Поднять Https, Имея Crt Файл

morpheus

скриптописец
07.08.2006
3 915
1
34
Украина, Киев
#1
собтвенно куда дальше?

есть сервер, надо поднять НTTPS.
Для начала куплен сертификат и прибыл он к нам благополучно в виде файла *.crt

и шо?
читал много инфы, но не разобрался что именно мне нужно: создавать кей-ринг или нет, я уже заплутал
 

Кирилл Шваб

Well-Known Member
30.06.2006
145
4
#2
Morpheus,

Общая последовательность действий для создания заверенного сертификата:

1. Ты создаешь кейринг (в нем хранится приватный/публичный ключ и сертификаты)
2. Для требуемого хоста из этого кейринга генерируешь CSR-запрос и отдаешь его в сторонний центр сертификации (CA)
4. CA формирует сертификат на основании CSR-запроса и обычно отдает его в виде CRT-файла
5. Помимо самого сертификата CA должен предоставить тебе промежуточный и корневой сертификаты (зависит от конкретного CA, если корневой не дали, то его можно взять с сайта CA). Промежуточный и корневой нужны, чтобы можно было при проверке дойти от твоего сертификата до корня.
6. Ты импортируешь в свой кейринг корневой сертификат (Install Trusted Root Certificate into Key Ring), затем промежуточный и сам сертификат (Merge Certificate into Key Ring)
7. После этого копируешь кейринг (.kyr) и стэш-файл (по-моему .sth) на сервер
8. Правишь администратором конфиг сервера (влючаешь SSL и указываешь имя кейринг файла)
9. Перезапускаешь на сервере задачу HTTP и если все сделал правильно, то SSL будет работать

Если что-то намудришь с иерархией сертификатов, то браузер будет предупреждать, что сертификат узла нельзя проверить, поэтому проверь работу с помощью нескольких разных браузеров.

Скриншоты/описание на английском:

http://www.globalsign.com/support/install/...InstallCert.pdf
http://www.sslshopper.com/lotus-domino-ssl...structions.html