Использование SSL-сертификатов, выданных третьими сторонами

В производственной среде использование SSL-сертификатов, выданных авторитетными третьими сторонами (CA), является важной мерой для обеспечения безопасности сайта. В этой статье будет описано, как настроить SSL-сертификаты, выданные третьими сторонами, в ServBay.

WARNING

Особое внимание следует уделить тому, что сертификаты, выданные третьими сторонами, поддерживают только стандартные доменные имена (например, gTLD, ccTLD, New gTLD) и не поддерживают пользовательские нестандартные суффиксы (такие как .local, .test).

Шаг первый: Запрос SSL-сертификата у третьей стороны

Сначала вам нужно запросить SSL-сертификат у доверенной третьей стороны CA (например, Let's Encrypt, DigiCert, GlobalSign и т.д.). Вот основные шаги для запроса SSL-сертификата:

1. Создание приватного ключа (Private Key)

   Откройте терминал и выполните следующую команду для создания приватного ключа:

   openssl genpkey -algorithm RSA -out servbay.demo.key -pkeyopt rsa_keygen_bits:2048

2. Создание запроса на подписание сертификата (CSR)

   Используйте созданный приватный ключ для создания запроса на подписание сертификата:

   openssl req -new -key servbay.demo.key -out servbay.demo.csr

   В процессе вам потребуется предоставить некоторую информацию. Вот пример ввода:

   Country Name (2 letter code) [AU]:CN
   State or Province Name (full name) [Some-State]:Hong Kong
   Locality Name (eg, city) []:Kowloon
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:ServBay
   Organizational Unit Name (eg, section) []:Development
   Common Name (e.g. server FQDN or YOUR name) []:servbay.demo
   Email Address []:[email protected]

3. Отправка CSR

   Отправьте созданный CSR-файл (servbay.demo.csr) выбранной вами третьей стороне CA. В зависимости от требований CA, вам, возможно, потребуется подтвердить владение доменом.

4. Получение сертификата

   После успешной проверки CA, вы получите подписанный SSL-сертификат (обычно в формате .crt или .pem) и, возможно, файл промежуточной цепочки сертификатов.

Важные моменты

Особо отмечается, что сертификаты, выданные третьими сторонами, поддерживают только стандартные доменные имена (например, gTLD, ccTLD, New gTLD) и не поддерживают пользовательские нестандартные суффиксы. Например, вот некоторые примеры стандартных доменных имен:

• gTLD (общие домены высшего уровня): например, .com, .org, .net
• ccTLD (национальные домены высшего уровня): например, .cn, .uk, .jp
• New gTLD (новые общие домены высшего уровня): например, .app, .tech, .xyz

SSL-сертификаты для пользовательских нестандартных суффиксов (например, .local, .test) нельзя получить от третьих сторон CA.

Шаг второй: Настройка SSL-сертификата третьей стороны в ServBay

После получения SSL-сертификата, выданного третьей стороной CA, вы должны настроить его в ServBay. Поместите сгенерированные файлы сертификатов и приватного ключа в каталог /Applications/ServBay/ssl/import/tls-certs для управления и использования.

1. Переместите файлы сертификатов в указанный каталог

   Используйте следующую команду для перемещения файлов приватного ключа и сертификатов в каталог /Applications/ServBay/ssl/import/tls-certs:

   mv servbay.demo.key /Applications/ServBay/ssl/import/tls-certs/
   mv servbay.demo.crt /Applications/ServBay/ssl/import/tls-certs/
   # Если есть файл цепочки промежуточных сертификатов, также переместите его
   mv intermediate.crt /Applications/ServBay/ssl/import/tls-certs/

2. Объединение промежуточных сертификатов

   Если CA предоставила файл цепочки промежуточных сертификатов, вам нужно объединить его с вашим файлом сертификата. Используйте следующую команду для добавления промежуточного сертификата в ваш файл сертификата:

   cat intermediate.crt >> /Applications/ServBay/ssl/import/tls-certs/servbay.demo.crt

3. Откройте панель управления ServBay

   Запустите приложение ServBay и войдите в панель управления.

4. Добавьте сайт

   В панели управления выберите опцию Сайт.

5. Выберите способ выдачи SSL-сертификата

   В процессе добавления сайта вы увидите опцию выбора способа выдачи SSL-сертификата. Выберите Custom.

6. Укажите файлы сертификатов

   В полях certificate key file и certificate file укажите ваш приватный ключ и объединенный файл сертификата соответственно:

   • Файл приватного ключа: /Applications/ServBay/ssl/import/tls-certs/servbay.demo.key
   • Файл сертификата: /Applications/ServBay/ssl/import/tls-certs/servbay.demo.crt

7. Настройте имя хоста и домен

   В полях имени хоста и домена введите servbay.demo.

8. Завершите добавление сайта

   Следуйте подсказкам, чтобы завершить процесс добавления сайта. Теперь ваш хост будет использовать SSL-сертификат, выданный третьей стороной CA.

Проверка конфигурации

После завершения вышеуказанных шагов вы можете перейти на настроенный сайт через браузер. Если все настроено правильно, в адресной строке браузера должен отображаться значок замка, показывающий использование доверенного SSL-сертификата.

Заключение

Согласно этим шагам, вы можете настроить и использовать SSL-сертификаты, выданные третьими сторонами, в ServBay. Это не только повышает безопасность сайта, но и увеличивает доверие пользователей. Помните, что сертификаты, выданные третьими сторонами, поддерживают только стандартные домены и не подходят для пользовательских нестандартных суффиксов. Надеюсь, эта статья поможет вам успешно настроить сторонний SSL-сертификат и обеспечить надежность вашего сайта.