Vladimir Skubriev <vladimir@skubriev.ru> writes: > Подскажите пожалуйста по https и покупке сертификатов для него. > > Есть веб сервер с HTTPS который я настроил при помощи имеющихся в > системе сертификатов: > > SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem > SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key Я бы рекомендовал также уделить внимание опции SSLCACertificateFile. > Я собираюсь купить сертификаты для этого сервера (скорее всего будем > покупать у godaddy, руководство хочет). > > Поидее мне выдадут два сертификата. Из которых > > Публиный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.pem) > Приватный ключ моего сервера, т.е. замену (ssl-cert-snakeoil.key) > > Я прав ? Не совсем. Вы генерируйте на своей машине новый CSR (Certificate Signing Request). CSR - это неподписанный сертификат. Он содержит Ваш публичный ключ и некоторую дополнительную информацию. Также, где-то рядом должен будет сгенерироваться приватный ключ. Далее Вы отправляете сертификатору Ваш CSR, он его подписывает, и высылает Вам уже подписанный сертификат. Таким образом, приватный ключ вам ни в коем случае *не выдают*. Держите его в секрете даже от сертификатора. > И еще несколько вопросов: > > 1. Есть ли в системе Публичный ключ CA (который можно установить на > клиентские машины, для доверия самоподписанным сертификатам snakeoil) > или он в принципе не предусмотрен? sna Я просто создал свой root CA certificate, и раскидал его по всем своим машинам в директорию /etc/ssl/certs. После этого все сертификаты, подписанные данным, будут этими машинами считаться проверенными. Я очень рекомендую использовать для данной операции CA.pl, который идет в contrib вместе с пакетом openssl. Хотя нет, если уж быть совсем честным, то я рекомендую использовать CA.pl для *большинства операций* по работе с сертификатами. > 3. Не повлияет ли моя настройка DNS на работу с веб сервером по HTTPS > (на всякий спрашиваю)? Не должна. Резолвинг имен вроде никак с HTTPS не пересекается. > 2. На какой адрес(домен) покупать сертификаты (webserver.example.com) ? Мануалы некомендуют устанавливать в качестве CNAME точное имя домена, к которому будет подключение. То есть если Вы используете адрес https://example.com/, а сам сервер с этим доменом находится, скажем, на server00.example.com, но сертификат нужно брать именно на exmaple.com. На остальные вопросы, связанные с покупкой, пусть лучше кто-нибудь другой ответит. Я в свое время помахал сертификаторам ручкой, так что об особенностях покупке сертификатов ничего не знаю. > 4. Какой сертификат покупать ? > > 5. На сколько лет брать сертификат (от трех до пяти) ? > > 6. Лучше сразу определиться с тем, сколько сертификатов надо ? Чтобы > выбрать оптимальное предложение. > > 7. Какие еще подводные камни есть? Я настраиваю https первый раз. Хочу > посоветоваться.
Attachment:
pgpWqdtcoiJ0t.pgp
Description: PGP signature