Vladimir Skubriev vladi...@skubriev.ru writes:
Подскажите пожалуйста по https и покупке сертификатов для него.
Есть веб сервер с HTTPS который я настроил при помощи имеющихся в
системе сертификатов:
SSLCertificateFile/etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Я бы рекомендовал также уделить внимание опции SSLCACertificateFile.
Я собираюсь купить сертификаты для этого сервера (скорее всего будем
покупать у godaddy, руководство хочет).
Поидее мне выдадут два сертификата. Из которых
Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem)
Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key)
Я прав ?
Не совсем.
Вы генерируйте на своей машине новый CSR (Certificate Signing
Request). CSR - это неподписанный сертификат. Он содержит Ваш публичный
ключ и некоторую дополнительную информацию. Также, где-то рядом должен
будет сгенерироваться приватный ключ.
Далее Вы отправляете сертификатору Ваш CSR, он его подписывает, и
высылает Вам уже подписанный сертификат.
Таким образом, приватный ключ вам ни в коем случае *не выдают*. Держите
его в секрете даже от сертификатора.
И еще несколько вопросов:
1. Есть ли в системе Публичный ключ CA (который можно установить на
клиентские машины, для доверия самоподписанным сертификатам snakeoil)
или он в принципе не предусмотрен? sna
Я просто создал свой root CA certificate, и раскидал его по всем своим
машинам в директорию /etc/ssl/certs. После этого все сертификаты,
подписанные данным, будут этими машинами считаться проверенными.
Я очень рекомендую использовать для данной операции CA.pl, который идет
в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем
честным, то я рекомендую использовать CA.pl для *большинства операций*
по работе с сертификатами.
3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS
(на всякий спрашиваю)?
Не должна. Резолвинг имен вроде никак с HTTPS не пересекается.
2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ?
Мануалы некомендуют устанавливать в качестве CNAME точное имя домена, к
которому будет подключение. То есть если Вы используете адрес
https://example.com/, а сам сервер с этим доменом находится, скажем, на
server00.example.com, но сертификат нужно брать именно на exmaple.com.
На остальные вопросы, связанные с покупкой, пусть лучше кто-нибудь
другой ответит. Я в свое время помахал сертификаторам ручкой, так что об
особенностях покупке сертификатов ничего не знаю.
4. Какой сертификат покупать ?
5. На сколько лет брать сертификат (от трех до пяти) ?
6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы
выбрать оптимальное предложение.
7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу
посоветоваться.
pgpUNtd2sGhkz.pgp
Description: PGP signature