ELMA365 On-premises > Настройка / Создание самоподписанных сертификатов SSL для работы по HTTPS

Создание самоподписанных сертификатов SSL для работы по HTTPS

Начиная с версии Chrome 58 и Firefox 48 сертификаты, в которых не указан атрибут SAN (SubjectAltName) будут приводить к ошибке «Ваше соединение не защищено».

Выполните следующие действия, чтобы создать сертификат с атрибутом SAN (убедитесь, что в вашей системе установлен OpenSSL):

  1. Создаем сертификат корневого CA. На его основе будут выпускаться все остальные сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя  сервера:

# sudo openssl genrsa -des3 -out /etc/ssl/private/rootCA.key 2048
# sudo openssl req -x509 -new -nodes -key /etc/ssl/private/rootCA.key -sha256 -days 365 -out /etc/ssl/certs/rootCA.pem

  1. Создаем файл конфигурации /etc/ssl/v3.ext со следующим содержанием, где mydomain.com - полное доменное имя  сервера:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
 
[alt_names]
DNS.1 = mydomain.com

  1. Создаем подписанный сертификат, используя файл конфигурации и корневые сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя  сервера:

sudo openssl genrsa -out /etc/ssl/private/selfsigned.key 2048
sudo openssl req -new -key /etc/ssl/private/selfsigned.key -out /etc/ssl/certs/selfsigned.csr
sudo openssl x509 -req -in /etc/ssl/certs/selfsigned.csr -CA /etc/ssl/certs/rootCA.pem -CAkey /etc/ssl/private/rootCA.key -CAcreateserial -out /etc/ssl/certs/selfsigned.crt -days 365 -sha256 -extfile /etc/ssl/v3.ext

  1. Добавляем сертификат rootCA.pem в список доверенных корневых центров сертификации.
  2. При установке или обновлении ELMA365 на сервере используется ключ selfsigned.key и сертификат selfsigned.crt
  3. При выпуске нового сертификата, вам потребуется обновление сертификатов, используется следующая команда:

sudo elma365ctl reload-cert

начало внимание

Самоподписанный сертификат SSL не обеспечивает надежную защиту данных от злоумышленников. Рекомендуется использовать коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т.д.

конец внимание

Нашли опечатку? Выделите текст, нажмите ctrl + enter и оповестите нас