Страница 1 из 2

Установка самоподписанного SSL сертификата

Добавлено: 09 май 2017, 16:09
rend88
Сразу скажу я перечитал 167 страниц с темой как установить SSL и решения не нашел.
Возможно я просто что-то не понимаю, и не увидел как правильно это сделать. Не пинайте за подобное.


И так проблема вот в чем, мне надо просто запустить https на домене
Руководствуясь этой статьей habrahabr.ru/post/192446/
Я сделал все как там было написано, и все заработало но только в одном браузере в
Mozilla так как у него свое хранилище сертификатов. Но вот в Google не хочет запускаться,
кеш чистил кучу раз перегружал. Выдает постоянно что Ваше подключение не защищено

Сам домен test.ru
Далее скрины
2.png
Кто с таким сталкивался?

А тут все работает и показывает верное подключение
3.png
1.png

И сразу же 2) вопрос
Для отдельного домена сделать ssl надо прописать конфиг в каком именно файле
Apache-2.4_server.conf
Apache-2.4_vhost.conf


Внутри директивы
<IfModule ssl_module>
......
</IfModule>

Если да, то Apache не грузится
И если до этой директивы тоже самое не грузится Apache

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 16:22
Максим
Так а сам то сертификат центра сертификации (root CA) вы установили в хранилище Windows? IE и Хром используют хранилище Windows, об этом в указанной вами статье даже написано.

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 16:47
rend88
я добавил в хранилище хрома.
Он успешно отображается

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 17:04
Максим
Возможно что-то с сертификатами, которые вы нагенерировали. Сгенерируйте их не по какой-то непонятной статье, а штатными средствами Open Server (в Консоли):
cd modules\http\Apache-2.4\conf
generate
Семь новых файлов будут созданы в этой же папке conf. В самом файле generate.bat можете подставить своё имя центра сертификации и имя домена для самого сертификата. Скриптом будут сгенерированы 100% рабочие сертификаты без вашего участия, вам нужно будет их только установить. После установки в Windows хранилище Хром нужно будет перезапустить.

Чтобы установить сертификат на сайт делаете всё как в руководстве - копируете файл Apache-2.4_vhost.conf (ну или другой смотря какие у вас модули активны) в папку с доменом и в этом файле всё что нужно прописываете (там и так всё есть, вам нужно только пути поменять).

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 17:47
rend88
Сделал все так как вы написали.
Не хочет 3 разных хрома и не в одном не работаете так же в IE тоже не работает Opera так же не работает. Она видать использует общее хранилище

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 17:58
Максим
Получается, что домен сертификата не может быть именем центра сертификации. У вас везде test.ru Переименуйте центр сертификации. Назовите центр ROOTRU или ROOTLOCAL и уже выдавайте через него сертификаты на локальные домены с любым именем. Проще говоря не нужно прописывать существующий локальный домен (и вообще домен) в имя центра сертификации. Можете вообще его не трогать и оставить как OSPanel.

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 18:40
rend88
Да Максим, в очередной раз вы правы. Что нельзя использовать использовать одно и тоже название при генерации. Хотя это логично сайта не может сам себе выдать сертификат. Но почему-то пока вы не указали на это, я не давал большого значения.
1.png
Чтобы установить сертификат на сайт делаете всё как в руководстве - копируете файл Apache-2.4_vhost.conf (ну или другой смотря какие у вас модули активны) в папку с доменом и в этом файле всё что нужно прописываете (там и так всё есть, вам нужно только пути поменять).
Получается что я просто копирую Apache-2.4_vhost.conf в корень домена test.ru
И далее правлю пути. Я так понимаю что изменить название файла Apache-2.4_vhost.conf я не могу так как он не подхватится Apache ?

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 18:46
Максим
Можете изменить содержимое, просто смотрите чтобы основные системные параметры Open Server не поломали (порт, ip, пути), иначе будет сбой запуска. Ну и само собой конфиг не поломайте, а то тогда уже будет сбой на стороне самого Apache.

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 18:48
rend88
Я вот как только поменял название
Apache-2.4_vhost.conf -> SSL_vhost.conf и все отвалился сразу сертификат

Re: Правильная установка SSL сертификата

Добавлено: 09 май 2017, 19:50
Максим
rend88 писал(а):Я вот как только поменял название
Apache-2.4_vhost.conf -> SSL_vhost.conf и все отвалился сразу сертификат
Прикольно. А вы надеялись что будет работать как и работало? Файл не просто так назван таким именем. Я имел ввиду, что вы можете изменить содержимое (подстроить конфиг под себя для нужного вам домена), а не название файла.

Всё таки не давало мне покоя эта ситуация с доменами. Раньше же всегда такие сертификаты работали. Наконец то я докопался в чём дело - нужно создавать X.509v3 сертификаты, тогда всё работает.

Новое содержимое generate (на примере домена test.ru):
@echo off
set OPENSSL_CONF=%~dp0..\conf\openssl.cnf
..\bin\openssl req -x509 -sha256 -newkey rsa:2048 -nodes -days 5475 -keyout rootCA.key -out rootCA.crt -subj "/CN=test.ru/"
..\bin\openssl req -newkey rsa:2048 -nodes -days 5475 -keyout server.key -out server.csr -subj "/CN=test.ru/"
..\bin\openssl x509 -req -sha256 -days 5475 -in server.csr -extfile v3.txt -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt
..\bin\openssl dhparam -out dhparam.pem 2048
Содержимое файла v3.txt (его нужно создать в папке conf рядом с generate.bat):
nsComment              = "Open Server Panel Generated Certificate"
basicConstraints       = CA:false
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid,issuer
keyUsage               = nonRepudiation, digitalSignature, keyEncipherment