Начиная с версии Chrome 58 и Firefox 48 сертификаты, в которых не указан атрибут SAN (SubjectAltName) будут приводить к ошибке «Ваше соединение не защищено».
начало внимание
Самоподписанный сертификат SSL не обеспечивает надежную защиту данных от злоумышленников. Рекомендуется использовать коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т. д.
конец внимание
Чтобы создать сертификат с атрибутом SAN, убедитесь, что в вашей системе установлен OpenSSL, а затем выполните следующие действия:
- Создаем сертификат корневого CA. На его основе будут выпускаться все остальные сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя сервера:
sudo openssl genrsa -des3 -out /etc/ssl/private/rootCA.key 2048
sudo openssl req -x509 -new -nodes -key /etc/ssl/private/rootCA.key -sha256 -days 365 -out /etc/ssl/certs/rootCA.pem
- Создаем файл конфигурации /etc/ssl/v3.ext со следующим содержанием, где mydomain.com — полное доменное имя сервера:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = mydomain.com
- Создаем подписанный сертификат, используя файл конфигурации и корневые сертификаты. Заполните появившиеся поля данными, в поле Common Name введите полное доменное имя сервера:
sudo openssl genrsa -out /etc/ssl/private/selfsigned.key 2048
sudo openssl req -new -key /etc/ssl/private/selfsigned.key -out /etc/ssl/certs/selfsigned.csr
sudo openssl x509 -req -in /etc/ssl/certs/selfsigned.csr -CA /etc/ssl/certs/rootCA.pem -CAkey /etc/ssl/private/rootCA.key -CAcreateserial -out /etc/ssl/certs/selfsigned.crt -days 365 -sha256 -extfile /etc/ssl/v3.ext
- При установке или обновлении ELMA365 или баз данных используется ключ selfsigned.key, сертификат selfsigned.crt и сертификат корневого CA rootCA.pem.