenas.crt
Jame įklijuojame
"Sertifikato rakto" duomenis. Failą išsaugome.
3. Sukuriame failą pavadinimu domenas.ca-bundle :
nano domenas.ca-bundle
Jame įklijuojame
"Leidėjo šakninio failo" duomenis. Failą išsaugome.
4. Perkeliame failą, kurį sukūrėme pirmoje dalyje
domenas.key :
cd
mv domenas.key /etc/ssl
5. Prieš redaguodami Apache SSL nustatymus, pasidarome jų kopiją:
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak
6. Dabar saugiai galime keisti nustatymus:
sudo nano /etc/apache2/sites-available/default-ssl.conf
Šiame faile po:
<VirtualHost _default_:443>
Pridėkite tokią eilutę:
ServerName serverio_IP_arba_hostname
Žemiau rasite eilutes:
SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile (ši eilutė bus užkomentuota, todėl reikės pašalinti ženklą #)
Pakeiskite nurodytas eilutes šiomis reikšmėmis:
SSLCertificateFile /etc/ssl/domenas.crt
SSLCertificateKeyFile /etc/ssl/domenas.key
SSLCertificateChainFile /etc/ssl/domenas.ca-bundle
Failą išsaugokite.
Iškart galite patikrinti, ar Apache sintaksė yra gera su komanda:
sudo apache2ctl configtest
7. Prieš Apache perkrovimą įjungiame reikalingą Apache modulį
"mod_ssl", pagal kurį buvo ruošta pamoka:
sudo a2enmod ssl
ir įjungiame mūsų paredaguotus Apache SSL nustatymus su komanda:
sudo a2ensite default-ssl
Perkrauname Apache:
sudo systemctl restart apache2
Sertifikatas sėkmingai įdiegtas Jūsų serveryje.