Einführung
In diesem Lernprogramm erfahren Sie, wie Sie ein SSL-Zertifikat von einer vertrauenswürdigen, kommerziellen Zertifizierungsstelle (CA) erwerben und installieren. SSL-Zertifikate ermöglichen es Webservern, ihren Datenverkehr zu verschlüsseln, und bieten außerdem einen Mechanismus zur Validierung der Serveridentitäten für ihre Besucher. Der Hauptvorteil der Verwendung eines von einer vertrauenswürdigen Zertifizierungsstelle erworbenen SSL-Zertifikats gegenüber selbstsignierten Zertifikaten besteht darin, dass den Besuchern Ihrer Website keine beängstigende Warnung angezeigt wird, dass sie die Identität Ihrer Website nicht überprüfen können.
In diesem Lernprogramm erfahren Sie, wie Sie ein SSL-Zertifikat von den folgenden vertrauenswürdigen Zertifizierungsstellen erwerben:
-
Los Papa
-
RapidSSL (über Namecheap)
Sie können auch eine andere Zertifizierungsstelle Ihrer Wahl verwenden.
Nachdem Sie Ihr SSL-Zertifikat erworben haben, zeigen wir Ihnen, wie Sie es auf Nginx- und Apache-HTTP-Webservern installieren.
Voraussetzungen
Es gibt mehrere Voraussetzungen, die Sie sicherstellen sollten, bevor Sie versuchen, ein SSL-Zertifikat von einer kommerziellen Zertifizierungsstelle abzurufen. In diesem Abschnitt wird erläutert, was Sie benötigen, um ein SSL-Zertifikat von den meisten Zertifizierungsstellen zu erhalten.
Geld
SSL-Zertifikate, die von kommerziellen Zertifizierungsstellen ausgestellt wurden, müssen gekauft werden. Die beste kostenlose Alternative sind Zertifikate von Let’s Encrypt. Let’s Encrypt ist eine neue Zertifizierungsstelle, die kostenlose SSL / TLS-Zertifikate ausstellt, die in den meisten Webbrowsern als vertrauenswürdig gelten.
Registrierter Domain Name
Bevor Sie ein SSL-Zertifikat erwerben, müssen Sie den registrierten Domainnamen besitzen oder kontrollieren, mit dem Sie das Zertifikat verwenden möchten. Wenn Sie noch keinen registrierten Domainnamen haben, können Sie einen bei einem der vielen Domainnamen-Registrare registrieren (z. Namecheap, GoDaddy usw.).
Domain-Validierungsrechte
Für die grundlegende Domänenüberprüfung müssen Sie Zugriff auf eine der E-Mail-Adressen im WHOIS-Datensatz Ihrer Domäne oder auf eine E-Mail-Adresse vom Typ "Administrator" in der Domäne selbst haben. Zertifizierungsstellen, die SSL-Zertifikate ausstellen, validieren die Domänensteuerung in der Regel, indem sie eine Validierungs-E-Mail an eine der Adressen im WHOIS-Eintrag der Domäne oder an eine allgemeine Administrator-E-Mail-Adresse in der Domäne selbst senden. Einige Zertifizierungsstellen bieten alternative Methoden zur Domänenüberprüfung an, z. B. eine DNS- oder HTTP-basierte Überprüfung, die nicht in diesem Handbuch aufgeführt sind.
Wenn Sie ein SSL-Zertifikat für die Organisationsvalidierung (Organization Validation, OV) oder die erweiterte Validierung (Extended Validation, EV) erhalten möchten, müssen Sie der Zertifizierungsstelle auch Unterlagen zur Verfügung stellen, um unter anderem die rechtliche Identität des Eigentümers der Website festzustellen.
Webserver
Zusätzlich zu den zuvor genannten Punkten benötigen Sie einen Webserver, auf dem Sie das SSL-Zertifikat installieren können. Dies ist der Server, der unter dem Domainnamen erreichbar ist, für den das SSL-Zertifikat ausgestellt wird. In der Regel handelt es sich hierbei um einen Apache HTTP-, Nginx-, HAProxy- oder Varnish-Server. Wenn Sie Hilfe beim Einrichten eines Webservers benötigen, auf den Sie über Ihren registrierten Domainnamen zugreifen können, gehen Sie folgendermaßen vor:
-
Richten Sie einen Webserver Ihrer Wahl ein. Beispiel: LEMP (Nginx) oder LAMP (Apache) Konfigurieren Sie die Webserver-Software so, dass der Name Ihrer registrierten Domain verwendet wird
-
Konfigurieren Sie Ihre Domain so, dass die entsprechenden Nameserver verwendet werden. Wenn Ihr Webserver auf DigitalOcean gehostet wird, hilft Ihnen dieses Handbuch bei der Einrichtung: https://www.digitalocean.com/community/tutorials/how-to-point-to-digitalocean-nameservers-from-common-domain- Registrare [So verweisen Sie von allgemeinen Domain-Registraren auf die Nameserver von DigitalOcean]
-
Fügen Sie Ihren Nameservern DNS-Einträge für Ihren Webserver hinzu. Wenn Sie die Nameserver von DigitalOcean verwenden, lesen Sie in diesem Handbuch, wie Sie die entsprechenden Datensätze hinzufügen: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean [Einrichten eines Hostnamens mit DigitalOcean]
Wählen Sie Ihre Zertifizierungsstelle
Wenn Sie nicht sicher sind, welche Zertifizierungsstelle Sie verwenden möchten, müssen Sie einige wichtige Faktoren berücksichtigen. Auf der Übersichtsebene ist es am wichtigsten, dass die von Ihnen ausgewählte Zertifizierungsstelle die gewünschten Funktionen zu einem Preis bereitstellt, mit dem Sie zufrieden sind. Dieser Abschnitt konzentriert sich eher auf die Funktionen, die den meisten Käufern von SSL-Zertifikaten bekannt sein sollten, als auf die Preise.
Root Certificate Program-Mitgliedschaften
Der wichtigste Punkt ist, dass die von Ihnen ausgewählte Zertifizierungsstelle Mitglied der Stammzertifizierungsprogramme der am häufigsten verwendeten Betriebssysteme und Webbrowser ist, d. H. Es ist eine "vertrauenswürdige" Zertifizierungsstelle, und das Stammzertifikat wird von gängigen Browsern und anderer Software als vertrauenswürdig eingestuft. Wenn das SSL-Zertifikat Ihrer Website von einer vertrauenswürdigen Zertifizierungsstelle signiert ist, wird die Identität von Software als gültig betrachtet, die der Zertifizierungsstelle vertraut. Dies steht im Gegensatz zu selbstsignierten SSL-Zertifikaten, die ebenfalls Verschlüsselungsfunktionen bereitstellen, jedoch mit Warnungen zur Identitätsüberprüfung versehen sind das stört die meisten Website-Besucher.
Die meisten kommerziellen Zertifizierungsstellen, auf die Sie stoßen, sind Mitglieder der gängigen Stammzertifizierungsstellenprogramme und sagen, dass sie mit 99% der Browser kompatibel sind. Es tut jedoch nicht weh, dies vor dem Kauf Ihres Zertifikats zu überprüfen. Beispielsweise bietet Apple die Liste der vertrauenswürdigen SSL-Stammzertifikate für iOS8 an (here).
Zertifikatstypen
Stellen Sie sicher, dass Sie eine Zertifizierungsstelle auswählen, die den gewünschten Zertifikatstyp anbietet. Viele Zertifizierungsstellen bieten Variationen dieser Zertifikatstypen unter verschiedenen, oftmals verwirrenden Namen und Preisstrukturen an. Hier ist eine kurze Beschreibung jedes Typs:
-
* Einzelne Domain *: Wird für eine einzelne Domain verwendet, z.
+ example.com +. Beachten Sie, dass zusätzliche Subdomains wie "+ www.example.com +" nicht enthalten sind -
* Wildcard *: Wird für eine Domain und eine ihrer Subdomains verwendet. Beispielsweise kann ein Platzhalterzertifikat für "+ *. Example.com " auch für " www.example.com " und " store.example.com +" verwendet werden
-
* Mehrere Domänen *: Diese als SAN- oder UC-Zertifikat bekannten Domänen können mit mehreren Domänen und Unterdomänen verwendet werden, die dem Feld Alternativer Antragstellername hinzugefügt werden. Beispielsweise könnte ein einzelnes Multidomain-Zertifikat mit "+ example.com ", " www.example.com " und " example.net +" verwendet werden
Zusätzlich zu den oben genannten Zertifikatstypen gibt es verschiedene Validierungsstufen, die von Zertifizierungsstellen angeboten werden. Wir werden sie hier behandeln:
-
* Domain Validation * (DV): DV-Zertifikate werden ausgestellt, nachdem die Zertifizierungsstelle bestätigt hat, dass der Anforderer die betreffende Domain besitzt oder kontrolliert
-
* Organization Validation (OV) *: OV-Zertifikate können erst ausgestellt werden, nachdem die ausstellende Zertifizierungsstelle die rechtliche Identität des Antragstellers bestätigt hat
-
* Extended Validation (EV) *: EV-Zertifikate können nur ausgestellt werden, nachdem die ausstellende Zertifizierungsstelle unter anderem die rechtliche Identität des Antragstellers gemäß einer Reihe strenger Richtlinien validiert hat. Der Zweck dieser Art von Zertifikat besteht darin, den Besuchern Ihrer Site eine zusätzliche Sicherheit für die Legitimität der Identität Ihrer Organisation zu geben. EV-Zertifikate können einzelne oder mehrere Domänen sein, jedoch keine Platzhalter
In diesem Handbuch erfahren Sie, wie Sie ein einzelnes Domain- oder Wildcard-SSL-Zertifikat von GoDaddy und RapidSSL erhalten. Die anderen Zertifikatstypen sind jedoch sehr ähnlich.
Zusatzfunktionen
Viele Zertifizierungsstellen bieten eine Vielzahl von "Bonus" -Funktionen, um sich von den übrigen Anbietern von SSL-Zertifikaten abzuheben. Einige dieser Funktionen können zu Kosteneinsparungen führen. Daher ist es wichtig, dass Sie Ihre Bedürfnisse sorgfältig gegen die Angebote abwägen, bevor Sie einen Kauf tätigen. Zu den Merkmalen, auf die Sie achten sollten, gehören beispielsweise kostenlose Zertifikatsneuausstellungen oder ein einzelnes Zertifikat zu Domainpreisen, das für "+ www. " Und den Domain-Basisnamen funktioniert, z. ` www.example.com ` mit einem SAN von ` example.com +`
Generieren Sie eine CSR und einen privaten Schlüssel
Nachdem Sie alle Voraussetzungen geklärt und den gewünschten Zertifikatstyp ermittelt haben, ist es an der Zeit, eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) und einen privaten Schlüssel zu generieren.
Wenn Sie Apache HTTP oder Nginx als Webserver verwenden möchten, verwenden Sie "+ openssl +", um Ihren privaten Schlüssel und Ihre CSR auf Ihrem Webserver zu generieren. In diesem Lernprogramm speichern wir nur alle relevanten Dateien in unserem Ausgangsverzeichnis, können sie jedoch an einem sicheren Ort auf Ihrem Server speichern:
cd ~Um einen privaten Schlüssel mit dem Namen "+ example.com.key " und einen CSR mit dem Namen " example.com.csr " zu generieren, führen Sie diesen Befehl aus (ersetzen Sie " example.com +" durch den Namen Ihrer Domain):
openssl req -newkey rsa:2048 -nodes -keyout .key -out .csrZu diesem Zeitpunkt werden Sie aufgefordert, mehrere Informationszeilen einzugeben, die in Ihrer Zertifikatsanforderung enthalten sind. Der wichtigste Teil ist das Feld * Allgemeiner Name *, das mit dem Namen übereinstimmen sollte, für den Sie Ihr Zertifikat verwenden möchten, z. B. "+ example.com ", " www.example.com " oder (für ein Platzhalterzertifikat) Anfrage) ` *. example.com +`. Wenn Sie vorhaben, ein OV- oder EV-Zertifikat zu erhalten, stellen Sie sicher, dass alle anderen Felder Ihre Organisations- oder Geschäftsdetails genau wiedergeben.
Zum Beispiel:
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:Dies erzeugt eine "+ .key" - und eine "+ .csr" -Datei. Die + .key + Datei ist Ihr privater Schlüssel und sollte sicher aufbewahrt werden. Die Datei "+ .csr +" wird an die Zertifizierungsstelle gesendet, um Ihr SSL-Zertifikat anzufordern.
Sie müssen Ihren CSR kopieren und einfügen, wenn Sie Ihre Zertifikatsanforderung an Ihre Zertifizierungsstelle senden. Verwenden Sie diesen Befehl, um den Inhalt Ihrer CSR zu drucken (ersetzen Sie den Dateinamen durch Ihren eigenen):
cat .csrJetzt können wir ein Zertifikat von einer Zertifizierungsstelle kaufen. Wir werden zwei Beispiele zeigen, GoDaddy und RapidSSL über Namecheap, aber Sie können jederzeit ein Zertifikat von einem anderen Anbieter erhalten.
Beispiel CA 1: RapidSSL über Namecheap
Mit Namecheap können Sie SSL-Zertifikate von verschiedenen Zertifizierungsstellen erwerben. Wir werden den Prozess des Erwerbs eines einzelnen Domain-Zertifikats von RapidSSL durchlaufen. Sie können jedoch abweichen, wenn Sie einen anderen Zertifikatstyp wünschen.
Hinweis: Wenn Sie ein einzelnes Domain-Zertifikat von RapidSSL für die Subdomain "+ www " Ihrer Domain anfordern (z. B. Unter " www.example.com ") stellen sie das Zertifikat mit einem SAN Ihrer Basisdomain aus. Wenn Ihre Zertifikatsanforderung beispielsweise " www.example.com " lautet, funktioniert das resultierende Zertifikat für " www.example.com " und " example.com +".
Zertifikat auswählen und kaufen
Rufen Sie die Seite mit dem SSL-Zertifikat von Namecheap auf: https://www.namecheap.com/security/ssl-certificates.aspx.
Hier können Sie mit der Auswahl Ihrer Validierungsstufe, des Zertifikattyps („Domains Secured“) oder der Zertifizierungsstelle („Brand“) beginnen.
In unserem Beispiel klicken wir im Feld „Domain Validation“ auf die Schaltfläche * Compare Products * (Produkte vergleichen). Dann finden wir „RapidSSL“ und klicken auf die Schaltfläche * In den Warenkorb *.
Zu diesem Zeitpunkt müssen Sie sich bei Namecheap registrieren oder anmelden. Beenden Sie dann den Zahlungsvorgang.
Zertifikat anfordern
Nachdem Sie das Zertifikat Ihrer Wahl bezahlt haben, klicken Sie auf den Link * SSL-Zertifikate verwalten * im Abschnitt "Hallo".
image: https://assets.digitalocean.com/articles/ssl/namecheap-ssl-menu.png [Namecheap: SSL]
Hier sehen Sie eine Liste aller SSL-Zertifikate, die Sie über Namecheap erworben haben. Klicken Sie auf den Link * Jetzt aktivieren * für das Zertifikat, das Sie verwenden möchten.
image: https://assets.digitalocean.com/articles/ssl/namecheap-sslmanagement.png [Namecheap: SSL Management]
Wählen Sie nun die Software Ihres Webservers. Dadurch wird das Format des Zertifikats festgelegt, das Namecheap an Sie übermittelt. Häufig ausgewählte Optionen sind "Apache + MOD SSL", "nginx" oder "Tomcat".
Fügen Sie Ihren CSR in das Feld ein und klicken Sie auf die Schaltfläche * Weiter *.
Sie sollten sich nun im Schritt "Genehmiger auswählen" befinden, bei dem eine Bestätigungsanforderungs-E-Mail an eine Adresse im WHOIS-Eintrag Ihrer Domain oder an eine Adresse vom Typ "Administrator" der Domain gesendet wird, für die Sie ein Zertifikat erhalten. Wählen Sie die Adresse aus, an die Sie die Validierungs-E-Mail senden möchten.
Geben Sie die administrativen Kontaktinformationen an. Klicken Sie auf die Schaltfläche * Bestellung abschicken *.
Domain validieren
Zu diesem Zeitpunkt wird eine E-Mail an die Adresse des Genehmigenden gesendet. Öffnen Sie die E-Mail und genehmigen Sie die Zertifikatsanforderung.
Zertifikate herunterladen
Nach der Genehmigung des Zertifikats wird das Zertifikat per E-Mail an den technischen Kontakt gesendet. Das für Ihre Domain ausgestellte Zertifikat und das Zwischenzertifikat der Zertifizierungsstelle werden am Ende der E-Mail angezeigt.
Kopieren Sie sie und speichern Sie sie auf Ihrem Server an dem Ort, an dem Sie Ihren privaten Schlüssel und Ihre CSR erstellt haben. Benennen Sie das Zertifikat mit dem Domain-Namen und der Erweiterung "+ .crt ", z. ` example.com.crt ` und benennen Sie das Zwischenzertifikat ` intermediate.crt +`.
Das Zertifikat kann jetzt auf Ihrem Webserver installiert werden.
Beispiel CA 2: GoDaddy
GoDaddy ist eine beliebte Zertifizierungsstelle und verfügt über alle grundlegenden Zertifikatstypen. Wir werden den Prozess des Erwerbs eines einzelnen Domain-Zertifikats durchlaufen. Sie können jedoch abweichen, wenn Sie einen anderen Zertifikatstyp wünschen.
Zertifikat auswählen und kaufen
Gehen Sie zur SSL-Zertifikatseite von GoDaddy: https://www.godaddy.com/ssl/ssl-certificates.aspx.
Scrollen Sie nach unten und klicken Sie auf die Schaltfläche * Erste Schritte *.
image: https://assets.digitalocean.com/articles/ssl/godaddy-getstarted.png [Go Daddy: Erste Schritte]
Wählen Sie den gewünschten SSL-Zertifikatstyp aus dem Dropdown-Menü aus: Einzeldomäne, Multidomäne (UCC) oder Platzhalter.
image: https://assets.digitalocean.com/articles/ssl/godaddy-certtype.png [GoDaddy: Zertifikatstyp]
Wählen Sie dann Ihren Plantyp aus: Domäne, Organisation oder erweiterte Validierung.
Wählen Sie dann die Laufzeit (Gültigkeitsdauer).
Klicken Sie dann auf die Schaltfläche * In den Warenkorb *.
Überprüfen Sie Ihre aktuelle Bestellung und klicken Sie dann auf die Schaltfläche * Zur Kasse gehen *.
Schließen Sie den Registrierungs- und Zahlungsvorgang ab.
Zertifikat anfordern
Klicken Sie nach Abschluss Ihrer Bestellung auf die Schaltfläche SSL-Zertifikate * (oder klicken Sie oben rechts auf * Mein Konto *> * SSL-Zertifikate verwalten *).
Suchen Sie das soeben gekaufte SSL-Zertifikat und klicken Sie auf die Schaltfläche * Einrichten *. Wenn Sie GoDaddy für SSL-Zertifikate zuvor noch nicht verwendet haben, werden Sie aufgefordert, das Produkt „SSL-Zertifikate“ einzurichten und Ihre letzte Zertifikatsbestellung mit dem Produkt zu verknüpfen dein Browser).
Nachdem das Produkt "SSL-Zertifikate" zu Ihrem GoDaddy-Konto hinzugefügt wurde, sollten Sie Ihr "Neues Zertifikat" und eine Schaltfläche "Starten" sehen. Klicken Sie auf die Schaltfläche * Starten * neben Ihrem neuen Zertifikat.
Stellen Sie Ihren CSR bereit, indem Sie ihn in die Box einfügen. Der SHA-2-Algorithmus wird standardmäßig verwendet.
Aktivieren Sie das Kontrollkästchen * Ich stimme zu * und klicken Sie auf die Schaltfläche * Zertifikat anfordern *.
Domain validieren
Jetzt müssen Sie überprüfen, ob Sie die Kontrolle über die Domain haben, und GoDaddy einige Dokumente zur Verfügung stellen. GoDaddy sendet eine Bestätigungs-E-Mail zur Domain-Inhaberschaft an die Adresse, die im WHOIS-Eintrag Ihrer Domain enthalten ist. Befolgen Sie die Anweisungen in den E-Mails, die Sie an Sie gesendet haben, und genehmigen Sie die Ausstellung des Zertifikats.
Zertifikat herunterladen
Nachdem Sie GoDaddy bestätigt haben, dass Sie die Domain kontrollieren, überprüfen Sie Ihre E-Mail (die, mit der Sie sich bei GoDaddy registriert haben) auf eine Nachricht, die besagt, dass Ihr SSL-Zertifikat ausgestellt wurde. Öffnen Sie es und folgen Sie dem Link zum Herunterladen des Zertifikats (oder klicken Sie in der GoDaddy-Systemsteuerung auf die Schaltfläche * Starten * neben Ihrem SSL-Zertifikat).
Klicken Sie nun auf die Schaltfläche * Download *.
Wählen Sie die von Ihnen verwendete Serversoftware aus dem Dropdown-Menü * Servertyp * aus. Wenn Sie Apache HTTP oder Nginx verwenden, wählen Sie "Apache", und klicken Sie dann auf die Schaltfläche * Zip-Datei herunterladen *.
Extrahieren Sie das ZIP-Archiv. Es sollte zwei + .crt + Dateien enthalten; Ihr SSL-Zertifikat (das einen zufälligen Namen haben sollte) und das GoDaddy-Zwischenzertifikat-Bundle (+ gd_bundle-g2-1.crt +). Kopieren Sie beide beiden Ihren Webserver. Benennen Sie das Zertifikat in den Domainnamen mit der Erweiterung "+ .crt " um, z. ` example.com.crt ` und benennen Sie das Zwischenzertifikat-Bundle in ` intermediate.crt +` um.
Das Zertifikat kann jetzt auf Ihrem Webserver installiert werden.
Installieren Sie das Zertifikat auf dem Webserver
Nachdem Sie Ihr Zertifikat von einer Zertifizierungsstelle Ihrer Wahl erworben haben, müssen Sie es auf Ihrem Webserver installieren. Dazu müssen Sie Ihrer Webserver-Softwarekonfiguration einige SSL-bezogene Zeilen hinzufügen.
In diesem Abschnitt werden grundlegende Nginx- und Apache-HTTP-Konfigurationen unter Ubuntu 14.04 behandelt.
Wir werden die folgenden Dinge annehmen:
-
Der private Schlüssel, das SSL-Zertifikat und gegebenenfalls die Zwischenzertifikate der Zertifizierungsstelle befinden sich in einem Ausgangsverzeichnis unter "+ / home / sammy +"
-
Der private Schlüssel heißt "+ example.com.key"
-
Das SSL-Zertifikat heißt "+ example.com.crt +"
-
Die CA-Zwischenzertifikate befinden sich in einer Datei mit dem Namen "+ intermediate.crt +"
-
Wenn Sie eine Firewall aktiviert haben, stellen Sie sicher, dass Port 443 (HTTPS) zugelassen ist.
-
Hinweis: * In einer realen Umgebung sollten diese Dateien an einem Ort gespeichert werden, auf den nur der Benutzer zugreifen kann, der den Webserver-Masterprozess ausführt (normalerweise
+ root +). Der private Schlüssel sollte sicher aufbewahrt werden.
Nginx
Wenn Sie Ihr Zertifikat mit Nginx unter Ubuntu 14.04 verwenden möchten, folgen Sie diesem Abschnitt.
Wenn Ihre Zertifizierungsstelle in Nginx ein Zwischenzertifikat enthält, müssen Sie eine einzige verkettete Zertifikatdatei erstellen, die Ihr Zertifikat und die Zwischenzertifikate der Zertifizierungsstelle enthält.
Wechseln Sie in das Verzeichnis, das Ihren privaten Schlüssel, das Zertifikat und die CA-Zwischenzertifikate enthält (in der Datei "+ intermediate.crt +"). Wir gehen davon aus, dass sie sich in Ihrem Home-Verzeichnis befinden. Beispiel:
cd ~Angenommen, Ihre Zertifikatsdatei heißt "+ example.com.crt ", erstellen Sie mit diesem Befehl eine kombinierte Datei mit dem Namen " example.com.chained.crt +" (ersetzen Sie den hervorgehobenen Teil durch Ihre eigene Domain):
cat .crt intermediate.crt > .chained.crtWechseln Sie nun in das Konfigurationsverzeichnis für den Nginx-Serverblock. Angenommen, Sie befinden sich unter "+ / etc / nginx / sites-enabled +". Verwenden Sie diesen Befehl, um dorthin zu wechseln:
cd /etc/nginx/sites-enabledWenn Sie Ihrer "+ default +" - Serverblockdatei SSL hinzufügen möchten, öffnen Sie die Datei zum Bearbeiten:
sudo vi defaultSuchen und ändern Sie die Anweisung + listen + und ändern Sie sie so, dass sie wie folgt aussieht:
listen 443 ssl;Suchen Sie dann die Direktive "+ Servername " und stellen Sie sicher, dass ihr Wert mit dem allgemeinen Namen Ihres Zertifikats übereinstimmt. Fügen Sie außerdem die Direktiven ` ssl_certificate ` und ` ssl_certificate_key +` hinzu, um die Pfade Ihrer Zertifikat- und privaten Schlüsseldateien anzugeben (ersetzen Sie den hervorgehobenen Teil durch den tatsächlichen Pfad Ihrer Dateien):
server_name ;
ssl_certificate ;
ssl_certificate_key ;Fügen Sie der Datei die folgenden Zeilen hinzu, um nur die sichersten SSL-Protokolle und -Verschlüsselungen zuzulassen:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';Wenn Sie möchten, dass HTTP-Datenverkehr zu HTTPS umgeleitet wird, können Sie diesen zusätzlichen Serverblock oben in der Datei hinzufügen (ersetzen Sie die hervorgehobenen Teile durch Ihre eigenen Informationen):
server {
listen 80;
server_name ;
rewrite ^/(.*) https:///$1 permanent;
}Dann speichern und beenden.
Starten Sie nun Nginx neu, um die neue Konfiguration zu laden und TLS / SSL über HTTPS zu aktivieren!
sudo service nginx restartTesten Sie es, indem Sie über HTTPS auf Ihre Site zugreifen, z. + https: // example.com +.
Apache
Wenn Sie Ihr Zertifikat mit Apache unter Ubuntu 14.04 verwenden möchten, folgen Sie diesem Abschnitt.
Erstellen Sie eine Sicherungskopie Ihrer Konfigurationsdatei, indem Sie sie kopieren. Angenommen, Ihr Server wird in der Standardkonfigurationsdatei für virtuelle Hosts ausgeführt, + / etc / apache2 / sites-available / 000-default.conf +. Verwenden Sie diese Befehle, um eine Kopie zu erstellen:
cd /etc/apache2/sites-available
cp 000-default.conf 000-default.conf.origÖffnen Sie dann die Datei zum Bearbeiten:
sudo vi 000-default.confSuchen Sie den Eintrag "+ <VirtualHost *: 80> " und ändern Sie ihn so, dass Ihr Webserver den Port " 443 +" überwacht:
<VirtualHost *:443>Fügen Sie dann die Anweisung "+ ServerName +" hinzu, falls sie noch nicht vorhanden ist (ersetzen Sie Ihren Domainnamen hier):
ServerNameFügen Sie dann die folgenden Zeilen hinzu, um Ihre Zertifikat- und Schlüsselpfade anzugeben (ersetzen Sie Ihre tatsächlichen Pfade hier):
SSLEngine on
SSLCertificateFile
SSLCertificateKeyFileWenn Sie Apache 2.4.8 oder höher verwenden, geben Sie das CA-Zwischenpaket an, indem Sie diese Zeile hinzufügen (ersetzen Sie den Pfad):
SSLCACertificateFileWenn Sie eine ältere Version von Apache verwenden, geben Sie das CA-Zwischenpaket mit dieser Zeile an (ersetzen Sie den Pfad):
SSLCertificateChainFileZu diesem Zeitpunkt ist Ihr Server so konfiguriert, dass nur HTTPS abgehört wird (Port 443), sodass Anforderungen an HTTP (Port 80) nicht verarbeitet werden. Fügen Sie zum Umleiten von HTTP-Anforderungen an HTTPS Folgendes am Anfang der Datei hinzu (ersetzen Sie den Namen an beiden Stellen):
<VirtualHost *:80>
ServerName
Redirect permanent / https:///
</VirtualHost>Speichern und schließen.
Aktivieren Sie das Apache SSL-Modul, indem Sie diesen Befehl ausführen:
sudo a2enmod sslStarten Sie jetzt Apache neu, um die neue Konfiguration zu laden und TLS / SSL über HTTPS zu aktivieren!
sudo service apache2 restartTesten Sie es, indem Sie über HTTPS auf Ihre Site zugreifen, z. + https: // example.com +. Sie sollten auch versuchen, eine Verbindung über HTTP herzustellen, z. + http: // example.com + um sicherzustellen, dass die Weiterleitung richtig funktioniert!
Fazit
Nun sollten Sie eine gute Vorstellung davon haben, wie Sie ein vertrauenswürdiges SSL-Zertifikat zum Schutz Ihres Webservers hinzufügen. Achten Sie darauf, eine CA zu finden, mit der Sie zufrieden sind!