Вопросы Теги

Передача сертификата SSL к новому серверу

Мы - swicthing от веб-сайта OSCommerce до Magento и являемся также swicthing серверами. Старый сервер находится на Apache, и наш новый находится на NGINX. Сертификат SSL, который мы имеем, кажется, был куплен у GODADDY.

Я почти выяснил, как переключить наш SSL, certifcate с нашего старого сервера на наш новый сервер. Но имеют несколько вопросов?

1. ПОВТОРНО ВВЕДИТЕ СЕРТИФИКАТ

Я обнаружил три типа файлов SSL от старых апачей сайта OSCommerce виртуальный хост:

SSLCertificateFile /etc/apache2/ssl/11-2013/09********ss.crt
SSLCertificateKeyFile /etc/apache2/ssl/11-2013/server.key
SSLCertificateChainFile /etc/apache2/ssl/11-2013/gd_bundle.crt

Я могу просто скопировать их в местоположение на новом сервере и сослаться на них в конфигурационном файле NGINX? Или я должен генерировать новый ssl ключ, повторно ввести crt файл (который)?

2. КОНФИГУРАЦИЯ NGINX, на которую конфигурация NGINX только, кажется, должна сослаться к двум Apache файлов, делает?

# Specify path to your SSL certificates.
#ssl_certificate /etc/nginx/certificates/yourcertificate.crt;
#ssl_certificate_key /etc/nginx/certificates/yourcertificate.key;

На какой файл CRT я должен сослаться для NGINX, что относительно другого?

3. SSL 3.0 и SHA1, Когда я проверяю наш сайт на средстве проверки SSL DigiCert, это говорит:

Поддержка протоколов

TLS 1.0, SSL 3.0

SSL 3.0 является устаревшей версией протокола с известными уязвимостями.

Сертификат SSL

Общее название = ourdomain.com

Подвергните альтернативные имена = ourdomain.com, www.ourdomain.com

Выпускающий = идет папа безопасный центр сертификации

Порядковый номер = *****************

След большого пальца SHA1 = ***************************

Длина ключа = 4 096 битов

Алгоритм сигнатуры = SHA1 + RSA (удержан от использования)

Безопасный пересмотр: поддерживаемый

Как я удостоверяюсь, что мы используем соответствующий протокол и SHA? Это - что-то, что я изменяю в новом nginx конфигурационном файле?

1
задан 24 July 2015 в 19:56
2 ответа

ssl_cerર્ટate_key માં હાલમાં જે સર્વર.કીમાં છે તે હોવું જોઈએ, એટલે કે તેઓ સર્વરની અનક્રિપ્ટ થયેલ ખાનગી કી.

ssl_cerર્ટate એ સર્વરનું પ્રમાણપત્ર અને પ્રમાણપત્ર સાંકળ હોવા જોઈએ, દસ્તાવેજ , માં તે ક્રમમાં સમજાવાયેલ છે . તેથી, મૂળરૂપે તે બિલાડીનું આઉટપુટ છે * ******** ss.crt gd_bundle.crt [१२ ]૦] આમાંથી બરાબર શું છે તે તપાસી શકાય તેવું એક સરળ toolનલાઇન સાધન ----- BEGIN પ્રમાણપત્ર ----- / ----- અંત પ્રમાણપત્ર ----- બ્લોક્સ સમાવે છે https://www.sslshopper.com/certificate-decoder.html - જો તમારી પાસે ssપનસેલ સ્થાપિત મશીન છે, તો તમે અલબત્ત ઉપયોગ કરી શકો છો 

openssl x509 -in certificate.crt -text -noout

SSL / TLS ગોઠવણીના સંદર્ભમાં, મને મોઝિલા વિકિ માં આ પૃષ્ઠ ગમ્યું. તે તમને અનુભવી શકે તેવા મોટાભાગના સંજ્ ofાઓને સમજાવે છે, અને સમજદાર રૂપરેખાંકનોને લગતી ધ્વનિ સલાહ આપે છે. ત્યાં એક સાથેનું toolનલાઇન સાધન છે જે અહીં અપાચે, એનજિન્ક્સ, હ haપ્રોક્સી અને એડબ્લ્યુએસ એલબી માટે સંદર્ભ સેટઅપ બનાવશે. ઉદાહરણ તરીકે, એક સંપૂર્ણ એનજિનેક્સ રૂપરેખા, જેમાં મધ્યવર્તી પ્રોફાઇલનો ઉપયોગ કરીને ઓસીએસપી સ્ટેપલિંગ અને એચએસટીએસ દર્શાવવામાં આવે છે તે આના જેવું લાગે છે, પરંતુ તમારે તે સમજવાની જરૂર છે કે આ પ્રોફાઇલ્સ વિકસિત થાય છે અને આ રીતે નિયમિતપણે અપડેટ થવું જોઈએ. 

server {
    listen 443 ssl;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /path/to/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    resolver <IP DNS resolver>;

    ....
}

એકવાર તે બધા પછી જગ્યાએ મૂકી અને પરીક્ષણ કર્યું, સ્સ્લેબ્સ તરફ જાઓ અને એક પરીક્ષણ ચલાવો. જો તમે કંઇક ખોવાઈ ગયા છો, તો તમે હજી પણ શું કરવાની જરૂર છે તે જોશો.

1
ответ дан 3 December 2019 в 20:50

  1. પ્રથમ ભાગ:

     SSL પ્રમાણપત્ર ફાઇલ /etc/apache2/ssl/11-2013/09********ss.crt

આ તમારી વેબસાઇટ માટેનું સાર્વજનિક પ્રમાણપત્ર છે. આ તે છે જેને તમે SHA1 ને SHA2 માં બદલીને કરી શકો છો. 

SSLCertificateKeyFile /etc/apache2/ssl/11-2013/server.key

આ તમારા વેબ સર્વર માટેનું ખાનગી પ્રમાણપત્ર છે. 

SSLCertificateChainFile /etc/apache2/ssl/11-2013/gd_bundle.crt

આ તમારા વેબ સર્વર પ્રમાણપત્રને રોલ અપ કરવા માટેનું ઇન્ટરમિડિયેટ સર્ટિફિકેટ બંડલ છે. ગોડ્ડ્ડી પર રુટ ઓથોરિટી (કારણ કે ડિફ byલ્ટ રૂપે બ્રાઉઝર્સ દ્વારા તેમના રુટ સર્ટિફિકેટ પર વિશ્વાસ કરવો જરૂરી નથી)

  1. આ મધ્યવર્તી પ્રમાણપત્ર ચેઇનનો ઉપયોગ કરવા માટે એનજીઆઈએનએક્સને કેવી રીતે ગોઠવવું તે અંગેની સૂચનાઓ આપે છે (તમારે સંભવત since આમ કરવાની જરૂર હોવાથી તમારે તે કરવાની જરૂર પડશે. તમારા અપાચે સર્વર પર): nginx ડsક્સ: HTTPS સર્વરો રૂપરેખાંકિત કરી રહ્યા છે

  2. તમે NGINX રૂપરેખાંકન ફાઇલમાં પ્રમાણપત્ર ગોઠવણીને બદલશો નહીં. એકવાર પ્રમાણપત્રમાં ક્ષમતાઓ હોય પછી તમે તે ક્ષમતાઓ બંધ કરી શકો છો અને રૂપરેખા ફાઇલમાં (fvu ના જવાબ મુજબ) ચાલુ કરી શકો છો પરંતુ પ્રથમ તમારે મૂળભૂત રીતે તમારું પ્રમાણપત્ર "અપગ્રેડ" કરવાની જરૂર છે. GoDaddy ના કેટલાક લેખો છે જે આ માટે મદદરૂપ થઈ શકે છે, પ્રથમ જ્યારે તમે આ ફેરફાર કરો ત્યારે તમે શું કરી રહ્યા છો તેનું વર્ણન કરે છે: https://www.godaddy.com/help/rekey-certificate-4976 બીજું તમને કહે છે કે ખરેખર તેમની સેવાનો ઉપયોગ કરીને તે કેવી રીતે કરવું: https://www.godaddy.com/help/rekey-certificate-4976 .

તમારી પાસે તે બધું પછી, તમે પરીક્ષણ માટે સ્લેબનો ઉપયોગ કરી શકે છે, પરંતુ તે ત્યારે જ કાર્ય કરશે જ્યારે તમારી નવી સાઇટ ચાલુ હોય અને ડીએનએસમાં જમણી હોસ્ટનામ પર ચાલતી હોય (જે તમે કરી શકતા નથી જો તમને હજી સુધી અપાચે પર સાઇટની જરૂર ન હોય ત્યાં સુધી તમે સમાપ્ત ન કરો). માની લો કે તમારી પાસે કોઈ જગ્યાએ લીનક્સ / યુનિક્સ મશીન છે, તો તમે આ ચકાસવા માટે ઓપનસેલનો ઉપયોગ કરી શકો છો:

  1. તમે જે નવી સાઇટ પર પરીક્ષણ કરવા માંગો છો તેના નામ તરીકે તમારી નવી એનજીએનએક્સ સેવાનો IP સરનામું દાખલ કરો. તેથી તમારી મુખ્ય સાઇટ જ્યાં તે અપાચે પર છે ત્યાં રહે છે, તમે ફક્ત તમારા સ્થાનિક મશીનને તેને NGINX સાઇટ પર શોધવા માટે કહો છો. એકવાર તમે તે કરી લો, પછી નીચેનો આદેશ ચલાવો અને જુઓ કે તે શું આઉટપુટ કરે છે: 

     openssl s_client- કનેક્ટ કરો હોસ્ટનામ: પોર્ટ

અથવા આ આદેશનો ઉપયોગ કરો, જે તમે જે ચકાસી રહ્યાં છો તેના પર સીધો નિર્દેશ કરે છે: https://stackoverflow.com/questions/26473076/how-do-i-check-if-my-ssl-certificate-is -sha1-or-sha2-on-the-Commandline

1
ответ дан 3 December 2019 в 20:50

Теги

Похожие вопросы