Instalace SSL certifikátu na server Apache

Následující návod vám ukáže způsob vytvoření veřejného klíče na serveru Apache pomocí nástroje OpenSSL, který je možné použít na jakémkoliv serveru, a následnou instalaci nově vystaveného certifikátu.

Doporučení: Potřebujete pomoci s vytvořením konfigurace Apache? Nástroj SSLConfiguration Generator vám s vytvořením konfigurace pro vhost pomůže.

Postup pro vygenerování CSR na Apache (OpenSSL)

Pro vygenerování CSR requestu (veřejného klíče) a privátního klíče je použit nástroj OpenSSL, který zpravidla najdete v umístění /usr/local/ssl/bin.

V prvním kroku vygenerujte pár klíču (key pair). Po spuštění napište do příkazového řádku:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Parametr -des3 zajišťuje použití passphrase pro privátní klíč; pokud tento parametr nepoužijete, bude privátní klíč nechráněný.

Ve druhém kroku vygenerujte samotný CSR request.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
Upozornění: Pokud na platformě Windows uvidíte chybu Unable to load config info from /usr/local/ssl/openssl.cnf, zadejte do příkazového řádku příkazset OPENSSL_CONF=C:/.../openssl.cnf, kterým definujete umístění souboru.

Po zadání příkazu budete vyzváni k upřesnění údajů pro CSR. Údaje zadávejte bez diakritiky.

  • Common Name: Common Name je kompletní název domény, pro kterou má být certifikát vystaven
  • Company / Organization: Zadejte kompletní název společnosti, jak je uveden v obchodním rejtříku a to včetně právní formy.
  • Organizational Unit: Toto pole je nepovinné a je určeno pro udání organizační jednotky organizace, například pobočky nebo oddělení.
  • Locality / City: Název města
  • State / Province: Zadejte Czech Republic
  • Country Name: dvoupísmenný kód státu, CZ
  • Příklad správně vyplněného CSR:
  • CN: www.sslmarket.cz
  • OU: Software
  • O: ZONER software, a.s.
  • ST: Jihomoravsky
  • C: CZ
  • L: Brno

Do CSR requestu nevkládejte další doplňující informace, jako e-mailová adresa, heslo nebo optional company name. OpenSSL vytvoří soubor s příponou CSR, který vložíte do objednávky certifikátu na sslmarket.cz.

Instalace vydaného certifikátu na server

Vytvoření souborů s klíči

Vystavený SSL certifikát je doručen emailem. Certifikát dorazí v textové podobě zakódován ve formátu Base64. Text certifikátu uložte na server jako soubor public.crt.

Konfigurace serveru

Pro použití vytvořených klíčů je potřeba nastavit samotný server. Otevřete pro editaci konfigurační soubor Apache httpd.conf (většinou je umístěn v /etc/httpd) a doplňte následující 3 direktivy do části :

  • SSLCertificateFile /usr/local/ssl/crt/public.crt
  • SSLCertificateKeyFile /usr/local/ssl/private/private.key
  • SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
Některé verze Apache nepodporují SSLCertificateChainFile, proto místo této direktivy použijte SSLCACertificateFile.

Soubor uložte. Před restartem můžete správnost konfigurace otestovat příkazem apachectl configtest. Nakonec restartujte Apache.

  • apachectl stop
  • apachectl startssl

Příklad konfigurace serveru

Zde uvádíme typický příklad konfigurace serveru v souboru httpd.conf.

  • Listen 80
  • Listen 443
  • ServerName http://www.example.com
  • SSLEngine on
  • SSLCertificateFile /usr/local/ssl/install/openssl/certs/example.crt
  • SSLCertificateKeyFile /usr/loca/ssl/install/openssl/certs/example.key
  • SSLCACertificateFile /usr/loca/ssl/install/openssl/certs/intermediate.crt

Správnost instalace SSL certifikátu si můžete ověřit nástrojem certifikační autority. Pro více informací čtete sekci Kontrola instalace SSL certifikátů v článku nápovědy o instalaci certifikátů.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.