Меню Рубрики

Установка ssl comodo vmbitrix

Установка SSL-сертификата Comodo на Виртуальную машину Битрикс за 8 шагов

Заказать услугу: » «

1. Для начала необходимо выбрать и купить SSL-сертификат. Можно взять простой вариант, который действует только на один домен. Обратите внимание, что домен — это pravo-na-dom.net ИЛИ www.pravo-na-dom.net.
Если Вам нужен 1 сертификат на все домены *.pravo-na-dom.net- выбирайте сертификат с Wildcard.
Далее в работе будем упоминать домен pravo-na-dom.net а Вы заменяйте его на свой домен.

2. После покупки сертификата на руках должны быть следующие файлы:
файл ключа, который был создан при генерации CSR-запроса для получения сертификата, обычно файл «private.key»
файл сертификата, высылается в тексте письма, скопировать текст создав файл «pravo-na-dom.crt»
файлы корневого и/или промежуточного сертификата, например, «root.crt» предоставляется компанией, которая выпустила Ваш сертификат. Этот файл необходимо скачать с сайта компании-издателя. Обратите внимание, что для разных операционных системы эти файлы отличаются.

В случае установки сертификата COMODO можно получить несколько промежуточных файлов, например «pravo-na-dom_net.ca-bundle)

3. Все эти файлы (private.key, pravo-na-dom_net.crt, pravo-na-dom_net.ca-bundle, root.csr) копируем под root по SSH на вашу ВМ Битрикс в папку /etc/nginx/ssl/1/ — папку надо предварительно создать.

4. После чего необходимо объединить сертификат домена и промежуточный сертификат в один файл «cert.pem».
выполняем 2 команды
и
Далее «Старый» и «Новый» вариант

Старый: 1. Копируем полученный файл сертификата «cert.pem» и «private.key» в папку /etc/nginx/ssl/, заменив старые файлы.

Старый: 2. Создать Forward Secrecy файл «dhparam.pem» командой Долго ждем.

Старый: 3. Прописать в конфигурационном файле nginx путь к публичному ключу — /etc/nginx/bx/conf/ssl.conf:
Старый: 4. Перезагружаем nginx
Новый: 1. Далее в Виртуальной машине Битрикс перейти в меню

В вопросах указать:
путь для приватного ключа (Private Key path) /etc/nginx/ssl/cert.pem
путь для сертификата (Certificate path) /etc/nginx/ssl/private.key
путь для цепочки сертификатов (Certificate Chain path) ничего

Мастер самостоятельно установит сертификат. Пути SSL-сертификатов будут указаны в этом же разделе.

Новый: 2. Далее рекомендуется включить доступ только по HTTPS, переходим в главном меню
Согласиться на отключение HTTP доступа и дождаться пока задача будет закончена

Задача выполняется быстро, но если идет долго, то проверить можно в главном меню

источник

Как получить PEM файлы для установки собственного SSL-сертификата?

Как получить PEM файлы для установки собственного SSL-сертификата?

Имеются файлы:

Код

Требования по установке собственного SSL-сертификата для BitrixVM 7.2.2 гласят ( https://dev.1c-bitrix.ru/support/forum/forum32/topic103555/) :

Код

Правильно ли я получаю PEM файлы?

Код

Могу ошибаться (каждый раз вспонимаю как это делается), но:

1) COMODO вроде как уже сразу выдает сертификаты в PEM, только называются они .crt / .key
Поэтому файлы сертификата и ключа получаются переименованием:

domain_com.crt > /ssl/test1.bx.cert.pem
domain.com.key > /ssl/test1.bx.key.pem

2) А вот промежуточные сервера нужно комплировать от самого первого к последнему (или наоборот)

AddTrustExternalCARoot.crt + COMODORSAAddTrustCA.crt + COMODORSADomainValidationSecureServerCA.crt

Правильность сборки вам покажет:
1) Nginx (он не запустится если ключ или сертификат будут не верны)
2) https://www.sslshopper.com/ssl-checker.html — он скажет что ошиблись в последовательности, если что
3) https://cryptoreport.websecurity.symantec.com/checker/
4) https://www.ssllabs.com/ssltest/

Прогоняем по всем — и вуаля)

Сделал:
1) Просто переименовал файлы .key и .crt в domain.com.key.pem и domain_com..cert.pem соответственно.
2) Цепочку сертификатов создал из файлов COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt AddTrustExternalCARoot.crt > domain.com.ca-chain.cert.pem ( https://support.comodo.com/index.php?/Knowledgebase/Article/View/1145/1/how-do-i-make-my-own-bundle-. )
2) В меню виртуальной машины указал пути к файлам, задача в итоге завершилась успешно.

Результат:
1) В браузере строка зеленая.
2) Проверка sslshopper.com ругается на цепочку сертификатов

The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate. Learn more about this error. You can fix this by following Comodo’s Certificate Installation Instructions for your server platform (use these instructions for InstantSSL). Pay attention to the parts about Intermediate certificates.

источник

Установка SSL-сертификата на сервер с Битрикс

Сайты, размещённые на серверах с окружением Битрикс, требуют преимущественно ручной настройки, в том числе для установки SSL-сертификатов. Тем не менее этот процесс несложен даже для начинающих администраторов.

Для установки SSL-сертификата потребуются:

  • Сервер с VM Битрикс и размещённым сайтом;
  • Файлы SSL-сертификата для установки (файл сертификата с расширением .crt , файл секретного ключа .key и файл цепочки сертификатов .ca-bundle ).

Если сертификат приобретён у нас, скачать файлы сертификата для установки можно в Личном кабинете. Выберите сертификат , сверху Просмотр — в конце страницы будут ссылки для скачивания.

Если и сайт размещён у нас — сертификат установим сами бесплатно. Для этого напишите запрос в службу поддержки.

Процесс установки

Загружаем файлы сертификата ( certificate.key, certificate.crt, certificate.ca-bundle ) на сервер.

Для этого подключаемся к серверу по SFTP , например, с помощью WinSCP или Filezilla . Доступы к серверу указаны в Личном кабинете: выберите сервер , сверху Инструкция (раздел Доступ к серверу для администратора ).

При подключении укажите IP-адрес сервера, логин root, пароль и порт 22:

Система запросит подтвердить соединение — соглашаемся:

Откроется окно для работы с файлами. В нём по умолчанию домашняя папка пользователя root, переходим на уровень выше:

Последовательно переходим в папку /etc/nginx , создаём папку certs (в WinCSP можно использовать горячую клавишу F7):

Переходим в созданный каталог:

Загружаем в папку /etc/nginx/certs наши файлы сертификата, ключа и цепочки сертификатов( .crt , .key и .ca-bundle ):

Подтверждаем загрузку, по завершении выходим из SFTP-клиента .

Следующий шаг — подключаемся к серверу по SSH с данными root . Открывается контекстное меню Битрикс, переходим:

Указываем, для какого сайта устанавливаем сертификат: для основного пишем default, для дополнительных — название сайта. Указываем пути* к сертификату, подтверждаем установку:

* — мы поместили файлы в папку /etc/nginx/certs , поэтому достаточно указать только имена. Если загрузите файлы в другую папку, укажите полный путь от корневой директории либо от папки certs , если в ней несколько сертификатов по разным папкам. Например:
/home/bitrix/www/certificate.key (от корня),
/site1_ru/certificate.crt (от папки certs).

Система сообщает, что задание на установку запущено, и предлагает выйти, нажав Enter. Нажимаем Enter — нас возвращает в предыдущее окно. Возвращаемся в самое первое меню (два раза вводим 0: 0. Go to previous screen or exit).

Если установка сертификата прошла успешно, теперь сайт работает по http и https. Проверить это можно двумя способами:

1) В контекстном меню Битрикс выбираем вариант

5. Background tasks in the pool

Отобразятся выполняемые/завершенные процессы:

2) Переходим на наш сайт по ссылке https://

Если все в порядке, возвращаемся в контекстное меню Битрикс и отключаем HTTP. Выбираем пункты:

6. Manage sites in the pool -> 5. Change https settings on site

Выбираем сайт и подтверждаем отключение работы незащищенного HTTP-соединения.

Проверяем сайт по http:// — открывается https:// :

источник

Как установить SSL сертификат от Comodo в Nginx?

Практически каждая более или менее крупная компания занимающиеся предоставлением услуг хостинга готова предложить своим клиентам возможность приобретения SSL сертификата от именитых компаний, занимающиеся их выпуском. SSL сертификат предназначен для зашиты сайта, и является ключевым элементом в шифровании информации передаваемой между сайтом и клиентскими программами. Иными словами, можно сказать, что наличие SSL сертификата у сайта служит подтверждением того, что обмен данными между сайтом и браузером производится по защищенному каналу, и призвана обеспечить безопасное соединение и конфиденциальность.

Выпустить сертификат можно самому, и он будет по качеству шифрования ничем не хуже того что вы приобретете у сторонних компаний. Так что же отличает сертификат сделанный самим от того за который следует выплатить некую сумму сторонней компании? Дело в том, что когда вы приобретаете сертификат у сторонней компании, они предварительно удостоверяются в подлинности информации о вас. Главным образом это и способствует симпатии со стороны пользователей к сертификатам данного типа, нежели тем, что сделаны собственноручно владельцами сайта. В этом и заключается основное отличие.

Теперь давайте рассмотрим пример установки SSL сертификата от Comodo в Nginx, под управлением операционной системы Linux CentOS. Перед приобретением сертификата мы создаем секретный ключ и файл CSR (запрос на подпись сертификата), сделаем мы это с помощью команды OpenSSL.

После выполнения команды в директории, в которой вы находились, будут созданы два файла:

  • example_com.key – ваш закрытый ключ;
  • example_com.csr – CSR файл;

После того как вы отправили заявку на сертификат, а так же прошли всю процедуру перед его получением, вам на почту будет отправлен архив, в котором будут находиться файлы, среди которых так же будет ваш SSL сертификат.
Убедитесь, что у вас есть следующие файлы, если их нет, то их можно скачать на самом сайте comodo, за исключением, конечно, вашего сертификата:

  • AddTrustExternalCARoot.crt – корневой CA сертификат;
  • COMODORSAAddTrustCA.crt – промежуточный CA сертификат;
  • COMODORSADomainValidationSecureServerCA.crt – промежуточный CA сертификат;
  • www_example_com.crt – ваш сертификат, либо имя может быть в виде набора цифр и символов;

Ставим всё это дело в Nginx
Первым делом создадим файл «bundle» — проще говоря, этот файл объединяет в себе несколько ключей. В этом можно убедиться, открыв его в текстовом редакторе.

Далее следует поместить созданный файл в директорию вместе с самим SSL сертификатом. Как правило, размещать следует файлы сертификата в директорию, чтобы Nginx имел возможность получить доступ к ней. В нашем примере сертификаты будут находиться в директории /etc/pki/example_com/.

Всё что осталось сделать — это прописать настройки в конфигурационном файле хостов Nginx.
Открываем файл с настройками хостов:

Не забудьте после того как прописали параметры файла перезапустить nginx.

На этом всё, хотелось бы ещё отметить, что здесь мы устанавливали сертификат PositiveSSL Certificate, другие сертификаты устанавливаются аналогичным образом. Немного внимания, и всё получится. Успехов!

источник

Подробная инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx

Да, на Хабре уже много текстов про сертификаты Let’s Encrypt, но полной пошаговой инструкции я, к сожалению, не нашёл. Хотел восполнить пробел. К тому же, с мая 2016 года в процессе установки произошли незначительные изменения, которые могут сбить с толку новичка. Поэтому я решил написать эту инструкцию. Так сказать себе на память и другим в помощь.

Эта инструкция, в первую очередь, должна быть интересна новичкам.

Если у вас все настройки установлены по умолчанию, можно смотреть те пути, которые я привёл. То есть, если вы используете систему, установленную с помощью скрипта Bitrix environment на операционной системе CentOS 6.X. Если же нет, вы и сами знаете где что лежит.

Установка

Первое, что необходимо сделать — установить git:

Далее переходим в директорию /tmp:

С помощью git скачиваем файлы Let’s Encrypt. Сам скрипт теперь называется certbot:

Переходим в скачанную директорию:

На всякий случай, даем права на выполнение для файла скрипта:

Получение сертификата

Далее следует команда непосредственно получения сертификата:

—webroot — так как автоматическая установка для nginx пока не надежна, используем этот ключ;
—agree-tos — соглашаемся с лицензионным соглашением;
—email mypost@my-domain.ru — указываем свой e-mail. В дальнейшем он может пригодиться для восстановления своего аккаунта;
-w /home/bitrix/www — указываем корневую директорию сайта;
-d my-domain.ru — наш домен. так же можно указывать и поддомены, например -d site.my-domain.ru.

После этого скрипт начнет работу и предложит установить недостающие пакеты. Соглашаемся и ждём.

Если всё завершится успешно, вы увидите сообщение:

IMPORTANT NOTES:
— Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/my-domain.ru/fullchain.pem. Your
cert will expire on 2016-08-21. To obtain a new version of the
certificate in the future, simply run Certbot again.
— If you lose your account credentials, you can recover through
e-mails sent to mypost@my-domain.ru.
— Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
— If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Сертификаты установлены, осталось только указать nginx’у, где они лежат.

Настройка

Открываем конфигурационный файл ssl.conf:

Если у вас уже были установлены сертификаты, удаляем или комментируем строки с ними и вставляем новые:

ssl_certificate /etc/letsencrypt/live/my-domain.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/my-domain.ru/privkey.pem;

Не забываем включить ssl, если этого не было сделано ранее:

ssl on;
keepalive_timeout 70;
keepalive_requests 150;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

После этого перезапускаем nginx:

Если он не выдал никаких ошибок, значит всё в порядке. Можно зайти на сайт и посмотреть что получилось.

Обновление

Сертификат выдается на 90 дней, так что после этого срока нужно будет его обновить. Делается это командой:

Её так же можно поставить в cron.

источник

Установка SSL-сертификата на 1С-Битрикс

Генерация CSR-запроса и заказ SSL-сертификата

Лучшие цены на SSL-сертификаты (от 550 руб.)

  • Все доверенные центры сертификации
  • Большой выбор сертификатов
  • Пошаговые инструкции по выпуску и установке

Для установки SSL-сертификата вашего веб-сайта в CMS 1C-Битрикс необходимо сперва сгенерировать CSR-запрос и заказать SSL-сертификат через панель управления 1cloud. Так как система управления интернет проектами «1С-Битрикс» работает под управлением дистрибутива Linux CentOS, то для генерации CSR-запроса вы можете воспользоваться общей инструкцией для Linux (см. перечень команд для CentOS).

После генерации CSR-запроса и заказа SSL-сертификата через панель управления 1cloud необходимо установить полученные сертификаты .CRT и .CA на сервер 1C-Битрикс.

После получения SSL-сертификата файлы для его установки появятся в панели управления 1cloud (меню SSL):
.CA — файл цепочки сертификатов Центра Сертификации (Certificate Authority).
.CRT — файл сертификата для вашего сайта (сайтов).

Загрузка необходимых файлов на веб-сервер

Прежде всего, необходимо загрузить представленные в панели 1cloud файлы .ca и .crt на веб-сервер 1С-Битрикс. Самый простой способ — загрузить эти файлы на другой компьютер, а затем перенести их на сервер одним из приведенных ниже способов.

Примечание: подразумевается, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере 1С-Битрикс, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа .key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.

Перенос сертификатов с компьютера Linux/Mac OS:

Самый простой способ загрузки сертификатов на сервер — опция SCP, встроенная в возможность терминала вашего компьютера:

  1. Загрузите файлы .CA и .CRT из панели управления 1cloud на локальный компьютер.
  2. Откройте терминал и перейдите в папку, в которую вы сохранили сертификаты (напр., Downloads):
    cd

/Downloads
Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:
scp crt.crt ca.crt user@1.22.33.444:/etc/ssl
Где:
scp — команда копирования файлов
mydomain.ru_crt.crt — имя загруженного из панели файла сертификата вашего веб-сайта
mydomain.ru_ca.crt — имя загруженного из панели файла сертификата Центра Авторизации
user — имя вашего пользователя для подключения к серверу через ssh (часто используется root)
1.22.33.444 — IP-адрес вашего веб-сервера
/etc/ssl — директория на удаленном сервере, в которую в хотите сохранить загружаемые файлы.

Перенос сертификатов с компьютера Windows:

  1. Установите программу WinSCP. Скачать ее можно здесь.
  2. Запустите WinSCP. В открывшемся окне введите данные, которые вы используете для подключени я к вашему серверу по SSH.
    В левой части окна программы отображаются файлы на локальном компьютере, в правой — на подключенном удаленном сервере. Выберите или создайте директорию, в которую вы хотите сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.

Примечение: для удобства в дальнейшем рекомендуем перенести файл закрытого ключа (.key) в ту же директорию, в которую вы скопировали файлы сертификатов. Вы можете не делать этого, но таком случае запомните путь до этого файла и в дальнейшем укажите его в файле конфигурации Apache вместо пути, приведеленного в нашем примере.

Если закрытый ключ .key был сгенерирован непосредственно на сервере, то для его копирования в другую директорию вы можете использовать команду:
cp /home/root/private.key /etc/ssl/private.key
Где:
cp — команда копирования
/home/root/ — путь до файла ключа
private.key — имя файла ключа
/etc/ssl/private.key — путь, по которому необходимо скопировать файл ключа

Удалить файл ключа из старого расположения вы можете с помощью команды:
rm /home/root/private.key
(синтаксис команды аналогичен предыдущему примеру)

Настройка сервера 1C-Битрикс на использование SSL-сертификата

После копирования файлов сертификата сайта и Центра Сертификации необходимо отредактировать параметры вашего сервера 1С-Битрикс. Для этого подключитесь к вашему серверу по SSH от имени пользователя root и выполните следующие операции:

  1. После подключения к серверу отобразится консоль 1С-Битрикс с доступными действиями (Available Actions). Сейчас нам нужна не она, а непосредственно командная строка CentOS. Нажмите для перехода в нее.
  2. Объедените загруженные на сервер ранее файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) в один документ:
    cat /etc/ssl/mydomain.ru_crt.crt /etc/ssl/mydomain.ru_ca.crt >> mydomain.crt
  3. Откройте файл конфигурации ssl.conf:
    nano /etc/nginx/bx/conf/ssl.conf
    Примечание: если редактор nano не установлен на вашем сервере, вы можете установить его с помощью команды yum install nano
  4. В открытом файле отредактируйте пути до загруженных ранее файлов сертификатов:
    ssl_certificate /etc/ssl/mydomain.crt;
    ssl_certificate_key /etc/ssl/private.key;
    Где:
    /etc/ssl/mydomain.crt — путь до файла сертификатов вашего сайта и центра сертификации
    /etc/ssl/private.key — путь к файлу вашего закрытого ключа

Пример файла ssl.conf:

# If they come here using HTTP, bounce them to the correct scheme
# Nginx internal code used for the plain HTTP requests
# that are sent to HTTPS port to distinguish it from 4XX in a log and an error page redirection.
error_page 497 https://$host$request_uri;

# Increase keepalive connection lifetime
keepalive_timeout 70;
keepalive_requests 150;

# SSL encryption parameters
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESG$
ssl_prefer_server_ciphers on;

ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;

# performance
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

Теперь нужно активировать опцию SSL в консоли управления 1C-Битрикс. Для этого отключитесь от сервера, а затем повторно подключитесь к нему по SSH.
В открывшейся консоли Available Actions вводим 6 (Manage sites in the pool), а затем 5 (Change https settings on sites).
Если на вашем сервере Битрикс установлен только один веб-сайт, можно просто нажать Enter в ответ на запрос имени сайта (Enter site name). Если же сайтов несколько, введите название веб-сайта, для которого вы устанавливаете SSL-сертификат и нажмите Enter. В ответ вам будет предложено отключить доступ по HTTP (незащищенному протоколу) для данного сайта. Если вы хотите сохранить такой доступ, нажмите n. Если вы хотите, чтобы сайт теперь был доступен только по защищенному протоколу https, нажмите Y.

источник

Читайте также:  Установка газового упора на капот калины

Добавить комментарий