TLS/SSL: NGINX – подключение wildcard-сертификата от Comodo

Автор: | 31/08/2016
 

sslИмеется набор файлов сертификатов, переданные нам из другого агентства, где приложение работало на Windows-сервере в Azure:

root@jgr-gw:~/CERTS# ls -l
total 96
-rw-r--r-- 1 root       root        1521 Mar  2  2015 AddTrustExternalCARoot.crt
-rw-r--r-- 1 root       root        7521 Mar  2  2015 Backup_SSLCertificate_STARmeistercom_20150302_0503PM.pfx
-rw-r--r-- 1 root       root          20 Mar  2  2015 Backup_SSLCertificate_STARmeistercom_Password.txt
-rw-r--r-- 1 root       root        1952 Mar  2  2015 COMODORSAAddTrustCA.crt
-rw-r--r-- 1 root       root        2151 Mar  2  2015 COMODORSADomainValidationSecureServerCA.crt
-rw-r--r-- 1 root       root        5716 Mar  3  2015 CommodoIntermediateCAs (enth?lt s?mtliche hier genannten CAs).crt
-rw-r--r-- 1 root       root        1923 Mar  2  2015 STAR_meister_com.crt
-rw-r--r-- 1 root       root        1923 Mar  3  2015 WILDCARD.meister.com_2015.crt
-rw-r--r-- 1 root       root        1708 Mar  3  2015 WILDCARD.meister.com_2015.key
-rw-r--r-- 1 root       root       10520 Mar  3  2015 WILDCARD.meister.com_2015.pem
-rw-r--r-- 1 root       root        5457 Mar  2  2015 meister.com.p7c
-rw-rw-r-- 1 admin      admin 30430 Aug  4 10:55 wildcard_meister.com_2018.rar

Создаём каталог для сертификатов:

# mkdir -p /etc/nginx/ssl/music.meister.com

Для того, что бы использовать их с NGINX на Linux-сервере – объединям всю цепочку в один crt-файл.

Порядок важен:

# cat WILDCARD.meister.com_2015.crt COMODORSADomainValidationSecureServerCA.crt  COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > music.meister.com.crt

Первым – сертификат самого домена, вторым – DomainValidation, далее – промежуточный Certification Authority (CA) сертификат и последним – корневой сертификат Comodo.

Обновляем конфигурацию NGINX, в данном случае – файл /etc/nginx/conf.d/music.meister.de-com.conf:

...
ssl on;
 ssl_certificate /etc/nginx/ssl/music.meister.com/music.meister.com.crt;
 ssl_certificate_key /etc/nginx/ssl/music.meister.com/WILDCARD.meister.com_2015.key;
 ssl_prefer_server_ciphers on;
 ...

Проверяем:

# nginx -t && service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Reloading nginx: nginx.

И проверяем с помощью openssl:

$ openssl s_client -showcerts -connect music.meister.com:443 -CAfile COMODORSADomainValidationSecureServerCA.crt
...
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Ссылки по теме:

Setting up a SSL Cert from Comodo

Comodo SSL Certificate With Nginx