cel: przewodnik instalacji certyfikatu SSL/TLS
dla serwera Apache (na Linuksie)
potrzebujesz pomocy w wygenerowaniu żądania podpisania certyfikatu (CSR)na tym serwerze?
jeśli jesteś użytkownikiem konta ECS Enterprise, możesz użyć narzędzia Acme Services for Entrust, aby automatycznie utworzyć CSR. W przeciwnym razie użyj naszego Open SSL CSR Command builder.
po uzyskaniu polecenia do utworzenia CSR z konstruktora poleceń, otwórz terminal i wklej polecenie. Zostanie utworzony CSR i klucz prywatny.
kroki instalacji certyfikatu SSL na serwerze internetowym Linux Apache.
przejdź do kroków
przed rozpoczęciem…
- upewnij się, że wykonałeś kopię zapasową plików konfiguracyjnych Apache przed dokonaniem jakichkolwiek zmian. Jeśli zastępujesz istniejący certyfikat, nie usuwaj plików istniejącego certyfikatu ani klucza prywatnego na wypadek konieczności przywrócenia poprzedniej konfiguracji.
- nigdy nie udostępniaj plików kluczy prywatnych.
- jeśli planujesz używać tego samego certyfikatu na wielu serwerach, zawsze przesyłaj klucz prywatny przy użyciu bezpiecznej metody (e-mail nie jest uważany za bezpieczną metodę transferu).
- najlepszą praktyką jest zapewnienie, że masz aktualne i aktualne szyfry i protokoły, aby zapewnić najlepsze bezpieczeństwo podczas wdrażania nowego klucza prywatnego i certyfikatu serwera.
- upewnij się, że po zakończeniu procesu instalacji uruchomiłeś Test serwera SSL, aby sprawdzić konfigurację certyfikatu pod kątem najlepszych praktyk SSL/TLS.
- aby uzyskać więcej informacji na temat najlepszych praktyk SSL/TLS, kliknij tutaj.
uwagi specjalne dotyczące instalacji w systemie operacyjnym Linux:
- aby wykonać poniższe polecenia, musisz być w stanie sudo jako root lub mieć dostęp do serwera. Brak takiej możliwości lub taki dostęp doprowadzi do błędu odmowy uprawnień. W tym artykule użyjemy polecenia sudo. Jeśli jesteś w stanie zalogować się jako root, zignoruj część „sudo” poleceń wymienionych w tym artykule.
- musisz mieć włączony ssl dla serwera Apache i musisz mieć włączoną witrynę, dla której zamierzasz instalować certyfikat.
instalacja składa się z czterech części
1) skopiuj pliki Certyfikatów na serwer
2) Skonfiguruj serwer Apache tak, aby wskazywał na pliki certyfikatów
3) Przetestuj konfigurację pomyślnie
4) Uruchom ponownie serwer Apache
Część 1 z 4: skopiuj pliki Certyfikatów na serwer
1. Kliknij przycisk Pobierz w kreatorze odbioru, aby pobrać pliki certyfikatów. Kliknięcie przycisku Pobierz spowoduje utworzenie pliku zip zawierającego następujące pliki:
- ServerCertificate.crt: Twój podpisany certyfikat SSL/TLS
- ChainBundle2.crt: pliki łańcucha certyfikatów Entrust
2. Po wyodrębnieniu plików z pliku zip skopiuj je do katalogu, w którym będą przechowywane pliki Certyfikatów na serwerze. Upewnij się, że dołączasz plik klucza prywatnego, który został wygenerowany podczas tworzenia CSR, ponieważ będzie to wymagane do skonfigurowania protokołu SSL / TLS na serwerze Apache.
część 2 z 4: Skonfiguruj serwer Apache tak, aby wskazywał pliki certyfikatów
1. Otwórz plik konfiguracyjny serwera Apache i znajdź wpis virtual host dla witryny, która będzie korzystać z certyfikatu. Lokalizacja pliku konfiguracyjnego może się różnić w zależności od dystrybucji Apache i systemu operacyjnego serwera. Poszukaj następujących katalogów i plików na swoim serwerze:
- etc / httpd / conf / httpd.conf
- etc/apache2/apache2.conf
- httpd-ssl.conf
- ssl.conf
2. W sekcji” host wirtualny ” dodaj dyrektywy pokazane pogrubioną czcionką poniżej, jeśli nie są jeszcze uwzględnione w pliku konfiguracyjnym. Jeśli dyrektywy te są już zawarte, po prostu zmodyfikuj plik tak, aby każda dyrektywa wskazywała na nowy certyfikat serwera, łańcuch certyfikatów i pliki kluczy prywatnych.
< VirtualHost testcertificates.com:443 >
DocumentRoot/var/www / html2
Nazwa serwera testcertificates.com
SSLEngine na
SSLCertificateFile / etc / apache / ssl.crt / ServerCertificate.crt
SSLCertificateKeyFile /etc/apache/key.crt / Twoja strona.key
SSLCertificateChainFile / etc / apache / ssl.crt / ChainBundle2.crt
< / VirtualHost>
gdzie:
plik SSLCertificate to plik certyfikatu serwera (ServerCertificate.crt)
SSLCertificateChainFile jest plikiem wiązki łańcucha (ChainBundle2.crt)
SSLCertificateKeyFile to klucz prywatny twojego serwera, który został wcześniej wygenerowany
Część 3 z 4: Test konfiguracja zakończyła się pomyślnie
Przetestuj konfigurację Apache za pomocą następującego polecenia:
sudo apachectl configtest
Część 4 z 4: Uruchom ponownie serwer Apache
Uruchom ponownie serwer Apache, uruchamiając następujące polecenie:
sudo apachectl uruchom ponownie
twój certyfikat SSL/TLS powinien być teraz zainstalowany. Jeśli masz jakiekolwiek pytania lub wątpliwości, skontaktuj się z działem wsparcia usług certyfikacyjnych Entrust, aby uzyskać dalszą pomoc.
godziny pracy:
niedziela 20: 00 ET do piątku 20: 00 ET
Ameryka Północna (bezpłatny): 1-866-267-9297
poza Ameryką Północną: 1-613-270-2680 (lub patrz lista poniżej)
uwaga: bardzo ważne jest, aby połączenia międzynarodowe wybierały format UITF dokładnie tak, jak wskazany. Nie wybieraj dodatkowej „1” przed „800” lub połączenie nie zostanie zaakceptowane jako bezpłatne połączenie UITF.
Kraj | Liczba |
Australia | 0011 – 800-3687-7863 1-800-767-513 |
Austria | 00 – 800-3687-7863 |
Belgia | 00 – 800-3687-7863 |
Dania | 00 – 800-3687-7863 |
Finlandia | 990 – 800-3687-7863 (Telecom Finland) 00 – 800-3687-7863 (Finnet) |
Francja | 00 – 800-3687-7863 |
Niemcy | 00 – 800-3687-7863 |
001 – 800-3687-7863 ( głos) 002 – 800-3687-7863 (Fax) |
|
Irlandia | 00 – 800-3687-7863 |
Izrael | 014 – 800-3687-7863 |
Włochy | 00 – 800-3687-7863 |
Japonia | 001 – 800-3687-7863 (KDD) 004 – 800 – 3687-7863 (ITJ) 0061-800-3687-7863 (IDC) |
Korea | 001 – 800-3687-7863 (Korea Telecom) 002 – 800-3687-7863 (Dacom) |
Malezja | 00 – 800-3687-7863 |
Niderlandy | 00 – 800-3687-7863 |
Nowa Zelandia | 00 – 800-3687-7863 0800-4413101 |
Norwegia | 00 – 800-3687-7863 |
Singapur | 001 – 800-3687-7863 |
Hiszpania | 00 – 800-3687-7863 |
Szwecja | 00 – 800-3687-7863 (Telia) 00 – 800-3687-7863 (Tele2) |
Szwajcaria | 00 – 800-3687-7863 |
Tajwan | 00 – 800-3687-7863 |
Zjednoczone Królestwo | 00 – 800-3687-7863 0800 121 6078 +44 (0) 118 953 3088 |