Исходные данные:
CentOS 6.4 minimal
Server version: Apache/2.2.15 (Unix)
Microsoft Active Directory + Certification Authority
Установить модуль шифрования
yum install mod_ssl openssl
Через центр сертификации запросить новый сертификат
mmc - Add snap-in - Certificates - Computer account - Local
Personal - Certificates - All Tasks - Request New...
Как шаблон выбрать Web server (или другой подходящий, если была ручная настройка шаблонов).
Настроить имя и прочие параметры, если требуется
Пометить, что ключ может быть экспортирован
Нажать Ок и выписать сертификат.
Экспортировать сертификат с ключем
Задать пароль и сохранить как http_server.pfx
Скопировать на сервер например в /tmp
cd /tmp
openssl pkcs12 -in http_server.pfx -nocerts -out key.pem
openssl pkcs12 -in http_server.pfx -clcerts -nokeys -out http_server.crt
openssl rsa -in key.pem -out http_server.key
mv http_server.crt /etc/pki/tls/cert/
mv http_server.key /etc/pki/tls/private/
Удалить оставшиеся файлы
rm http_server.pfx
rm key.pem
В соответствии с требованиями безопасности, ключ должен быть доступен только root.
Прописать в файле /etc/httpd/conf.d/ssl.conf указание на сертификат и ключ:
SSLCertificateFile /etc/pki/tls/certs/http_server.crt
SSLCertificateKeyFile /etc/pki/tls/private/http_server.key
service httpd restart
Не стоит забывать про SELinux, если сервис не запускается надо проверить тип
cd /etc/pki/tls/cert/
ls -Z
и поправить если требуется
chcon -v --type=cert_t /etc/pki/tls/private/http_server.key
chcon -v --type=cert_t /etc/pki/tls/certs/http_server.crt
CentOS 6.4 minimal
Server version: Apache/2.2.15 (Unix)
Microsoft Active Directory + Certification Authority
Установить модуль шифрования
yum install mod_ssl openssl
Через центр сертификации запросить новый сертификат
mmc - Add snap-in - Certificates - Computer account - Local
Personal - Certificates - All Tasks - Request New...
Как шаблон выбрать Web server (или другой подходящий, если была ручная настройка шаблонов).
Настроить имя и прочие параметры, если требуется
Пометить, что ключ может быть экспортирован
Нажать Ок и выписать сертификат.
Экспортировать сертификат с ключем
Задать пароль и сохранить как http_server.pfx
Скопировать на сервер например в /tmp
cd /tmp
openssl pkcs12 -in http_server.pfx -nocerts -out key.pem
openssl pkcs12 -in http_server.pfx -clcerts -nokeys -out http_server.crt
openssl rsa -in key.pem -out http_server.key
mv http_server.crt /etc/pki/tls/cert/
mv http_server.key /etc/pki/tls/private/
Удалить оставшиеся файлы
rm http_server.pfx
rm key.pem
В соответствии с требованиями безопасности, ключ должен быть доступен только root.
Прописать в файле /etc/httpd/conf.d/ssl.conf указание на сертификат и ключ:
SSLCertificateFile /etc/pki/tls/certs/http_server.crt
SSLCertificateKeyFile /etc/pki/tls/private/http_server.key
service httpd restart
Не стоит забывать про SELinux, если сервис не запускается надо проверить тип
cd /etc/pki/tls/cert/
ls -Z
и поправить если требуется
chcon -v --type=cert_t /etc/pki/tls/private/http_server.key
chcon -v --type=cert_t /etc/pki/tls/certs/http_server.crt
Комментариев нет:
Отправить комментарий