Уважаемые гости и пользователи форума!
Чтобы видеть ссылки на форуме - надо зарегистрироваться и иметь 1 пост на форуме. Для этого есть КУРИЛКА и там тема Здрасти.
[How To] Бесплатные SSL сертификаты
Модератор: kulia
Правила форума
Условием использования нашего форума, является соблюдение настоящих Правил форума.
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам, а вы рискуете получить предупреждение.
Условием использования нашего форума, является соблюдение настоящих Правил форума.
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам, а вы рискуете получить предупреждение.
- andrew
- Контактная информация:
- Откуда: Moscow
Сообщение
[How To] Бесплатные SSL сертификаты
Задался я как-то целью избавиться от надоевшего оповещения об ошибке SSL сертификата. Уж очень меня раздражало, когда при входе в ISPConfig 3 или Webmin или на мой же собственный сайт с включённым шифрованием браузер категорически заявлял, что сайт не защищён, что при шифровании используется неверная или даже ложная информация, что сертификат не подтверждён никем, кроме какого-то дяди с улицы. И стал я искать, как это это поправить, как же без вложений килобаксов получить сертификат. Оказывается, есть такая возможность.
Существует сервис, StartSSL, выдающий подписанный сертификат любому желающему. Бесплатный сертификат выдаётся сроком на год.
Собственно, как всё происходит:
Регистрация и подтверждение домена:
1) Заходим на сайт StartSSL и регистрируемся. При регистрации желательно использовать верные, честные, существующие данные.
2) После регистрации необходимо подтвердить права на домен. Жмём "Validations Wizard".
3) Выбираем первый пункт - Domain Validation (for SSL certificate).
4) Вводим доменное имя, на которое желаем получить сертификат.
5) Для выполнения этого условия необходимо иметь почтовый ящик вида:
а) postmaster@домен.зона
б) hostmaster@домен.зона
в) webmaster@домен.зона
Рекомендую, если у вас ещё нет своего почтового сервера, воспользоваться яндекс-почтой для домена (займёт некоторое время на обновление DNS).
6) Получив на почту письмо с кодом, вводите код в поле Verification code. На этом подтверждение владения доменом закончено.
Получение сертификата:
1) Жмём на Certificates Wizard.
3) Выбираем Web Server SSL/TLS Certificate.
4) Вводим точное доменное имя, на которое хотим получить сертификат. Скорее всего, это будет ваш домен верхнего уровня. Внимательно отнеситесь к этому пункту, т.к. при неверном заполнении сертификат будет принадлежать другому сайту, о чём браузер неприменёт вам сообщить.
5) Выбираем способ получения CSR (Certificate Signing Request). Есть два варианта:
а) Сгенерировать самостоятельно любым способом. На сайте предлагается воспользоваться их программой или же воспользоваться терминалом и скопипастить команду - openssl req -newkey rsa:2048 -keyout вашеимя.key -out вашеимя.csr
б) Воспользоваться Internet Explorer. Это, на мой вкус, не лучший вариант. Но кому, как удобно.
6) Сгенерировав CSR любым способом, копируйте его и вставляете в соответствующее поле.
Всё. Самое сложное сделано. Идём в Tool Box - Certificate List и скачиваем сертификат, нажав на Retrieve. Далее идём в StartCom CA Certificates и скачиваем оттуда ca.crt(pem).
Итак, по завершении этих действий у нас должны быть на руках:
а) Архив с сертификатом.
б) Файл ключа вида "вашдомен.зона.key", сгенерированный на шаге получения CSR.
в) Файл ca.crt
Распаковываем архив и так же распаковываем архив с нужной версией сертификата. В моём случае это Apache. Сертификат выглядит, как файл с именем 2_вашдомен.зона.crt Переименовываем для удобства в вашдомен.зона.crt
Теперь нужно подсунуть эти сертификаты ISPConfig. Тут всё просто:
1) Копируем три файла (сертификат, ключ и ca.crt) в папку /usr/local/ispconfig/interface/ssl
Не забудьте выставить права на файлы в соответствии с уже существующими в этой папке.
2) Меняем настройки виртуального хоста ISPConfig в файле ispconfig.vhost. У меня он лежит в папке /etc/apache2/sites-available. Нужно изменить строки, где указаны сертификаты так, чтобы они указывали на ваш сертификат, это должно выглядеть так:
SSLCertificateFile /usr/local/ispconfig/interface/ssl/вашсертификат.crt
SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/вашключ.key
SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ca.crt
Перегружаем apache сервер. Всё. Всё должно работать.
Если возникает проблема с ключом, его нужно будет дешифровать через специальную утилиту на сайте StartSSL. В Tool Box есть пункт Decrypt Private Key. Вставляете информацию из файла ключа, вводите выбранную при генерации фразу-ключ, кликаете Decrypt и ответную информацию копируете с заменой в файл ключа, сохраняете. У меня Webmin согласился работать с ключом только после этой процедуры. К слову, в Webmin достаточно в настройках указать все файлы сертификатов и ключей, поэтому отдельного описания, думаю, не требует.
Как-то так. Надеюсь, всё достаточно понятно.
Существует сервис, StartSSL, выдающий подписанный сертификат любому желающему. Бесплатный сертификат выдаётся сроком на год.
Собственно, как всё происходит:
Регистрация и подтверждение домена:
1) Заходим на сайт StartSSL и регистрируемся. При регистрации желательно использовать верные, честные, существующие данные.
2) После регистрации необходимо подтвердить права на домен. Жмём "Validations Wizard".
3) Выбираем первый пункт - Domain Validation (for SSL certificate).
4) Вводим доменное имя, на которое желаем получить сертификат.
5) Для выполнения этого условия необходимо иметь почтовый ящик вида:
а) postmaster@домен.зона
б) hostmaster@домен.зона
в) webmaster@домен.зона
Рекомендую, если у вас ещё нет своего почтового сервера, воспользоваться яндекс-почтой для домена (займёт некоторое время на обновление DNS).
6) Получив на почту письмо с кодом, вводите код в поле Verification code. На этом подтверждение владения доменом закончено.
Получение сертификата:
1) Жмём на Certificates Wizard.
3) Выбираем Web Server SSL/TLS Certificate.
4) Вводим точное доменное имя, на которое хотим получить сертификат. Скорее всего, это будет ваш домен верхнего уровня. Внимательно отнеситесь к этому пункту, т.к. при неверном заполнении сертификат будет принадлежать другому сайту, о чём браузер неприменёт вам сообщить.
5) Выбираем способ получения CSR (Certificate Signing Request). Есть два варианта:
а) Сгенерировать самостоятельно любым способом. На сайте предлагается воспользоваться их программой или же воспользоваться терминалом и скопипастить команду - openssl req -newkey rsa:2048 -keyout вашеимя.key -out вашеимя.csr
б) Воспользоваться Internet Explorer. Это, на мой вкус, не лучший вариант. Но кому, как удобно.
6) Сгенерировав CSR любым способом, копируйте его и вставляете в соответствующее поле.
Всё. Самое сложное сделано. Идём в Tool Box - Certificate List и скачиваем сертификат, нажав на Retrieve. Далее идём в StartCom CA Certificates и скачиваем оттуда ca.crt(pem).
Итак, по завершении этих действий у нас должны быть на руках:
а) Архив с сертификатом.
б) Файл ключа вида "вашдомен.зона.key", сгенерированный на шаге получения CSR.
в) Файл ca.crt
Распаковываем архив и так же распаковываем архив с нужной версией сертификата. В моём случае это Apache. Сертификат выглядит, как файл с именем 2_вашдомен.зона.crt Переименовываем для удобства в вашдомен.зона.crt
Теперь нужно подсунуть эти сертификаты ISPConfig. Тут всё просто:
1) Копируем три файла (сертификат, ключ и ca.crt) в папку /usr/local/ispconfig/interface/ssl
Не забудьте выставить права на файлы в соответствии с уже существующими в этой папке.
2) Меняем настройки виртуального хоста ISPConfig в файле ispconfig.vhost. У меня он лежит в папке /etc/apache2/sites-available. Нужно изменить строки, где указаны сертификаты так, чтобы они указывали на ваш сертификат, это должно выглядеть так:
SSLCertificateFile /usr/local/ispconfig/interface/ssl/вашсертификат.crt
SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/вашключ.key
SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ca.crt
Перегружаем apache сервер. Всё. Всё должно работать.
Если возникает проблема с ключом, его нужно будет дешифровать через специальную утилиту на сайте StartSSL. В Tool Box есть пункт Decrypt Private Key. Вставляете информацию из файла ключа, вводите выбранную при генерации фразу-ключ, кликаете Decrypt и ответную информацию копируете с заменой в файл ключа, сохраняете. У меня Webmin согласился работать с ключом только после этой процедуры. К слову, в Webmin достаточно в настройках указать все файлы сертификатов и ключей, поэтому отдельного описания, думаю, не требует.
Как-то так. Надеюсь, всё достаточно понятно.
Последний раз редактировалось andrew 15 май 2016, 03:14, всего редактировалось 1 раз.
- SinglWolf
- Администратор
- Контактная информация:
- Откуда: Башкирия
Сообщение
Ограничений нет на уровень домена? Как с WWW? А то я в своё время добивался получить сертификат на домен третьего уровня, не срослосьandrew писал(а):Существует сервис, StartSSL, выдающий подписанный сертификат любому желающему.

Сообщение
andrew Спасибо. Помог ваш способ получить и установить сертификат. Вот если бы еще написали как в вебмин закинуть их, было бы отлично. У самого не вышло(
- andrew
- Контактная информация:
- Откуда: Moscow
Сообщение
В Webmin сертификаты добавляются средствами самого Webmin, что на мой взгляд очень удобно. Сделать это можно так:
1) Для удобства копируем три файла - сертификат, ключ и ca.pem - в папку /etc/webmin/cert. Этого можно не делать, но так действительно удобнее. Не забываем выставить права.
2) Заходим, очевидно, в вебмин. И там ищем "настройка webmin".
3) В куче настроек ищем "Шифрование SSL"
4) И вот, мы уже там, где всё настраивается. Выбираем "Файл личного ключа", "Файл сертификата" и "Файлы дополнительных сертификатов
(для связанных сертификатов)". Указываем, соответственно, по порядку - ваш ключ, ваш сертификат и ca.pem
Сохраняемся, перегружаемся. Всё, должно работать.
P.S. Как я и писал выше, у меня вебмин отказался работать с зашифрованным ключом. Тогда я прошёл процедуру дешифрования на сайте StartSSL, после чего вебмин заработал.
Всегда пожалуйста. Я рад, что всё понятно и по инструкции у вас всё получилось.kocik799 писал(а):andrew Спасибо. Помог маш способ получить и установить сертификат. Вот если бы еще написали как в вебмин закинуть их, было бы отлично. У самого не вышло(

В Webmin сертификаты добавляются средствами самого Webmin, что на мой взгляд очень удобно. Сделать это можно так:
1) Для удобства копируем три файла - сертификат, ключ и ca.pem - в папку /etc/webmin/cert. Этого можно не делать, но так действительно удобнее. Не забываем выставить права.
2) Заходим, очевидно, в вебмин. И там ищем "настройка webmin".
3) В куче настроек ищем "Шифрование SSL"
4) И вот, мы уже там, где всё настраивается. Выбираем "Файл личного ключа", "Файл сертификата" и "Файлы дополнительных сертификатов
(для связанных сертификатов)". Указываем, соответственно, по порядку - ваш ключ, ваш сертификат и ca.pem
Сохраняемся, перегружаемся. Всё, должно работать.

P.S. Как я и писал выше, у меня вебмин отказался работать с зашифрованным ключом. Тогда я прошёл процедуру дешифрования на сайте StartSSL, после чего вебмин заработал.
Сообщение
andrew, Спасибо еще раз, вот вся проблема и составляет в файле ca.pem , не нашел его))) или как его оздать
- andrew
- Контактная информация:
- Откуда: Moscow
Сообщение

Ещё может понадобиться переименовать ca.crt в ca.pem
Вот так:kocik799 писал(а):andrew, Спасибо еще раз, вот вся проблема и составляет в файле ca.pem , не нашел его))) или как его оздать
Идём сюда и качаем ca.crt(pem)andrew писал(а):Далее идём в StartCom CA Certificates и скачиваем оттуда ca.crt(pem).

Ещё может понадобиться переименовать ca.crt в ca.pem
- kulia
- Откуда: Москва
Сообщение
Спасибо за развернутый мануал, удалось прикрутить сертификаты на панель и webmin. Никак не выходит настроить ssl для сайта. Использую связку nginx+apache, установлена 4 full скриптом. lsof -i tcp:443 вывод не дает никакой. В панели все галки ssl на сайт выставлены, после включения ssl из админки Joomla 3.5 получаю - ERR_CONNECTION_REFUSED. Причем сайт не доступен ни по http:// ни по https://. На форуме ответов не нашел
. Подскажите куда копать?
А копать надо сюда:
Дополнение к решению по вопросу включения SSL для Joomla 3.5:
Как описано ниже, все заработало. Но при включении SSL из админки Joomla осталась ошибка с циклической переадресацией. Лечится так:
Ошибка появляется при включении в админке сайта "Система > Общие настройки > Сервер" Включить SSL в положение "Весь сайт" или "Только для панели управления" получаете белый лист или ошибку "Циклическая переадресация" (ERR_TOO_MANY_REDIRECTS).
Одна буковка, а столько проблем создает...

А копать надо сюда:


Дополнение к решению по вопросу включения SSL для Joomla 3.5:
Как описано ниже, все заработало. Но при включении SSL из админки Joomla осталась ошибка с циклической переадресацией. Лечится так:
Ошибка появляется при включении в админке сайта "Система > Общие настройки > Сервер" Включить SSL в положение "Весь сайт" или "Только для панели управления" получаете белый лист или ошибку "Циклическая переадресация" (ERR_TOO_MANY_REDIRECTS).
Одна буковка, а столько проблем создает...
Последний раз редактировалось kulia 23 июн 2016, 23:26, всего редактировалось 3 раза.
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- kulia
- Откуда: Москва
Сообщение
Да, доступ к панели есть, я и к ней и к webmin прикрутил сертификаты, все нормальное и зеленое. Сертификаты прикручивал на вкладке SSL (мог напортачить, т.к. нет пошаговой инструкции куда какой сертификат пихать особенно непонятно с SSL Bundle и Запрос SSL). Буду много благодарен (думаю не только я
) если кто подскажет применительно к startssl.com из каких файлов ключи в какие ячейки закидывать, нужно ли какие-то промежуточные сертификаты как-то делать, желательно вот в таком виде:
SSL Key: домен.key
Запрос SSL: домен.csr или домен.crt и т.д.
SSL сертификат:
SSL Bundle:
Информации в гугле много, разной, понимаю, что рано или поздно разберусь методом проб и ошибок, но если есть знающие форумчане просьба поделиться информацией как правильно прикручивать сертификаты
Продолжу:
Перепробовал различные варианты комбинаций сертификатов в панели, но lsof -i tcp:443 вывод не дает никакой. Вывод появляется только после добавления listen 443; в раздел server, файла /etc/nginx/sites-enabled/мойдомен.vhost. Но, после рестарта апача указанный конфиг приводится к изначальному виду, т.е. listen 443; пропадает из конфига. И все по новой. Не могу понять почему nginx не слушает 443 порт.
Еще вопрос: какой сертификат вставлять в панель для apache или для nginx?

SSL Key: домен.key
Запрос SSL: домен.csr или домен.crt и т.д.
SSL сертификат:
SSL Bundle:
Информации в гугле много, разной, понимаю, что рано или поздно разберусь методом проб и ошибок, но если есть знающие форумчане просьба поделиться информацией как правильно прикручивать сертификаты

Продолжу:
Перепробовал различные варианты комбинаций сертификатов в панели, но lsof -i tcp:443 вывод не дает никакой. Вывод появляется только после добавления listen 443; в раздел server, файла /etc/nginx/sites-enabled/мойдомен.vhost. Но, после рестарта апача указанный конфиг приводится к изначальному виду, т.е. listen 443; пропадает из конфига. И все по новой. Не могу понять почему nginx не слушает 443 порт.
Еще вопрос: какой сертификат вставлять в панель для apache или для nginx?
Последний раз редактировалось kulia 11 май 2016, 08:44, всего редактировалось 1 раз.
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- kulia
- Откуда: Москва
Сообщение
По идее, сертификат может отозвать только выпускающая организация, если обнаружит (или ей помогут обнаружить) несоответствие предоставленных данных для выпуска сертификата, ведь только она публикует список действительных сертификатов, а органы могут запретить доступ к ресурсу.
Так как же их настроить?
/viewtopic.php?p=6875#p6875#27 SinglWolf » Сб, 11 апреля 2015, 8:42
Ларчик просто открывался. Надо правильно настроить сертификаты. Тема закрыта.
Так как же их настроить?

Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- andrew
- Контактная информация:
- Откуда: Moscow
Сообщение
К сайту сертификат я прикручивал руками, через замену тех, что генерируются на вкладке SSL в панели. Может это и не совсем верно, но я сделал именно так.
Т.е. я делал вот это:
1) Сгенерировал для сайта сертификаты через панель.
2) Через MC просто заменил их теми, что были созданы на сайте StartSSL.
3) На всякий случай проверил конфиг сайта и убедился, что сертификаты на своих местах, по указанным в конфиге директориям.
SSL бандл так же включён в архив, который скачивается с сайта StartSSL. Для Apache он так и назван - root_bundle.crt
Мой конфиг касательно SSL выглядит так:
Думаю, можно просто копировать информацию из файлов сертификатов StartSSL и вставлять в соответствующие ячейки в панели. Поскольку я уже сгенерировал сертификаты через панель, мне оказалось проще подменить.
Т.е. я делал вот это:
1) Сгенерировал для сайта сертификаты через панель.
2) Через MC просто заменил их теми, что были созданы на сайте StartSSL.
3) На всякий случай проверил конфиг сайта и убедился, что сертификаты на своих местах, по указанным в конфиге директориям.
SSL бандл так же включён в архив, который скачивается с сайта StartSSL. Для Apache он так и назван - root_bundle.crt
Мой конфиг касательно SSL выглядит так:
Код: Выделить всё
<IfModule mod_ssl.c>
SSLEngine on
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile /var/www/clients/client1/web1/ssl/myhorrorstory.ru.crt
SSLCertificateKeyFile /var/www/clients/client1/web1/ssl/myhorrorstory.ru.key
</IfModule>
- kulia
- Откуда: Москва
Сообщение
andrew,
)
А какой у Вас состав сервера - apache или связка apache+nginx? И есть ли вывод lsof -i tcp:443 ?
Мегареспект Andrew, SinglWolf!!!
Все работает!
Теперь по делу:
Вывод один - все проблемы измеряются радиусом кривизны рук! 
P.S.: Уважаемые Админы, учитывая время затраченное на изучение вопроса и то, что этот топик закрывает теперь все вопросы по прикручиванию SSL к ISPConfig 3, создаваемым панелью сайтам и Webmin, я бы разместил его в объявлениях. Полагаю это сэкономит много времени многим пользователям...
Можно путь до этого конфига (для чайниковМой конфиг касательно SSL выглядит так

А какой у Вас состав сервера - apache или связка apache+nginx? И есть ли вывод lsof -i tcp:443 ?
Мегареспект Andrew, SinglWolf!!!


Все работает!

Теперь по делу:
► Показать

P.S.: Уважаемые Админы, учитывая время затраченное на изучение вопроса и то, что этот топик закрывает теперь все вопросы по прикручиванию SSL к ISPConfig 3, создаваемым панелью сайтам и Webmin, я бы разместил его в объявлениях. Полагаю это сэкономит много времени многим пользователям...

Последний раз редактировалось kulia 23 июн 2016, 23:43, всего редактировалось 1 раз.
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- kulia
- Откуда: Москва
Сообщение
Andrew, маленькая очепятка
/usr/local/ispconfig/interface/ssl
Еще дополнение к Вашему мануалу:
в ca.crt нужно вставлять
содержимое файла 1_ваш-домен_bundle.crt (nginx) или 1_root_bundle.crt (apache), из полученного ранее архива.

Правильно так (по крайней мере у меня):Теперь нужно подсунуть эти сертификаты ISPConfig. Тут всё просто:
1) Копируем три файла (сертификат, ключ и ca.crt) в папку /usr/local/ispconfig/interfaces/ssl
/usr/local/ispconfig/interface/ssl
Еще дополнение к Вашему мануалу:
Для корректного прохождения проверки SSL ваш-домен:8080 на сайте (я пользуюсь, например этим) https://www.sslshopper.com/ssl-checker.html?hostname=2) Меняем настройки виртуального хоста ISPConfig в файле ispconfig.vhost. У меня он лежит в папке /etc/apache2/sites-available. Нужно изменить строки, где указаны сертификаты так, чтобы они указывали на ваш сертификат, это должно выглядеть так:
SSLCertificateFile /usr/local/ispconfig/interface/ssl/вашсертификат.crt
SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/вашключ.key
SSLCACertificateFile /usr/local/ispconfig/interface/ssl/ca.crt
в ca.crt нужно вставлять
Код: Выделить всё
sudo nano /usr/local/ispconfig/interface/ssl/ca.crt
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- kulia
- Откуда: Москва
Сообщение
Работает и с 3-м уровнем. Подтверждаете ваш-домен, потом вводите для получения поддомен.ваш-домен и получаете архив с одноименным названием. Кстати, для браузеров сертификаты для ваш-домен и поддомен.ваш-домен разные, и сертификат от первого не будет валиден для второго. Лично протестил, номер не прошел.andrew писал(а):WWW точно работает. Насколько я понял, поддерживаются домены второго уровня. Насчёт третьего не уверен.Ограничений нет на уровень домена? Как с WWW? А то я в своё время добивался получить сертификат на домен третьего уровня, не срослось![]()

Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- rewuxiin
- Супер модератор
Сообщение
призываю всех кто генерил сертификаты на свои сайты способом описанным в стартопе.
эти сертификаты выдают ошибку на устройствах c ios в сафари и гуглохроме
если данных устройств у вас нет и на виртуалке с макосью проблема тоже не возникает - можно установить мозиллу для девелоперов, она тоже вываливает эту ошибку.
повесил такой сертификат на один проект и все начали дико жаловаться, оказалось куча народу туда ходила с айфонов.
подозреваю что нет доверия к издателю, т.к. сертификат на том же хостинге, с идентичными результатами на выходе после проверки
https://www.ssllabs.com/ssltest/analyze.html - startssl не проходит
Отправил запрос в техподдержку, вот ответ
эти сертификаты выдают ошибку на устройствах c ios в сафари и гуглохроме
Код: Выделить всё
SEC_ERROR_REVOKED_CERTIFICATE
повесил такой сертификат на один проект и все начали дико жаловаться, оказалось куча народу туда ходила с айфонов.
подозреваю что нет доверия к издателю, т.к. сертификат на том же хостинге, с идентичными результатами на выходе после проверки
https://www.ssllabs.com/ssltest/analyze.html - startssl не проходит
Отправил запрос в техподдержку, вот ответ
It is because the latest news:
All certificates issued before 21.10.2016 will be not affected. Certificates issued after 21.10.2016 will be affected only after the end of January in official browser releases, and apple distrusted our certificates issued after 30.11.2016.
Official document about distrust > https://blog.mozilla.org/security/2016/10/24/dist ... ign-and-startcom-certificates/
We are working hard on remediation plan (https://bugzilla.mozilla.org/show_bug.cgi?id=1311832), and we are doing everything to regain trust ASAP. One of the steps already fully done - https://startssl.com/NewsDetails?date=20160919
We have some delays with an interim solution but will have more information only later in February.
Сообщение
В общем решил тоже поставить ssl сертификат на сайт, купил сертификат Comodo PositiveSSL, вставляю все поля как по инструкции выше, так же пробовал подменять сертификаты в папке ssl домена, в файле domen.vhost тоже всё как описано выше. И галочка стоит в настройках сайта ssl. Но ни как не хочет стартовать https, может кто то подскажет что да как, сижу 2-й день с этим сертификатом. В самом Ispconfig, заменил сертификат на свои, https работает, в webmin тоже работает, а на сайт не хочет ставиться!
Решение)))
Не был проброшен порт 443 до сервера, через роутер))) Пробросил и всё заработало, может ещё кому поможет.
Решение)))
Не был проброшен порт 443 до сервера, через роутер))) Пробросил и всё заработало, может ещё кому поможет.
Последний раз редактировалось startkomp 03 фев 2017, 12:12, всего редактировалось 1 раз.
Сообщение
Прошёл не один сайт, прочитал кучу инфы, но догадаться что надо пробросить порт ума не хватило)) А кстати, где искать логи по ssl? обычный syslog?
► Показать
Сообщение
Google, Mozilla, Apple отозвали корневые сертификаты StartSSL (StartCom) и WoSign из своих браузеров. Все сертификаты, выпущенные после 21 октября 2016, не будут приниматься; но и сертификаты, выпущенные ранее, будут приниматься не все и в скором времени не будут приниматься вообще.
из бесплатного есть Let's Encrypt
Apache config /etc/apache2/sites-available/ispconfig.vhost
Проверка работы
Cron
из бесплатного есть Let's Encrypt
Код: Выделить всё
cd /home/user
/usr/bin/git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help
Код: Выделить всё
./letsencrypt-auto --apache -d ваш домен
Код: Выделить всё
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/ваш домен/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/ваш домен/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/ваш домен/fullchain.pem
Код: Выделить всё
https://www.ssllabs.com/ssltest/analyze.html?d=ваш домен&latest
Код: Выделить всё
sudo crontab -e
30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log
- MiraMaX166
- Контактная информация:
- Откуда: ОМСК
Сообщение
В 3.1 механизм с получением ключей от letsencrypt работает отлично. Есть один вопрос, как создать ключ для корневого домена (точнее для домена на котором крутится сама панель). На команду letsencrypt в консоле отвечает, что нет такого и не знает... Если кто сталкивался - отпишитесь.
- SinglWolf
- Администратор
- Контактная информация:
- Откуда: Башкирия
Сообщение

З.Ы. Эту процедуру (по замене путей к сертификатам) нужно повторять после каждого upgrade панели. Чтобы сертификат обновлялся автоматически, созданный сайт удалять не нужно.
Создайте в панели сайт для домена, подключите SSL, создайте через панель letsencrypt-сертификат. Посмотрите в конфигах (apache/nginx) сайта пути к файлам сертификата. Замените в конфиге ISPConfig текущие пути к файлам сертификата панели на пути, которые смотрели в конфигах сайта. Перезапустите apache/nginx. Всё, радуйтесь. Как-то так.MiraMaX166 писал(а):Есть один вопрос, как создать ключ для корневого домена (точнее для домена на котором крутится сама панель).

З.Ы. Эту процедуру (по замене путей к сертификатам) нужно повторять после каждого upgrade панели. Чтобы сертификат обновлялся автоматически, созданный сайт удалять не нужно.
- MiraMaX166
- Контактная информация:
- Откуда: ОМСК
Сообщение
Это я тоже рассматривал. Оставлял на самый крайний случай. Но раз иначе никак, то ладно... 
Если кому интересно, то исполняемые скрипты letsencrypt и certbot лежат в /root/.local/share/letsencrypt/bin

Если кому интересно, то исполняемые скрипты letsencrypt и certbot лежат в /root/.local/share/letsencrypt/bin
- kulia
- Откуда: Москва
Сообщение
У меня такой вопрос, переустановил панель скриптом 5 релиза. Все сертификаты прикрутились letsencryptом (сайт https://domain.ru, webmin https://domain.ru:1000, панель https://domain.ru:8080, все работает, все зеленое)
Делал вот это:
В панели прописываю второй сайт https://domain2.ru, генерирую сертификат, получаю недействительный сертификат, т.к. он выдан для сайта https://domain.ru, но прописан для https://domain2.ru. Т.е. получается, что для второго сайта прикручивается новый сертификат, но от первого. Куда копать?
Делал вот это:
Код: Выделить всё
mv /usr/local/ispconfig/interface/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt.old
mv /usr/local/ispconfig/interface/ssl/ispserver.key /usr/local/ispconfig/interface/ssl/ispserver.key.old
ln -s /etc/letsencrypt/live/your_domain/cert.pem /usr/local/ispconfig/interface/ssl/ispserver.crt
ln -s /etc/letsencrypt/live/your_domain/privkey.pem /usr/local/ispconfig/interface/ssl/ispserver.key
service apache2 restart
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- kulia
- Откуда: Москва
Сообщение
Кстати, заметил еще такую особенность, ставлю галки на SSL и Letsencrypt -> сохранить, после отработки скриптов - галка с Letsencrypt слетает.
Нашел решение моего вопроса!
Система->Конфигурация сервера->web->настройки ssl->ставим галку Skip Lets Encrypt Check->Сохранить. Удаляем все старые сертификаты:
Идем в панель своего сайта, ставим галки: SSL и Let's Encrypt ->Сохранить.
На вкладке SSL удаляем все из всех полей ниже поля Домен SSL.
SSL-Действие->Создать сертификат->Сохранить.
Ждем пока отработают скрипты, идем на сайт и радуемся зеленым буковкам!!!
Т.е. отключаем проверку.
"...если ваш сервер находится за маршрутизатором, так что домены, размещенные на вашем сервере, недоступны с самого сервера, тогда вам нужно включить System> Server config> Web> Настройки SSL> Skip Lets Encrypt Check, поскольку ISPConfig не может проверить в этом случае, если домен действительно указывает на этот сервер." Ссылка на оригинал.
Теперь все заработало!!!
Проблема уже известная? Или у кого-то все заработало?SinglWolf писал(а):К разрабам панели в багтреккер писать.
Кстати, заметил еще такую особенность, ставлю галки на SSL и Letsencrypt -> сохранить, после отработки скриптов - галка с Letsencrypt слетает.
Нашел решение моего вопроса!

Система->Конфигурация сервера->web->настройки ssl->ставим галку Skip Lets Encrypt Check->Сохранить. Удаляем все старые сертификаты:
Код: Выделить всё
sudo -i
cd /var/www/clients/client*/web*/ssl
ls
rm -rf названия файлов в этой папке
* - заменяем на Ваши значения!!!
На вкладке SSL удаляем все из всех полей ниже поля Домен SSL.
SSL-Действие->Создать сертификат->Сохранить.
Ждем пока отработают скрипты, идем на сайт и радуемся зеленым буковкам!!!
Т.е. отключаем проверку.
"...если ваш сервер находится за маршрутизатором, так что домены, размещенные на вашем сервере, недоступны с самого сервера, тогда вам нужно включить System> Server config> Web> Настройки SSL> Skip Lets Encrypt Check, поскольку ISPConfig не может проверить в этом случае, если домен действительно указывает на этот сервер." Ссылка на оригинал.
Теперь все заработало!!!

Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Тему удалили через 4 минуты, выдали бан на 10 дней...
- SinglWolf
- Администратор
- Контактная информация:
- Откуда: Башкирия
Сообщение
Вот я и предлагаю писать разрабам, чтобы они устранили это недоразумение.
Я имею в виду то, что фигня какая-то получается. Панель умеет выдавать создаваемым сайтам сертификаты SSL, а сама... Как в известной пословице: сапожник без сапог.kulia писал(а):Проблема уже известная?

Вот я и предлагаю писать разрабам, чтобы они устранили это недоразумение.
- SinglWolf
- Администратор
- Контактная информация:
- Откуда: Башкирия
Сообщение
Я не занимаюсь более ISPCofig
.
Re: [How To] Бесплатные SSL сертификаты
На дату последнего сообщения посмотрите.
Я не занимаюсь более ISPCofig
