Instalacja/Konfiguracja SSL - domeny.pl - Nginx

[bryn1u 17]

Witam,

 

Udalo mi sie zakupic 1 raz certyfikat SSL od firmy hostingowej. Zawsze uzywalem wygenerowany u siebie na serverze. Powiem szczerze, ze kompletnie nie rozumiem o co kaman. Niby jest to zrozumiale, ale nie dziala. Opis instalacji tez jest bardzo "szczegolowy".

 

Sytuacja w panelu wyglada nastepujaco:

Wpis w configu:

ssl on;

ssl_certificate      /usr/local/etc/nginx/ssl/ssl-bundle.crt;

ssl_certificate_key /usr/local/etc/nginx/ssl/server.key;

ssl_protocols SSLv3 TLSv1;

ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;

Korzystalem z poradnika:

 

1. Jeśli posiadasz osobne pliki (np. AddTrustExternalCARoot.crt);
A) użyj komendy cat (dla systemu Unix i bazujących na nim),
- Syntax: cat Device Entity Cert Intermediates Root >> ssl-bundle.crt
- przykład: cat www_twoja_domena_pl.crt posredniCA.crt glownyRootCA.crt >> ssl-bundle.crt
B) używając edytora tekstowego:
- kopiuj zawartość w kolejności certyfikat dla domeny, pośredni i główny,
- plik należy zapisać jako ssl-bundle.crt

2. Jeśli posiadasz pliki .crt i .ca-bundle
A) Użyj komendy cat (dla systemu Unix i bazujących na nim),
- Syntax: cat Device/Entity Cert Bundle
- przykład cat www_twoja_domena_pl.crt www_twoja_domena_pl.ca-bundle >> ssl-bundle.crt
B) Użyj edytora tekstowego:
- skopiuj zawartość pliku www_twoja_domena_pl.crt przed tekstem z www_twoja_domena_pl.ca-bundle
- nazwij plik ssl-bundle.crt

Konfiguracja hosta

Przenieś plik ssl-bundle.crt tam, gdzie zapisujesz pliki certyfikatów, np. /etc/ssl/certs/
Utwórz lub zmień plik konfiguracji strony, którym może być /etc/nginx/sites-available/ lub /usr/local/nginx/sites-available/

Upewnij się, że poniższe parametry konfiguracji są ustawione:

• włączony SSL ('ssl')
• port ssl ("listen') na 443
• ścieżka do certyfikatu ('ssl_certificate')
• ścieżka do klucza prywanego ('ssl_certificate_key')
• wsparcie odpowiednich protokołów (ważne: nie udostępniaj protokołu 2.0),
• ustawione odpowiednie szyfrowanie.

* Opcjonalne ustawienia:
-- ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM; #Wyłącza słabe szyfrowanie
-- ssl_protocols SSLv3 TLSv1; #Włącza SSLv3/TLSv1, ale nie SSLv2, ktory jest za słaby i nie powinien być już używany.

Przykład konfiguracji hosta:
server {
listen 443;

ssl on;
ssl_certificate /etc/ssl/certs/www_moja_domena_pl.crt;
ssl_certificate_key /etc/ssl/private/mysite.key;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:
+MEDIUM;

server_name mysite.com;
}

 

Link: https://certyfikatyssl.pl/faq/instalacje-certyfikatow-ssl/nginx.html

 

Z panelu wybralem sobie lancuch certyfikatu ROOT. Stworzylem i wrzucilem do ssl-bundle.crt. Nastepnie pobralem prywatny klucz z panelu. Stworzylem i wrzucilem do server.key. Zrestartowalem nginxa i dostalem w ryj.

root@Proton:/usr/local/etc/nginx/ssl # service nginx restart

Performing sanity check on nginx configuration:

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/usr/local/etc/nginx/ssl/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

nginx: configuration file /usr/local/etc/nginx/nginx.conf test failed

Moze mi ktos powiedziec co zle robie ? Zawsze mi SSl dzialal. Pierwszy raz kupilem i nie dziala, nie wiem co zle robie.

 

Pozdrawiam,

 

 

Edytowano Marzec 26, 2015 przez bryn1u (zobacz historię edycji)

[Gigaone 27]

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/usr/local/etc/nginx/ssl/server.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

Moze mi ktos powiedziec co zle robie ? Zawsze mi SSl dzialal. Pierwszy raz kupilem i nie dziala, nie wiem co zle robie.

 

 

Wg tego komunikatu Twój klucz prywatny nie pasuje do wystawionego certyfikatu.

[bryn1u 17]

Tak masz racje. Poprawilem klucz i dziala. Tylko sa jakies jaja bo pod chrome fajnie smiga a pod firefox wyskakuje niezaufany. Ehh

[Gigaone 27]

Możliwe, że w pliku /usr/local/etc/nginx/ssl/ssl-bundle.crt masz tylko certyfikat serwera, bez certyfikatu pośredniego wystawcy, stąd (słuszny) komunikat w przeglądarce. Druga możliwość, to masz jakiś certyfikat pośredni, ale do szczęścia brakuje kolejnego lub kolejnych certyfikatów pośrednich, aby certyfikat SSL był w pełni rozpoznawalny przez przeglądarkę (dość częsty przypadek u "egzotycznych" i najtańszych wystawców certyfikatów...).