priority1

Jak zainstalować certyfikat SSL (instrukcje)?

 

1. Generator CSR:

CSR (ang. Certificate Signing Request; pol. Żądanie Podpisania Certyfikatu) - to plik generowany przez administratora serwera niezbędny do złożenia zamówienia i wystawienia certyfikatu SSL dla domeny.

Instalacja Certyfikatu SSL zależy od rodzaju oprogramowania, które jest zainstalowane na serwerze.


2. Skrócona instrukcja instalacji certyfikatu SSL na serwerze: 
  • Apache instalacja certyfikatu SSL i certyfikatów pośrednich [kliknij - aby rozwinąć]
    1. Do instalacji certyfikatu SSL potrzebne są następujące pliki:

       

    2. Pliki umieść na serwerze, który udostępnia Twoją stronę w odpowiednich katalogach.

      Typowe ustawienia:

      • wygenerowany wcześniej klucz prywatny ssl.key należy umieścić w katalogu /etc/ssl/ssl.key. Uwaga: Prawa do tego katalogu może mieć wyłącznie Apache.
      • pliki yourDomainName.crt i ca-bundle należy przenieść do katalogu /etc/ssl/ssl.crt.

      Ważne: powyższe ścieżki są jedynie przykładami. Twój serwer może posiadać inne - być może będzie konieczna ich modyfikacja.

       

    3. Dokonaj edycji pliku z konfiguracją SSL dla serwera WWW przy użyciu edytora tekstowego.

      Ważne: Lokalizacja tego pliku różni się w zależności od konfiguracji serwera WWW.

      Dla serwera Apache są to:

      • Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
      • Debian and Debian based: /etc/apache2/apache2.conf

      Spotykane nazwy plików dla konfiguracji SSL:

      • httpd-ssl.conf
      • ssl.conf
      • lub w katalogu: /etc/apache2/sites-enabled/

       

    4. W konfiguracji VirtualHost strony, która ma być szyfrowana, należy dodać (jeśli nie istnieją) poniższe wpisy:
      • SSLEngine on
      • SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
      • SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
      • SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle (with Apache 1.x SSLCertificateChainFile instead of SSLCACertificateFile should be used)

      Ważne: powyższe ścieżki są jedynie przykładami. Twój serwer może posiadać inne - być może będzie konieczna ich modyfikacja.

       

    5. Konfiguracja dodatkowa
      • SSLProtocol all
        • w Apache 2.4 włączenie protokołów SSLv3 i TLSv1 oraz opcjonalnie TLSv1.1 i TLSv1.2 (w OpenSSL 1.0.1 i wyższych).
        • w Apache 2.2 należy użyć dyrektywy SSLProtocol All -SSLv2. Parametr -SSLv2 wyłącza obsługę przestarzałego protokołu SSLv2.
      • SSLHonorCipherOrder On - wymuszenie przez serwer kolejności stosowania szyfrów
      • SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS - ustawienie priorytetu dla silnych szyfrów, jednocześnie wyłączenie słabych i przestarzałych

       

    6. Zapisz zmiany w pliku konfiguracyjnym

       

    7. Zrestartuj serwer używając następujących poleceń:
      • dystrybucje Debian lub Ubuntu: /etc/init.d/apache2 restart
      • dystrybucje Red Hat/Fedora/CentOS: apachectl restart
      • inne polecenia: /usr/sbin/httpsd restart lub /etc/init.d/apache restart
  • IIS 7 - Instalacja certyfikatu SSL [kliknij - aby rozwinąć]
    Instalacja certyfikatu serwera
    1. Po otrzymaniu e-maila zawierającego certyfikat SSL dla serwera, skopiuj go do dowolnego edytora tekstowego i zapisz jako plik z rozszerzeniem .cer (np.www_moja_domena.cer).

       

    2. Aby „zamknąć” wcześniej wygenerowane żądania CSR w IIS i wgrać uzyskany certyfikat SSL należy przejść do Internet Information Services (IIS) Manager, z lewego menu wybierz nazwę swojego serwera. Ze środkowego panelu kliknij w ikonę Server Certificates., a następnie z prawego panelu Actions wybierz Complete Certificate Request.

       

    3. Wybierz plik, który zawiera wystawiony certyfikat serwera. W polu Friendly name: podaj przyjazną nazwę certyfikatu, która ułatwi jego identyfikację, np. www.moja-domena.pl. Zatwierdź przyciskiem OK.

       

    4. Wystawiony certyfikat serwera pojawi się w środkowym panelu Server Certificates.

       

    Powiązanie certyfikatu z witryną
    1. Kliknij na nazwę witryny (Default Web Site) i z menu Actions wybierz Bindings...

       

    2. W wyświetlonym oknie Site Bindings kliknij w przycisk Add....

       

    3. W oknie Add Site Bindings z listy rozwijanej Type: wybierz https, następnie z listy rozwijanej SSL certificate: wybierz certyfikat, który będzie używany dla tej Twojej witryny. Wyświetlona lista zawiera certyfikaty, które posiadają swój klucz prywatny.

       

    4. Po zatwierdzeniu zmian okno Site Bindings powinno wyglądać jak poniżej:

       

    Konfiguracja konsoli MMC
    1. Uruchom konsolę MMC (Microsoft Management Console). Z menu File wybierz pozycję Add/Remove Snap-in...

       

    2. Następnie z listy dostępnych przystawek (snap-ins) wybierz Certificates i kliknij w przycisk Add.

       

    3. Wybierz Computer account i kliknij Next>.

       

    4. Wybierz Local computer i kliknij Finish.
  • IIS 7 - Instalacja certyfikatów pośrednich [kliknij - aby rozwinąć]

    Bardzo ważnym elementem do prawidłowego działania certyfikatu SSL są certyfikaty urzędów pośrednich. Należy je zainstalować na serwerze WWW, aby przeglądarka internetowa poprawnie zweryfikowała wystawcę certyfikatu SSL.

    Uwaga! Czynności opisane w niniejszej instrukcji należy wykonać tylko w przypadku braku zainstalowanych zaświadczeń certyfikacyjnych w systemie Windows 2008/2012 server.

    Instalacja certyfikatów pośrednich
    1. W przypadku certyfikatu Commercial SSL lub jego opcji MultiDomain/Wildcard należy pobrać i zainstalować na serwerze następujący certyfikat pośredni:
      Klucz urzędu – Certum Level II CA (the key is available in different formats):

       

    2. W przypadku certyfikatu Trusted SSLlub jego opcji MultiDomain/Wildcard należy pobrać i zainstalować na serwerze następujący certyfikat pośredni:
      Klucz urzędu - Certum Level IV CA (klucz dostępny jest w kilku różnych formatach):

       

    3. W przypadku certyfikatu Premium EV SSL lub jego opcji MultiDomain należy pobrać i zainstalować na serwerze następujące certyfikaty pośrednie:
      1. Klucz urzędu – Certum Extended Validation CA (klucz dostępny jest w kilku różnych formatach):
      2. Klucz urzędu – Certum Trusted Network CA (Cross Certum CTNCA i Certum CA).

       

    Instalacja certyfikatów pośrednich na serwerze – krok po kroku

    Z drzewa Certificates (Local Computer) rozwiń gałąź Intermediate Certification Authorities. Wybierz pozycję Certificates, kliknij prawym przyciskiem i wybierz z menu All Tasks -> Import...

    1. W kreatorze importu certyfikatów kliknij Next.

       

    2. Wybierz plik z certyfikatem pośrednim i kliknij Next.

       

    3. Wybierz docelowy magazyn w którym będzie przechowywany certyfikat pośredni. Wybierz Place all certificates in the following store.. Pole Certificate store: powinno wskazywać, Intermediate Certification Authorities.

       

    4. Wybierz plik z certyfikatem pośrednim i kliknij Next.

       

    5. Jeżeli chcesz zainstalować certyfikaty pośrednie dla innych typów certyfikatów należy powtórzyć opisane wyżej kroki (od pkt. 2 do pkt. 6).

       

    6. Zrestartuj usługę IIS.
      Uwaga! W niektórych przypadkach zmiany w konfiguracji IIS-a mogą nie być widoczne po restarcie usługi. W takim przypadku należy zrestartować system operacyjny Windows.

 

3. Rozszerzona instrukcja instalacji certyfikatu SSL na serwerze:
Nazwa instrukcji Wersja Plik
Apache 1.7 PDF
Exchange 2010 1.0 PDF
Exchange 2013 1.0 PDF
Internet Information Service 5.0 (IIS) 1.3 PDF
Internet Information Service 7.0 (IIS) 1.2 PDF
Internet Information Service 7.5 (IIS) - Konfiguracja corss certyfikatu Certum Trusted Network CA
1.0 PDF
Postfix 1.4 PDF
PureFTPd 1.3 PDF
Sendmail 1.3 PDF
VSFTPd 1.3 PDF
Tomcat 1.1 PDF
Konfiguracja cross certyfikatu Certum Trusted Network CA na serwerze IIS 7.5 1.0 PDF

Uwaga: w przypadku braku możliwości wyświetlenia instrukcji w oknie przeglądarki, należy zapisać instrukcję klikając prawym klawiszem myszy na ikonę pobierania i wskazując w menu opcję "Zapisz element docelowy jako..." lub "Zapisz link jako..."

4. Archiwalne Instrukcje
Nazwa instrukcji Wersja Plik
Exchange 2003 1.2 PDF
Exchange 2007 1.1 PDF
Lotus Domino 1.1 PDF
PureFTPd 1.3 PDF
Sendmail 1.3 PDF
SunOne Web Server 1.3 PDF
VPN 1.1 PDF

Uwaga: w przypadku braku możliwości wyświetlenia instrukcji w oknie przeglądarki, należy zapisać instrukcję klikając prawym klawiszem myszy na ikonę pobierania i wskazując w menu opcję "Zapisz element docelowy jako..." lub "Zapisz link jako..."