Створення CSR для Nginx
Примітка. Якщо сайт переїхав на новий сервер потрібно перевидавати сертифікат, кроки при цьому не змінюються
1. З’єднайтесь з вашими сервером через SSH.
У командній стрічці виконайте наступні команди:
# cd /etc/nginx/ssl # openssl req -new -newkey rsa:2048 -nodes -keyout md-fashion.com.ua.key -out md-fashion.com.ua.csr |
де md-fashion.com.ua – назва вашого серверу або сайту (можна без .com.ua, значення не має)
2. Це буде початком процесу створення двох файлів: файлу приватного ключа, який шифрує ваш сертифікат; і файлу CSR-запиту, який використовується для отримання вашого SSL сертифікату.
При заповнені поля Common name, переконайтесь, що назва домену повністю відповідає тому, що ви хочете захистити. Якщо ви оформляєте Wildcard сертифікат – переконайтесь, що у ім’я домену починається із зірочки (*.example.com).
Далі необхідно буде заповнити географічні дані про компанію (місто, регіон, код країни).
Generating a 2048 bit RSA private key ......................................................+++ .......................................................................................................................................+++ writing new private key to 'md-fashion.com.ua.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.' , the field will be left blank. ----- Country Name (2 letter code) [XX]:UA State or Province Name (full name) []:Kyivska Locality Name (eg, city) [Default City]:Kyiv Organization Name (eg, company) [Default Company Ltd]:MD-Group Organizational Unit Name (eg, section) []:IT Common Name (eg, your name or your server's hostname ) []:md-fashion.com.ua Email Address []:melnik@md-group.net.ua Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Після цього буде створено .csr файл.
3. Верифікуйте CSR, щоб переконатись в коректності введених даних.
Використовуйте наступну команду:
# openssl req -noout -text -in md-fashion.com.ua.csr |
4. Збережіть (backup) створений раніше .key – він буде потрібний при встановленні сертифікату Nginx.
5. Скопіюйте вміст файлу .csr (md-fashion.com.ua.csr) разом з тегами початку і закінчення у форму замовлення.
5.1. Потрібно відкликати сертифікат, якщо сайт переїхав на новий сервер. Після нажимаємо кнопку “Reissue certificate” (перевидати сертифікат).
5.2. Далі потрібно верифікуватись, для цього зберігаємо файл в корені сайту.
Статус ключа став – inprogress.
У FAQ є потрібна інформація по налаштуванню Nginx сервера.
6. Уважно виконайте два наступних пункти! Завантажуємо файли сертифікату на сервер.
“Панель клієнта > Продукти і сервіси > Деталі продукту” (http://screencast.com/t/HTxsYvW9), – кнопка “Download certificate”. В завантаженому архіві зберігається два файли:
md-fashion_com_ua.ca-bundle – це корневий і проміжний сертифікати
md-fashion_com_ua.crt – це наш верифікований сертифікат для сайту.
7. Об’єднуємо корневий (primary) і проміжний (intermediate) сертифікати.
Необхідно об’єднати корневий сертифікат (md-fashion_com_ua.crt) з проміжним сертифікатом (intermediate.crt) або ж ланцюжком сертифікатів (md-fashion_com_ua.ca-bundle) в один .crt файл.
Це можна зробити двома способами:
а) за допомогою UNIX-команди cat:
# cat md-fashion_com_ua.ca-bundle >> md-fashion_com_ua.crt |
Обов’язково перевірте щоб кожний сертифікат починався з нової стрічки, не мав зайвих пробілів або додаткових символів.
б) редагуванням файлу md-fashion_com_ua.crt: в md-fashion_com_ua.crt, зразу після тексту основного сертифікату, копіюємо вміст файлів (файлу) проміжних сертифікатів – без пробілів і додаткових знаків.
8. Підключаємо файли у конфіг nginx.
server { listen 80; listen 443; ssl on; ssl_certificate /etc/nginx/ssl/md-fashion_com_ua .crt; ssl_certificate_key /etc/nginx/ssl/md-fashion .key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ... } |
Детальніше про параметри можна почитати тут.
Переходимо в конфігурацію magento, Система – Конфігурація – Інтернет, налаштовуємо Безпечне з’єднання http://screencast.com/t/feGvzFkRG.
Додаємо літеру “s” в https, зберігаємо, чистимо кеш, запускаємо переіндексацію.
Пробуємо зайти через https на сайт.
Власне це все .