Certyfikat SSL w DirectAdmin z użyciem SNI

Jeśli chcesz zainstalować więcej niż jeden certyfikat ssl używając jednego adresu ip do rozważenia zostaje użycie SNI czyli Server Name Indication. Aby zainstalować certyfikat SSL w DirectAdmin należy:

  1. Włączyć w konfiguracji DirectAdmina opcję sni:
     # vim /usr/local/directadmin/conf/directadmin.conf

    i dodajemy:

     enable_ssl_sni=1
  2. Generujemy klucz prywatny dla naszej domeny:
    # openssl genrsa -des3 -out naszadomena.pl.key 2048
  3. Generujemy żądanie certyfikatu:
    # openssl req -new -key naszadomena.pl.key -out naszadomena.pl.csr
  4. W naszym centrum certyfikacji (CA) uzyskujemy certyfikat na podstawie „naszadomena.pl.csr”. Polecam StartSSL, w którym możemy uzyskać certyfikat bezpłatnie. Otrzymany plik zapisujemy jako „naszadomena.pl.crt”.
  5. W DirectAdmin wchodzimy do „SSL Certificates”. Zaznaczamy opcję „Paste a pre-generated certificate and key” i wklejamy w polu poniżej zawartość klucza prywatnego „naszadomena.pl.key” i pod nim certyfikat „naszadomena.pl.crt”.
  6. Musimy dodać Root Certificate naszego CA, w tym celu, pod polem opisanym powyżej jest link „Click Here to paste a CA Root Certificate” do formularza, do którego wklejamy zawartość certyfikatu od CA (w StartSSl: ToolBox -> StartCom CA Certificates ->StartCom Root CA (PEM encoded),  zaznaczamy „Use a CA Cert.” i zapisujemy zmiany.
  7. Może się zdarzyć, że nie możemy ponownie uruchomić Apache, który zaakceptowałby poprawnie nasz certyfikat – wejście na stronę „naszadomena.pl” powoduje ostrzeżenie o błędnym certyfikacie. Upewnij się, że pliku konfiguracyjnym dla domeny „/usr/local/directadmin/data/users/naszadomena/httpd.conf”, masz prawidłowe ścieżki do prywatnego klucza oraz samego certyfikatu.
  8. Podczas ponownego uruchamiania (jeśli certyfikat jest poprawnie obsługiwany przez Apache) pojawi się informacja o podanie hasło do klucza prywatnego. Podajesz hasło, które ustawiłeś dla wygenerowania „naszadomena.key”. Aby usunąć hasło z klucza zrób jego kopię:
    # cp naszadomena.key naszadomena.key.crypted

    utwórz plik z kluczem bez hasła:

    # openssl rsa -in naszadomena.key.crypted -out naszadomena.key
  9. Uruchom ponownie Apache, w przeglądarce powinieneś móc połączyć się z domeną po ssl.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *