Следить за новостями:

Категории
Свежие записи
BrainFБлог

Установка сертификата StartSSL в ISPConfig

Когда я установил себе на ВПС ISPConfig, то панель у меня работала с самоподписанным сертификатом. Со временем я наткнулся на возможность получения сертификата с помощью StartSSL.com бесплатно и решил воспользоваться этой возможностью и установить сертификат от StartSSL.com в ISPConfig.


Сперва создаем сертификат на Startssl.com. После того как сертификат получен переходим к следующему этапу.
ISPConfig хранит сертификаты в директории /usr/local/ispconfig/interface/ssl/

cd /usr/local/ispconfig/interface/ssl/

Копириуем полученный сетрификат в файл ispserver.crt, а приватный ключ в файл ispserver.key.
Создаем CSR запрос на основе существующего сертификата:

openssl x509 -x509toreq -in ispserver.crt -out ispserver.csr -signkey ispserver.key

Скачиваем корневые сертификаты StartSSl (если вы устанавливаете сертификат класса2, то не забудьте исправить вторую команду)

wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem

Переименовываем оба файла:

mv ca.pem startssl.ca.crt
mv sub.class1.server.ca.pem startssl.sub.class1.server.ca.crt

Некоторым сервисам требуется файл .pem

cat startssl.sub.class1.server.ca.crt startssl.ca.crt > startssl.chain.class1.server.crt
cat ispserver.{key,crt} startssl.chain.class1.server.crt > ispserver.pem
chmod 600 ispserver.pem

Поправляем конфигурацию Apache

/etc/apache2/sites-available/ispconfig.vhost

И добавляем строку с указанием корневого сертификата SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt

[...]
# SSL Configuration
SSLEngine On
SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
## нужно добавить снова после обновления ISPConfig!!!
SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt
[...]

Презапускаем Apache

service apache2 restart

Теперь при входе в панель управления ISPConfig браузер не будет ругатся на самоподписанный сертификат

Еще по теме

Ваш комментарий
выберите имя