{toc}
h3. Введение\\
При работе личного кабинета абонента по https, используются автоматически сгенерированные самоподписанные сертификаты.
При этом, как правило, абонент получает в браузере предупреждение об использовании сайтом недоверенного сертификата.
Чтобы решить эту проблему, можно приобрести сертификат на используемое вами для локального сайта (обычно, доступного из внешней сети) доменное имя у авторизованного центра сертификации и установить его на сервер.
Сертификационные центры чаще всего используют трехуровневую схему подписей,
Для подписывания сайта понадобится публичный сертификат для вашего сайта с встроенным в него публичным ключем, секретный ключ от вашего сертификата и, дополнительно, сертификат промежуточного центра сертификации.
Сертификаты должны быть в формате PEM.
Получите нужные файлы у центра сертификации и по scp скопируйте их на сервер.
h3. Поддерживаемые сертификаты
1. Ru Center
{color:#000000}2. RapidSSL{color}
h3. Соответствие имён сертификатов от RU CENTER
*Имена файлов могут отличаться. Например при использовании сертификатов от Thawte (в качестве посредника может быть RU CENTER), вы получите набор*
* root_cert_sslwebserver.crt \- соответствует ca_bundle.crt
* domain_name_date.crt - соответствует ca.crt в команде ниже
* private.key \- обычно зашифрован и запаролен, соответствует ca.key в команде ниже
* domain.name.csr - не нужен
h3. Инструкция по установке сертификата
1. Внесите изменения в файл
*/app/asr_cabinet/etc/httpd/conf/httpd.conf*
{code:lang=xml}<VirtualHost *:80>
Redirect permanent /cabinet/welcome https://<название вашего сайта>/cabinet/welcome
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCACertificateFile /etc/pki/tls/certs/ca_bundle.crt
SSLCertificateFile /etc/pki/tls/certs/ca.crt
#SSLVerifyClient require
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
</VirtualHost>
{code}
2. Скопируйте измененный файл конфигурации
{code}1.mkdir app/asr_cabinet/cfg/etc/
2./app/asr_cabinet/cfg/etc/httpd/
3./app/asr_cabinet/cfg/etc/httpd/conf/
4.cp -p /app/asr_cabinet/etc/httpd/conf/httpd.conf /app/asr_cabinet/cfg/etc/httpd/conf/httpd.conf{code}
3. Скопируйте сертификаты в директорию сертификатов
{code}cp -p /app/asr_cabinet/cfg/etc/pki/tls/certs{code}
h3. Заказ сертификата RUcenter
Если вы хотите заказ свой сертификат для своего домена, то для начала вам нужно сгенерировать запрос на получение сертификата (CSR), подробнее вы можете посмотреть на сайте руцентра [http://www.nic.ru/dns/service/ssl/csr.html|http://www.nic.ru/dns/service/ssl/csr.html]
По указанной ссылке доступна инструкция "Генерация CSR для Apache", для генерации запроса нужно выполнить шаги из инструкции.
h3. Введение\\
При работе личного кабинета абонента по https, используются автоматически сгенерированные самоподписанные сертификаты.
При этом, как правило, абонент получает в браузере предупреждение об использовании сайтом недоверенного сертификата.
Чтобы решить эту проблему, можно приобрести сертификат на используемое вами для локального сайта (обычно, доступного из внешней сети) доменное имя у авторизованного центра сертификации и установить его на сервер.
Сертификационные центры чаще всего используют трехуровневую схему подписей,
Для подписывания сайта понадобится публичный сертификат для вашего сайта с встроенным в него публичным ключем, секретный ключ от вашего сертификата и, дополнительно, сертификат промежуточного центра сертификации.
Сертификаты должны быть в формате PEM.
Получите нужные файлы у центра сертификации и по scp скопируйте их на сервер.
h3. Поддерживаемые сертификаты
1. Ru Center
{color:#000000}2. RapidSSL{color}
h3. Соответствие имён сертификатов от RU CENTER
*Имена файлов могут отличаться. Например при использовании сертификатов от Thawte (в качестве посредника может быть RU CENTER), вы получите набор*
* root_cert_sslwebserver.crt \- соответствует ca_bundle.crt
* domain_name_date.crt - соответствует ca.crt в команде ниже
* private.key \- обычно зашифрован и запаролен, соответствует ca.key в команде ниже
* domain.name.csr - не нужен
h3. Инструкция по установке сертификата
1. Внесите изменения в файл
*/app/asr_cabinet/etc/httpd/conf/httpd.conf*
{code:lang=xml}<VirtualHost *:80>
Redirect permanent /cabinet/welcome https://<название вашего сайта>/cabinet/welcome
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCACertificateFile /etc/pki/tls/certs/ca_bundle.crt
SSLCertificateFile /etc/pki/tls/certs/ca.crt
#SSLVerifyClient require
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
</VirtualHost>
{code}
2. Скопируйте измененный файл конфигурации
{code}1.mkdir app/asr_cabinet/cfg/etc/
2./app/asr_cabinet/cfg/etc/httpd/
3./app/asr_cabinet/cfg/etc/httpd/conf/
4.cp -p /app/asr_cabinet/etc/httpd/conf/httpd.conf /app/asr_cabinet/cfg/etc/httpd/conf/httpd.conf{code}
3. Скопируйте сертификаты в директорию сертификатов
{code}cp -p /app/asr_cabinet/cfg/etc/pki/tls/certs{code}
h3. Заказ сертификата RUcenter
Если вы хотите заказ свой сертификат для своего домена, то для начала вам нужно сгенерировать запрос на получение сертификата (CSR), подробнее вы можете посмотреть на сайте руцентра [http://www.nic.ru/dns/service/ssl/csr.html|http://www.nic.ru/dns/service/ssl/csr.html]
По указанной ссылке доступна инструкция "Генерация CSR для Apache", для генерации запроса нужно выполнить шаги из инструкции.