Instalace SSL certifikátu na server Apache

Následující návod vám ukáže způsob vytvoření veřejného klíče na serveru Apache pomocí nástroje OpenSSL, který je možné použít na jakémkoliv serveru, a následnou instalaci nově vystaveného certifikátu.

Postup pro vygenerování CSR na Apache (OpenSSL)

Pro vygenerování CSR requestu (veřejného klíče) a privátního klíče je použit nástroj OpenSSL, který zpravidla najdete v umístění /usr/local/ssl/bin.

V prvním kroku vygenerujte pár klíčů (key pair). Po spuštění napište do příkazového řádku:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Parametr -des3 zajišťuje použití passphrase pro privátní klíč; pokud tento parametr nepoužijete, bude privátní klíč nechráněný.

Ve druhém kroku vygenerujte samotný CSR request. CSR s privátním klíčem si můžete vygenerovat i v administraci SSLmarketu a privátní klíč uložit pro pozdější instalaci.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Pokud na platformě Windows uvidíte chybu Unable to load config info from /usr/local/ssl/openssl.cnf, zadejte do příkazového řádku příkaz set OPENSSL_CONF=C:/.../openssl.cnf, kterým definujete umístění souboru.

Po zadání příkazu budete vyzváni k upřesnění údajů pro CSR. Údaje zadávejte bez diakritiky.

Common Name: Common Name je kompletní název domény, pro kterou má být certifikát vystaven
Company / Organization: Zadejte kompletní název společnosti, jak je uveden v obchodním rejstříku a to včetně právní formy.
Organizational Unit: Toto pole je nepovinné a je určeno pro udání organizační jednotky organizace, například pobočky nebo oddělení.
Locality / City: Název města
State / Province: Zadejte Czech Republic
Country Name: dvoupísmenný kód státu, CZ

Příklad správně vyplněného CSR

CN: www.sslmarket.cz
OU: Software
O: ZONER a.s.
ST: Jihomoravsky
C: CZ
L: Brno

Do CSR requestu nevkládejte další doplňující informace, jako e-mailová adresa, heslo nebo optional company name. OpenSSL vytvoří soubor s příponou CSR, který vložíte do objednávky certifikátu na sslmarket.cz.

Instalace vydaného certifikátu na server

Prvotní kroky

Pokud budete certifikát instalovat na server, kde zatím nebyla konfigurace Apache upravena, tak napřed povolte HTTPS a výchozí site pro TLS spojení. Bez těchto dvou základních kroků nebude HTTPS vůbec fungovat.

Zadejte do termínálu: sudo a2enmod ssl Tím dojde k povolení HTTPS.
Pak povolte výchozí site pro zabezpečené spojení, jinak bude Apache používat pouze výchozí site s HTTP: sudo a2ensite default-ssl Restartujte Apache a bude pak bude moci používat HTTP i HTTPS. systemctl restart apache2

Uložení certifikátu a intermediate

Vystavený TLS certifikát je doručen e-mailem. Certifikát dorazí v textové podobě zakódován ve formátu Base64. Námi zaslaný soubor linux_cert+ca.pem uložte či zkopírujte na server.

V souboru linux_cert+ca.pem je obsažen certifikát pro doménu a intermediate certifikát dohromady. Společně jsou v jednom souboru proto, abychom vám ušetřili práci, protože webové servery je chtějí dohromady. Intermediate certifikát je potřeba pro důvěryhodnost vydaného certifikátu na klientských zařízeních, ale vy ho nemusíte hledat a do konfigurace přidávat.

Pro Apache použijte jako SSLCertificateFile soubor linux_cert+ca.pem, ve kterém je sloučen certifikát i intermediate. Direktivy SSLCertificateChainFile ani SSLCACertificateFile nepoužívejte, protože jsou zbytečné.

Konfigurace vhostu

Pro použití dodaného certifikátu je potřeba upravit konfiguraci vhostu pro danou doménu. Otevřete pro editaci konfigurační soubor default-ssl.conf (či domena-ssl.conf) (měl by být umístěn v /etc/apache2/sites-enabled; pokud není, tak se vraťte do odstavce Prvotní kroky) a upravte v následujících dvou direktivách umístění souborů s privátním klíče a s certifikátem, které se mají používat:

SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
SSLCertificateKeyFile /etc/ssl/private/private.key

Dřívější verze Apache podporovaly direktivu SSLCertificateChainFile (od verze 2.4.8 se nepoužívá); můžete ji smazat či zakomentovat. Intermediate je v souboru s certifikátem, jak je uvedeno výše. Direktiva SSLCACertificateFile zase slouží pro klientské certifikáty, takže ji pro TLS certifikát ignorujte.

Soubor uložte. Před restartem můžete správnost konfigurace otestovat příkazem sudo apache2ctl configtest Nakonec restartujte Apache.


sudo systemctl restart apache2

Příklad konfigurace serveru

Na webovém serveru Apache se ukládají povolené a používané konfigurace do složky /etc2/apache2/sites-enabled. Zde uvádíme typický příklad konfigurace serveru v souboru default-ssl.conf. SSLEngine on SSLCertificateFile /etc/ssl/private/domena.pem SSLCertificateKeyFile /etc/ssl/private/domena.key

Pokud si chcete konfiguraci webového serveru ulehčit, tak použijte moz://a SSL Configuration Generator. Konfigurátor vám rovnou doporučí správné nastavení pro zabezpečení webového serveru.

Správnost instalace SSL certifikátu si můžete zkontrolovat v našem ověřovači. Pro ještě více informací čtěte článek nápovědy Kontrola instalace certifikátu.

Je toho na vás moc?

Napište nám
info@sslmarket.cz
Kontaktní formulář

Zavolejte nám
+420 511 150 150
+420 730 162 600

Byl tento článek pro vás užitečný?

Nápověda

Aplikace SSLmarket