Выстраиваем и сшиваем цепочку SSL-сертификатов правильно

Выстраиваем цепочку SSL-сертификатов

Цепочка сертификатов SSL включает в себя сертификаты поручителей, подтверждающие валидность документа в целом. Структура CA Bundle имеет такой вид:
— Корневой сертификат (Root).
— Сертификаты посредников, или промежуточный (Intermediate).

Мы выпустили SSL-сертификат для сайта.
Допустим нам предоставили следующие файлы:

CARoot.crt - Корневой SSL-сертификат
Intermediate1.crt - Промежуточный SSL-сертификат
Intermediate2.crt - Промежуточный SSL-сертификат 2
domain.crt - SSL-сертификат сайта

Так же у нас уже имелись файлы:

request.csr - запрос на получение сертификата
private.key - приватный ключ

Правильная цепочка SSL-сертификатов имеет структуру:

SSL-сертификат сайта —> Промежуточный SSL-сертификат -> Промежуточный SSL-сертификат 2 -> … —> Корневой SSL-сертификат

Создадим из присланных нам файлов правильную цепочку SSL-сертификатов. Открываем терминал и выполняем команду:

[root@localhost]# cd /etc/nginx/ssl
[root@localhost]# cat domain.crt Intermediate1.crt Intermediate2.crt CARoot.crt > domain.ca-bundle

Таким образом мы получили файл domain.ca-bundle, который содержит правильную цепочку SSL-сертификатов

Проверим. Смотрим хэш-суммы SSL-сертификат сайта, полученного сертификата, приватного ключа и запроса на получение сертификата

[root@localhost]# openssl x509 -noout -modulus -in domain.crt | openssl md5
(stdin)= b67fe14bdd9336fc9aef28605e69b9a7
[root@localhost]# openssl x509 -noout -modulus -in domain.ca-bundle | openssl md5
(stdin)= b67fe14bdd9336fc9aef28605e69b9a7
[root@localhost]# openssl rsa -noout -modulus -in private.key | openssl md5
(stdin)= b67fe14bdd9336fc9aef28605e69b9a7
[root@localhost]#  openssl req -noout -modulus -in request.csr | openssl md5
(stdin)= b67fe14bdd9336fc9aef28605e69b9a7

Максим Макаров
У блога появился хостинг, его любезно предоставила компания Облакотека.
Облакотека - облачные сервисы для создания и управления виртуальной ИТ-инфраструктурой.
Если вам понравился мой блог и вы хотели бы видеть на нем еще больше полезных статей, большая просьба поддержать этот ресурс. Для этого достаточно кликнуть на контекстную рекламу, расположенную на сайте.
Оцените автора
( 4 оценки, среднее 5 из 5 )
IT Draft
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.