четверг, 13 июня 2013 г.

Добавляем PositiveSSL в nginx

Генереруем ключ и сразу удаляем из него пароль(чтобы не вводить его при перезапуске сервера):
openssl genrsa -des3 -out server-tmp.key 1024
openssl rsa -in server-tmp.key -out server.key

Создаём запрос для подписания (certificate signing request, CSR):
openssl req -new -key server.key -out server.csr

Отправляем server.csr в Commodo (я использую https://www.gogetssl.com/ )

Получаем от них письмо в котором содержится:
- sitename.crt
- AddTrustExternalCARoot.crt
- PositiveSSLCA2.crt

Сохраняем sitename.crt PositiveSSLCA2.crt AddTrustExternalCARoot.crt и в один файл.
cat  sitename.crt PositiveSSLCA2.crt AddTrustExternalCARoot.crt >> /etc/nginx/ssl/server.crt

Рядом сохраняем server.key

В nginx добавляем следующие строки:
listen 443 ssl;
ssl_certificate     /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;

Перечитываем конфиг в nginx
/etc/init.d/nginx reload

Можно добавить перенаправление с http на https
server {
    listen 80;
    server_name  server.ru;
    return 301 https://server.ru$request_uri;
}

P.S. Создание самозаверенного сертификата
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout mysitename.key -out mysitename.crt

1 комментарий:

  1. Comodo Positive SSL is a perfect choice for websites such as blogs and personal pages that don't transact large amounts of user info.

    ОтветитьУдалить