Instalace SSL certifikátu na server Apache

Následující návod vám ukáže způsob vytvoření veřejného klíče na serveru Apache pomocí nástroje OpenSSL, který je možné použít na jakémkoliv serveru, a následnou instalaci nově vystaveného certifikátu.

Postup pro vygenerování CSR na Apache (OpenSSL)

Pro vygenerování CSR requestu (veřejného klíče) a privátního klíče je použit nástroj OpenSSL, který zpravidla najdete v umístění /usr/local/ssl/bin.

V prvním kroku vygenerujte pár klíču (key pair). Po spuštění napište do příkazového řádku:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Parametr -des3 zajišťuje použití passphrase pro privátní klíč; pokud tento parametr nepoužijete, bude privátní klíč nechráněný.

Ve druhém kroku vygenerujte samotný CSR request. CSR s privátním klíčem si můžete vygenerovat i v administraci SSLmarketu a privátní klíč uložit pro pozdější instalaci.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Po zadání příkazu budete vyzváni k upřesnění údajů pro CSR. Údaje zadávejte bez diakritiky.

  • Common Name: Common Name je kompletní název domény, pro kterou má být certifikát vystaven
  • Company / Organization: Zadejte kompletní název společnosti, jak je uveden v obchodním rejtříku a to včetně právní formy.
  • Organizational Unit: Toto pole je nepovinné a je určeno pro udání organizační jednotky organizace, například pobočky nebo oddělení.
  • Locality / City: Název města
  • State / Province: Zadejte Czech Republic
  • Country Name: dvoupísmenný kód státu, CZ
Příklad správně vyplněného CSR

Do CSR requestu nevkládejte další doplňující informace, jako e-mailová adresa, heslo nebo optional company name. OpenSSL vytvoří soubor s příponou CSR, který vložíte do objednávky certifikátu na sslmarket.cz.

Instalace vydaného certifikátu na server

Vytvoření souborů s klíči

Vystavený SSL certifikát je doručen emailem. Certifikát dorazí v textové podobě zakódován ve formátu Base64. Text certifikátu uložte na server jako soubor public.crt.

Intermediate certifikáty

Z webu certifikační autority stáhněte tzv. CA Bundle s Intermediate certifikáty a uložte ho jako soubor intermediate.crt . Oba soubory zkopírujte do složky s certifikáty, typicky /usr/local/ssl/crt/.

Odkaz ke stažení Intermediate certifikátů je uveden ve zprávě, která obsahuje vystavený certifikát. Najdete je také v naší nápovědě pro Intermediate certifikáty.

Konfigurace serveru

Pro použití vytvořených klíčů je potřeba nastavit samotný server. Otevřete pro editaci konfigurační soubor Apache httpd.conf (většinou je umístěn v /etc/httpd) a doplňte následující 3 direktivy do části :

  • SSLCertificateFile /usr/local/ssl/crt/public.crt
  • SSLCertificateKeyFile /usr/local/ssl/private/private.key
  • SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
Některé verze Apache nepodporují SSLCertificateChainFile, proto místo této direktivy použijte SSLCACertificateFile.

Soubor uložte. Před restartem můžete správnost konfigurace otestovat příkazem apachectl configtest Nakonec restartujte Apache. apachectl stop
apachectl startssl

Příklad konfigurace serveru

Zde uvádíme typický příklad konfigurace serveru v souboru httpd.conf. Listen 80
Listen 443
<VirtualHost _default_:443>
ServerName http://www.example.com
SSLEngine on
SSLCertificateFile /usr/local/ssl/install/openssl/certs/example.crt
SSLCertificateKeyFile /usr/loca/ssl/install/openssl/certs/example.key
SSLCACertificateFile /usr/loca/ssl/install/openssl/certs/intermediate.crt
</VirtualHost>

Správnost instalace SSL certifikátu si můžete ověřit nástrojem certifikační autority. Pro více informací čtete sekci Kontrola instalace SSL certifikátů v článku nápovědy o instalaci certifikátů.


Pomoc s SSL certifikáty

Je toho na vás moc?

Napište nám
admin@zoner.cz
Kontaktní formulář
Zavolejte nám
+420 511 150 150
+420 603 196 637