Загрузка своего SSL-сертификата на сервер

После покупки доверенного SSL сертификата у Certificate Authority или Центра сертификации (CA) вам нужно создать текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

Этот файл состоит из двух логических блоков:

  • блок с приватным ключом и блок сертификатов, состоящий из корневого сертификата, сертификата на домен и vendor-сертификатов;

  • блок с сертификатами, которые вам пришлет CA, следует после блока с приватным ключом.

Будьте внимательны: помимо корневого и сертификата на домен, CA, скорее всего, вышлет и дополнительные vendor-сертификаты, состоящие из нескольких дополнительных сертификатов в одном файле (bundle). Эту связку сертификатов нужно обязательно добавить после основного сертификата, выданного на ваш домен. Порядок блоков в файле можно представить так:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
...
Основной (корневой) сертификат

После этого вы можете загрузить полученный файл с приватным ключом и сертификатом на UTM через веб-интерфейс. Для этого перейдите в разделе Сервисы -> Сертификаты.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm.

Зашифрованный приватный ключ

Поддерживается только стандартный формат приватного ключа: незашифрованный (decrypted) PEM. Такой ключ начинается со строки:

-----BEGIN RSA PRIVATE KEY-----

Бывает, что CA выдает зашифрованный (encrypted) с помощью passphrase (фразы-пароля) приватный ключ. В таком случае вам нужно расшифровать (конвертировать) зашифрованный ключ в обычный, используя утилиту openssl или, если CA предоставляет другие инструменты для этого, воспользоваться ими. Список параметров вызова openssl для конвертации ключа в незашифрованный вид зависит от технологии шифрования ключа у CA и должен быть описан в инструкции по установке сертификата от CA. Загрузить и использовать на сервере Ideco UTM зашифрованный приватный ключ нельзя.

Инструкция по созданию сертификата на OC Windows.

Для того чтобы создать сертификат, выполните следующие действия:

  1. Скачайте программу openssl. Ссылка на программу: http://slproweb.com/products/Win32OpenSSL.html.

  2. Установите openssl. Инструкция по установке: http://iljin-oleg.blogspot.com/2012/12/openssl-openssl-ssl-secure-socket-layer.html.

  3. Если файл сертификата в формате pkcs12: (если в формате pem, то можно сразу переходить к подпункту Д): а. Поместите этот файл в директорию C:\OpenSSL-Win64\bin (в папку с установленной программой openssl). б. Откройте командную строку. в. В командной строке перейдите в директорию с установленной программой openssl. г. Введите команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (с помощью этой команды вы сконвертируете сертификат в нужный формат). certificate.pkcs12 - исходный сертификат который вы получили у центра сертификации (далее CA); certificate.pem - результат конвертации. д. Откройте полученный файл в текстовом редакторе (например в блокноте). е. Файл имеет следующую структуру:

     -----BEGIN CERTIFICATE-----
     ..............
     ..............
     -----END CERTIFICATE-----
     -----BEGIN ENCRYPTED PRIVATE KEY-----
     ..............
     ..............
     -----END ENCRYPTED PRIVATE KEY-----

    или такую структуру:

     -----BEGIN CERTIFICATE-----
     ..............
     ..............
     -----END CERTIFICATE-----
     -----BEGIN RSA PRIVATE KEY-----
     ..............
     ..............
     -----END RSA PRIVATE KEY-----

    Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, то нужно его расшифровать с помощью утилиты openssl. Команда для расшифровки: openssl rsa -in certificate.pem -out certificate_decoded.pem. certificate.pem - файл который вы получили после конвертации на шаге Г; certificate_decode.pem - результат раcшифровки. Если в сертификате написано --BEGIN RSA PRIVATE KEY--, то файл сертификата уже расшифрован. Можно приступать к следующему шагу.

  4. Создайте пустой файл с расширением pem (my_certificate.pem).

  5. Откройте его с помощью текстового редактора.

  6. Откройте файл, который у вас получился на шаге 3 (certificate_decode.pem). Из этого файла нужно скопировать текст вида (приватный ключ):

    -----BEGIN RSA PRIVATE KEY-----
    ..............
    ..............
    -----END RSA PRIVATE KEY-----
  7. Вставьте скопированный текст в файл, созданный на шаге 4 (my_certificate.pem).

  8. Перейдите в файл, созданный на шаге 3 (certificate_decode.pem). Из этого файла нужно скопировать текст вида (сертификат вашего домена):

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
  9. Вставьте скопированный текст в файл, созданный на шаге 4 (my_certificate.pem).

  10. CA, помимо вашего сертификата, должен был выслать вам bundle сертификат (их может быть несколько) и корневой сертификат. Если этих сертификатов у вас нет, то их можно скачать в Интернете или запросить у вашего CA.

  11. Из bundle сертификатов и корневого сертификата скопируйте текст вида:

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
  12. Вставьте скопированный текст в файл, созданный на шаге 4 (my_certificate.pem). В начале нужно будет вставить текст из bundle сертификатов, а в самом конце текст корневого сертификата.

  13. В итоге у вас получится файл из блоков:

    Приватный ключ
    Сертификат на домен
    Сертификат из состава бандла vendor-сертификатов
    Сертификат из состава бандла vendor-сертификатов
    .........
    Корневой сертификат
  14. Получившийся файл загрузите в UTM. Для этого перейдите в раздел Сервисы -> Сертификаты.

Last updated