Установка сертификата на веб сервер nginx.

• Введение.
  • Цель: установить на nginx сертификат, полученный с Центра Сертификации (Certification Authority).
  • В моем случае имеется настроенная иерархия Центров Сертификации (ЦС) на Windows Server.
  • Самоподписанные сертификаты - пройденный этап.
  • Ссылки.
    • http://blog.regolit.com/2010/02/16/personal-ca-and-self-signed-certificates - Создаём собственный CA и подписываем им сертификаты для своих ресурсов.

  • Имеется виртуальный сервер, с установленным centos 7. Hostname = web-server1. Локальный пользователь = user1 , может sudo.

• Пошаговая процедура.

  • Подключаемся через ssh к web-server1 .

  • Смотрим что есть.

    [user1@web-server1 ~]$ uname -a Linux web-server1 3.10.0-327.36.3.el7.x86_64 #1 SMP Mon Oct 24 16:09:20 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

    [user1@web-server1 ~]$ cat /etc/os-release | grep PRETTY PRETTY_NAME="CentOS Linux 7 (Core)"

    [user1@web-server1 ~]$ yum info openssl.x86_64 | grep Vers Version : 1.0.1e

  • Создаем папку для сертификатов.

    [user1@web-server1 ~]$ mkdir ~/cert

    [user1@web-server1 ~]$ cd ~/cert

  • Создаем закрытый ключ.

    [user1@web-server1 cert]$ openssl genrsa -des3 -out web-server1.localnet.key 4096

  • Проверка целостности закрытого ключа.

    [user1@web-server1 cert]$ openssl rsa -check -in web-server1.localnet.key

  • Формируем запрос к ЦС. При выполнении команды будут заданы несколько вопросов, параметр "Common Name" должен совпадать с полным DNS именем сервера (FQDN), в моем случае "Common Name" = web-server1.localnet .

    [user1@web-server1 cert]$ openssl req -new -key web-server1.localnet.key -out web-server1.localnet.req

  • Смотрим содержимое запроса. В содержимом стоит обратить внимание на строку "Signature Algorithm: sha256WithRSAEncryption".

    [user1@web-server1 cert]$ openssl req -in web-server1.localnet.req -text -noout

  • Далее, сформированный запрос (web-server1.localnet.req) копируем на компьютер с установленным ЦС. Действия, описанные ниже выполняются на ЦС.

    • В моем случае имеется Windows Server 2012 R2, с установленной ролью Active Directory Certificate Services. Опубликованы (доступны) AIA и CRL.

    • На сервере с установленным ЦС запускаем оснастку Certification Authority. В оснастке CA, выбираем ЦС; далее, в контекстном меню: "All Tasks" > "Submit new request", далее в открывшемся окне выбираем файл запроса (web-server1.localnet.req), нажимаем Open.

    • После обработки запроса, открываем контейнер (папку) "Issued Certificates", находим наш сертификат (обычно последний в списке) и экспортируем его в файл. Подробнее, по шагам: Встаем на сертификат > (Контекстное меню) > Open > Details > Copy to File > Next > Base-64... > Next > Browse... > web-server1.localnet.from-ca.cer > Save > Next > Fininsh.

    • Для проверки доступности AIA и CRL, в командной строке запускаем: >certutil -url web-server1.localnet.from-ca.cer

    • Полученный файл с сертификатом (web-server1.localnet.from-ca.cer) копируем обратно на web-server1 .

  • Возвращаемся к ssh подключению к web-server1. Для удобства рекомендую добавить в серверный сертификат сертификаты всех вышестоящих ЦС. Например, такими командами. В моем случае, ca-server.localnet.cer - это сертификат вышестоящего сервера, т.е. того, кто который выдал сертификат для нашего веб сервера.

    [user1@web-server1 cert]$ cat web-server1.localnet.from-ca.cer >> web-server1.localnet.from-ca.all-certs.pem

    [user1@web-server1 cert]$ cat ca-server.localnet.cer >> web-server1.localnet.from-ca.all-certs.pem

  • Убираем пароль из закрытого ключа.

    [user1@web-server1 cert]$ openssl rsa -in web-server1.localnet.key -out web-server1.localnet.from-ca.key.pem

  • Проверяем серверный сертификат на соответсвие иерархии.

    [user1@web-server1 cert]$ openssl verify -CAfile web-server1.localnet.from-ca.all-certs.pem web-server1.localnet.from-ca.cer web-server1.localnet.from-ca.cer: OK

  • Копируем сертификат и ключ в папку nginx.

    [user1@web-server1 cert]$ sudo cp web-server1.localnet.from-ca.all-certs.pem /etc/nginx/cert/ [user1@web-server1 cert]$ sudo cp web-server1.localnet.from-ca.key.pem /etc/nginx/cert/

  • Настраиваем nginx на использование полученного сертификата. Ниже показана часть конфига nginx.

    server { listen 443 ssl ; server_name web-server1.localnet ; ... ; ssl_certificate /etc/nginx/cert/web-server1.localnet.from-ca.all-certs.pem ; ssl_certificate_key /etc/nginx/cert/web-server1.localnet.from-ca.key.pem ; ... ; }

  • Перезапускаем nginx.

    [user1@web-server1 ~]$ sudo service nginx restart

  • На рабочей станции в браузере подключаемся к https://web-server1.localnet . Проверяем серверный сертификат.