Instalace SSL certifikátu na server Apache

Následující návod vám ukáže způsob vytvoření veřejného klíče na serveru Apache pomocí nástroje OpenSSL, který je možné použít na jakémkoliv serveru, a následnou instalaci nově vystaveného certifikátu.

Postup pro vygenerování CSR na Apache (OpenSSL)

Pro vygenerování CSR requestu (veřejného klíče) a privátního klíče je použit nástroj OpenSSL, který zpravidla najdete v umístění /usr/local/ssl/bin.

V prvním kroku vygenerujte pár klíču (key pair). Po spuštění napište do příkazového řádku:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Parametr -des3 zajišťuje použití passphrase pro privátní klíč; pokud tento parametr nepoužijete, bude privátní klíč nechráněný.

Ve druhém kroku vygenerujte samotný CSR request. CSR s privátním klíčem si můžete vygenerovat i v administraci SSLmarketu a privátní klíč uložit pro pozdější instalaci.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Pokud na platformě Windows uvidíte chybu Unable to load config info from /usr/local/ssl/openssl.cnf, zadejte do příkazového řádku příkaz set OPENSSL_CONF=C:/.../openssl.cnf, kterým definujete umístění souboru.

Po zadání příkazu budete vyzváni k upřesnění údajů pro CSR. Údaje zadávejte bez diakritiky.

Common Name: Common Name je kompletní název domény, pro kterou má být certifikát vystaven
Company / Organization: Zadejte kompletní název společnosti, jak je uveden v obchodním rejtříku a to včetně právní formy.
Organizational Unit: Toto pole je nepovinné a je určeno pro udání organizační jednotky organizace, například pobočky nebo oddělení.
Locality / City: Název města
State / Province: Zadejte Czech Republic
Country Name: dvoupísmenný kód státu, CZ

Příklad správně vyplněného CSR

CN: www.sslmarket.cz
OU: Software
O: ZONER software, a.s.
ST: Jihomoravsky
C: CZ
L: Brno

Do CSR requestu nevkládejte další doplňující informace, jako e-mailová adresa, heslo nebo optional company name. OpenSSL vytvoří soubor s příponou CSR, který vložíte do objednávky certifikátu na sslmarket.cz.

Instalace vydaného certifikátu na server

Vytvoření souborů s klíči

Vystavený SSL certifikát je doručen emailem. Certifikát dorazí v textové podobě zakódován ve formátu Base64. Text certifikátu uložte na server jako soubor public.crt.

Intermediate certifikáty

Z webu certifikační autority stáhněte tzv. CA Bundle s Intermediate certifikáty a uložte ho jako soubor intermediate.crt . Oba soubory zkopírujte do složky s certifikáty, typicky /usr/local/ssl/crt/.

Odkaz ke stažení Intermediate certifikátů je uveden ve zprávě, která obsahuje vystavený certifikát. Najdete je také v naší nápovědě pro Intermediate certifikáty.

Konfigurace serveru

Pro použití vytvořených klíčů je potřeba nastavit samotný server. Otevřete pro editaci konfigurační soubor Apache httpd.conf (většinou je umístěn v /etc/httpd) a doplňte následující 3 direktivy do části :

SSLCertificateFile /usr/local/ssl/crt/public.crt
SSLCertificateKeyFile /usr/local/ssl/private/private.key
SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Některé verze Apache nepodporují SSLCertificateChainFile, proto místo této direktivy použijte SSLCACertificateFile.

Soubor uložte. Před restartem můžete správnost konfigurace otestovat příkazem apachectl configtest Nakonec restartujte Apache.


apachectl stop


apachectl startssl

Příklad konfigurace serveru

Zde uvádíme typický příklad konfigurace serveru v souboru httpd.conf. Listen 80 Listen 443 ServerName http://www.example.com SSLEngine on SSLCertificateFile /usr/local/ssl/install/openssl/certs/example.crt SSLCertificateKeyFile /usr/loca/ssl/install/openssl/certs/example.key SSLCACertificateFile /usr/loca/ssl/install/openssl/certs/intermediate.crt

Správnost instalace SSL certifikátu si můžete ověřit nástrojem certifikační autority. Pro více informací čtete sekci Kontrola instalace SSL certifikátů v článku nápovědy o instalaci certifikátů.

Je toho na vás moc?

Napište nám
info@sslmarket.cz
Kontaktní formulář

Zavolejte nám
+420 511 150 150
+420 730 162 600

Byl tento článek pro vás užitečný?

Nápověda