- (fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- Apache ssl безопасная работа 1с в веб – my-sertif.ru
- Ssl, pct, tls и wtls (но не ssh)
- Генерация csr запроса на собственном сервере
- Импорт ssl сертификата в microsoft iis version 10
- Импорт ssl сертификата в microsoft iis version 5.0 – 7.0
- Импорт ssl сертификата в microsoft iis version 8.0 – 8.5
- Назначить первый сертификат ssl
- Типы ssl-сертификатов
- Устанавливаем ssl-сертификат в битрикс вм
- Установка ssl сертификата для битрикс окружения или виртуальной машины bitrix для битрикс24
- Установка ssl-сертификата на веб-сервере microsoft iis
(fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- На сервере Windows 2021, куда вы импортировали сертификат SSL, откройте диспетчер служб IIS.
В меню Windows & nbsp ;, введите <& gt; Диспетчер служб IIS & nbsp; и откройте его.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.

- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.

- В окне Добавить привязки сайта выполните следующие действия и нажмите ОК:

- Теперь установлен ваш SSL-сертификат, и веб-сайт настроен на принятие безопасных подключений.

Apache ssl безопасная работа 1с в веб – my-sertif.ru
Всем привет! С вами Низамов Илья и мы продолжаем изучать интеграцию 1С с web сайтами. Работа 1С в веб невозможна без создания безопасного соединения. В данном уроке мы настроим локальный веб сервер APACHE для работы с SSL. Ознакомится с полным курсом по интеграции вы можете здесь.

Для генерации SSL сертификата нам понадобится выполнить несколько команд. Запустите командную строку и выполните по очереди команды.
cd C:ServerbinApache24bin
set OPENSSL_CONF=C:ServerbinApache24confopenssl.cnf
openssl.exe genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out localhost.key
openssl.exe req -new -key localhost.key -out localhost.csr
openssl.exe req -new -key localhost.key -out www.web1s.site.csr
openssl.exe x509 -req -days 365 -in www.web1s.site.csr -signkey localhost.key -out www.web1s.site.crt

В примере мы генерирует SSL для сайта localhost, вы можете указать любой другой.
После выполнения всех команд в папке APACHE появятся несколько файлов. Это секретный ключ и самоподписанный сертификат для сервера localhost.

Создадим в корне нашего локального веб сервера папку certs и переместим в нее 2 файла для настройки apache ssl.

Теперь надо настроить наш apache для работы с ssl. Настройки ниже мы прописываем в наш конфигурационный файл apache.
LoadModule ssl_module modules/mod_ssl.so
Listen 443
<VirtualHost _default_:443>
DocumentRoot "z:/www/"
ServerName localhost:443
ServerAdmin admin@localhost.com
ErrorLog "${SRVROOT}/logs/error-ssl.log"
TransferLog "${SRVROOT}/logs/access-ssl.log"
SSLEngine on
SSLCertificateFile "C:Servercertslocalhost.crt"
SSLCertificateKeyFile "C:Servercertslocalhost.key"
</VirtualHost>
Отключаем apache на 80 порту. Работать он будет только через безопасное соединение на 443 порту.

Перезапустим apache и обратимся к нашему локальному сайту через https соединение. К сожалению браузер не доверяет нам и говорит, что наш сертификат не действителен.

Добавим наш сертификат в доверенные




В принципе для дальнейшей работы с нашим интернет магазином через rest api этого вполне достаточно. Но если вы хотите потом разместить свой проект в интернете и получить действительный SSL сертификат бесплатно на 1 год то читайте далее.
Переходите по ссылке и при покупке вводите промокод 14D2-32A5-0F52-F322, это даст вам небольшую скидку при покупке хостинга.

Подбираем имя домена (сайта).

В дополнение в домену сразу покупаю хостинг.

В личном кабинете заказываю бесплатный ssl сертификат для нашего apache 2.4

Приходит письмо с данными для генерации сертификата

В письме вам должна прийти ссылка на панель администрирования хостинга.

Выбираем наше доменное имя и создаем новую TXT запись, вставляем данные их письма.

Перед установкой ssl сертификата надо перенастроить наш сайт на wordpress.

На время разработки мы будем работать с локальным web сайтом, поэтому в файле hosts надо прописать перенаправление запросов к сайту не в интернет, а на наш локальный веб сервер.

Изменим немного конфиг Apache 2.4. Уберем комментарий подключающий библиотеку ssl.

Прослушивание порта ставим на 443.

Внизу конфига удалим внесенные ранее изменения. И включим виртуальные хосты, уберем комментарий у соответствующей строки.

Переходим к конфигурированию виртуальных хостов.

Указываем параметры нашего локального сайта.

Изменим название папки нашего веб сайта.

В папке с сертификатами создадим еще 2 файла. Один сертификат и ключ. Это просто текстовые файлы в которые мы вставляем данные из письма пришедшего к нам от reg.ru. Сделайте все по аналогии с файлами localhost.

Переходим к нашему сайту и видим, что сертификат теперь действительный.


Обновим страницу и теперь видим, что у нас установлено безопасное подключение. Так как браузер доверяет центру сертификации выдавшему сертификат для сайта.

На этом настройка безопасного SSL соединения на нашем web сервере Apache 2.4 завершена. В следующем уроке мы приступаем к настройке плагина интернет магазина woocommerce и отправке товаров из 1С на наш сайт.
Ssl, pct, tls и wtls (но не ssh)
Хотя SSL – самый известный и популярный, но не единственный протокол, используемый для защиты веб транзакций. Важно знать, что со времени изобретения SSL v1.0 (релиза которого, кстати говоря, не было) появилось, как минимум, пять протоколов, сыгравших более-менее важную роль в защите доступа к World Wide Web:
SSL v2.0
Релиз выпущен фирмой Netscape Communications в 1994. Основной целью этого протокола было повысить безопасность транзакций через World Wide Web. К несчастью, очень быстро нашлось несколько критических брешей в безопасности этой версии, что сделало его ненадежным для коммерческого использования:
- Слабая конструкция MAC
- Возможность принудительных партий для использования слабого алгоритма шифрования
- Отсутствие защиты «рукопожатий»
- Возможность злоумышленника осуществить атаки принудительного завершения
PCT v1.0
Разработан в 1995 году корпорацией Microsoft. В Privacy Communication Technology (PCT – Технология Конфиденциальной Связи – прим.пер.) v1.0 были усилены некоторые слабые места SSL v2.0, корпорация планировала заменить тем самым SSL. Однако, этот протокол так никогда и не получил популярности из-за появления SSL v3.0.
SSL v3.0
Релиз выпущен в 1996 году компанией Netscape Communications. В SSL v3.0 были решены большинство проблем SSL v2.0 и заимствовано множество возможностей нового для того времени протокола PCT, вследствие чего он быстро стал самым популярным протоколом для защиты соединений через WWW.
TLS v1.0 (также известный как SSL v3.1)
Опубликован IETF (Internet Engineering Task Force – Проблемная Группа Проектирования Интернет – прим.пер.) в 1999 году (RFC 2246). Протокол базируется на SSL v3.0 и PCT и согласован как с методами Netscape, так и с корпорацией Microsoft.
Стоит заметить, что если TLS базируется на SSL, он не 100% совместим со своим предшественником. IETF сделала некоторые поправки в безопасности, например использование HMAC вместо MAC, использование другого пересчета основного шифра и ключевого материала, добавлены коды предупреждения, отсутствует поддержка алгоритмов шифрования Fortezza и т.д.
WTLS
«Мобильная и беспроводная» версия протокола TLS, которая использует в качестве носителя UDP протокол. Он разработан и оптимизирован под нижнюю полосу частот и меньшую пропускную способность мобильных устройств с поддержкой WAP (Wireless Application Protocol – Протокол Беспроводных Приложений – прим.пер.).
WTLS был представлен с протоколом WAP 1.1 и был опубликован на форуме WAР. Однако, после релиза WAP 2.0, WTLS заменили профилированной версией TLS, которая оказалась намного безопаснее – в основном из-за того, что в этой версии нет необходимости расшифровки и перешифровки трафика на WAP шлюзе.
Генерация csr запроса на собственном сервере
Потребуется криптографический пакет с открытым исходным кодом – . Он входит в состав большинства UNIX-подобных операционных систем.
Во многих инструкциях рекомендуется генерировать закрытый ключ и CSR запрос на том же сервере, для которого выпускается сертификат. Однако, на самом деле, это не обязательно должен быть один и тот же сервер.
Подключитесь к серверу по SSH и перейдите в домашнюю директорию.
cd ~
Сгенерируйте закрытый ключ.
openssl genrsa -out private.key 4096
В команде выше:
- private.key – выходной файл, который будет содержать ключ;
- 4096 – размер ключа, резже 2048.
На запрос «Enter pass phrase for private.key» укажите пароль для защиты закрытого ключа, а затем «Verifying – Enter pass phrase for private.key» – подтвердите его, повторив ввод пароля еще раз.
Закрытый ключ будет создан и сохранен в файл под именем private.key.
Сохраните копию закрытого ключа на своем компьютере. При компрометации ключа или утрате пароля сертификат придется перевыпустить.
Далее сгенерируйте CSR запрос.
openssl req -new -key private.key -out domain.csr -sha256
В команде выше:
- private.key – созданный на предыдущем этапе закрытый ключ;
- domaine.csr – выходной файл с CSR запросом.
На запрос «Enter pass phrase for private.key» введите пароль от закрытого ключа.
Далее последовательно латинскими символами укажите следующие данные:
CSR запрос на сертификат будет сохранен в файле domain.csr в виде закодированного текста.
Проверить корректность введенных данных можно, выполнив следующую команду.
openssl req -noout -text -in domain.csr
Файлы закрытого ключа и CSR запроса или их содержимое потребуются далее. Вывести (чтобы затем скопировать) содержимое файла можно командой cat.
less private.key
или
less domain.csr
Для выхода нажмите клавишу Q.
Импорт ssl сертификата в microsoft iis version 10
- На сервере Windows 2021, где вы хотите установить сертификат SSL, откройте консоль.
В меню Windows введите mmc и откройте его. - В окне Консоль в верхнем меню нажмите Файл & gt; Добавить/удалить оснастку.

- В окне Добавить или удалить оснастки на панели Доступные оснастки (слева) выберите Сертификаты, а затем нажмите Добавить & gt;.

- В окне Сертификат выберите Учетная запись компьютера, а затем нажмите Далее.

- В окне Выбрать компьютер выберите Локальный компьютер: (компьютер, на котором эта консоль запущена), а затем нажмите Готово.

- В окне Добавить или удалить оснастки нажмите OK.

- В окне Консоль на панели Консоль Root (слева) разверните Сертификаты (локальный компьютер),
щелкните правой кнопкой мыши папку Веб-хостинг, а затем нажмите Все задачи & gt; Импорт.
- В Мастер импорта сертификатов на странице Добро пожаловать на мастер импорта сертификатов нажмите Далее.
- На странице Файл для импорта найдите и выберите файл, который вы хотите импортировать, затем нажмите Далее.
Примечания: В окне Проводник в раскрывающемся списке Тип файла выберите Все файлы (*. *) .
По умолчанию он настроен на поиск только типов файлов X.509 Certificate (* .cert; *. Crt).
- На странице Защита секретного ключа выполните следующие действия:
Пароль: Введите пароль, который вы создали, когда сертификат SSL был экспортирован. & NBSP; Отметьте этот ключ как Установите этот флажок, чтобы при необходимости можно было выполнить резервное копирование или экспорт сертификата SSL. exportable. Обратите внимание, что сертификат без его закрытого ключа не работает. Включить все расширенные Установите этот флажок. свойства. 
- На странице Магазин сертификатов выполните следующие действия и нажмите Далее:
- Выберите Поместите все сертификаты в следующее хранилище и нажмите Обзор.
- В окне Выбрать хранилище сертификатов выберите Веб-хостинг и нажмите ОК.
- На странице Завершение мастера импорта сертификатов проверьте правильность настроек и нажмите Готово.

- Вы должны получить «Сообщение было успешно выполнено ».

Сертификат SSL с приватным ключом .pfx сохранен в хранилище (папке) Веб-хостинг.
Импорт ssl сертификата в microsoft iis version 5.0 – 7.0
- На веб-сервере нажмите «Пуск»> «Выполнить».
- В текстовом поле введите mmc
- Нажмите OK.
- В строке меню консоли Microsoft Management Console (MMC) выберите Консоль (в IIS 5.0) или Файл (в IIS 6.0)> Добавить / удалить оснастку
- Нажмите Добавить.
- Из списка оснасток выберите «Сертификаты»
- Нажмите Добавить.
- Выберите учетную запись компьютера
- Нажмите «Далее».
- Выберите Локальный компьютер (компьютер, на котором запущена консоль)
- Нажмите «Готово»
- В окне списка оснастки щелкните Закрыть
- В окне «Добавить / удалить оснастку» нажмите «ОК».
- Сохраните эти настройки консоли для использования в будущем
- Откройте консоль Microsoft Management Console (MMC).
- На левой панели щелкните Сертификаты.
- На правой панели дважды щелкните значок Личный.
- На правой панели щелкните правой кнопкой мыши Сертификаты и выберите «Все задачи> Импорт» (открывается мастер импорта сертификатов). Нажмите “Далее.
- Найдите сертификат, который вы хотите импортировать, и нажмите «Далее».
- Введите пароль, используемый для защиты сертификата для экспорта, и нажмите кнопку «ОК».
- Чтобы снова экспортировать сертификат с этого компьютера, выберите Отметить ключ как экспортируемый.
- Выберите параметр Автоматически выбирать хранилище сертификатов на основе типа сертификата.
(Это гарантирует, что все сертификаты в пути сертификации (Root, Intermediate и Server) будут сохранены в нужном месте. Проблемы могут возникнуть, если сертификат помещен в неправильное хранилище.) Нажмите «Далее». - Нажмите «Готово». Сообщение подтверждает успешный импорт. Нажмите «ОК».
Импорт ssl сертификата в microsoft iis version 8.0 – 8.5
- На экране Пуск введите, а затем нажмите Выполнить.
- В окне Выполнить в поле Открыть введите mmc и нажмите OK.
- В окне Контроль учетных записей пользователей нажмите Да, чтобы Microsoft Management Console внесла изменения в компьютер.
- В окне Консоль в главном меню нажмите Файл > Добавить / удалить оснастку.
- В окне Добавить или удалить оснастки в разделе Доступные оснастки (слева) нажмите Сертификаты, а затем нажмите Добавить.

- В окне Сертификаты оснастки выберите Учетная запись компьютера, а затем нажмите Далее.

- В окне Выбрать компьютер выберите Локальный компьютер: (компьютер, на котором запущена консоль), а затем нажмите Готово.

- В окне Добавить или удалить оснастки нажмите OK.
- В окне Консоль в разделе Консоль корневого разверните Сертификаты (локальный компьютер).

- Щелкните правой кнопкой мыши папку Личные, а затем нажмите Все задачи > Импорт, чтобы открыть Мастер импорта сертификатов.
- На вкладке Добро пожаловать на страницу мастера импорта сертификатов нажмите Далее.
- Следуйте инструкциям мастера импорта сертификатов, чтобы импортировать основной сертификат из файла .pfx.
Примечание: На странице Хранилище сертификатов выберите Автоматически выберите хранилище сертификатов на основе типа сертификата .

- На странице Завершение мастера импорта сертификатов проверьте свои настройки и нажмите Готово.
- Вы должны получить «Сообщение успешно прошло успешно» .
- После импорта файла сертификата SSL .pfx вам необходимо подключить (активировать) новый сертификат на сервере.
Назначить первый сертификат ssl
Используйте эту инструкцию только один раз, для первого сертификата SSL.
- На сервере Windows Server 2021, на который вы импортировали сертификат SSL, откройте диспетчер служб IIS.
В меню Windows введите Диспетчер служб IIS и откройте его.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.

- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.

- В окне Добавить привязки сайтов выполните следующие действия и затем нажмите OK:

Ваш первый сертификат SSL теперь назначен, и веб-сайт настроен на принятие безопасных подключений.
Типы ssl-сертификатов
Существует несколько типов SSL-сертификатов.
Сертификат с проверкой домена (Domain Validation), например, DomainSSL или AlphaSSL. Самый простой и дешевый тип SSL-сертификатов. Подтверждает только домен. Не содержит информации о владельце, поэтому не предназначен для оказания коммерческих услуг на сайте. Физические лица могут использовать только этот тип сертификатов, но он доступен и для юридических лиц.
Сертификат с проверкой домена и организации (Organization Validation), например, OrganizationSSL. Подтверждает не только домен, но и его принадлежность компании. Центр авторизации проверит ее существование, а пользователь сможет увидеть ее название на сайте в информации о сертификате, кликнув на «замок» рядом с адресной строкой браузера.
Сертификат с расширенной проверкой организации (Extended Validation) – например, ExtendedSSL. Считается самым надёжным и предназначен для крупных организаций. При его оформлении центр сертификации проведет расширенную проверку налоговой и коммерческой деятельности компании.
Еще один термин, который встретится при выборе сертификата – WildCard. Он означает поддержку поддоменов. Один SSL-сертификат с WildCard сможет работать и на основном домене, и на поддоменах без ограничений на их количество.
При заказе сертификатов Extended Validation или Organization Validation, центр сертификации может запросить следующие виды документов:
- Свидетельство ИНН / КПП;
- Свидетельство ОГРН;
- Приказ о назначении директора;
- Свидетельство о регистрации доменного имени;
- Устав организации (первые 3 и последние 3 страницы);
- Счета на оплату телефонных разговоров с номера компании за последние 3 месяца, с обязательным указанием в счетах названия и номера телефона организации и названия организации-поставщика услуг.
Документы нужно будет отправить по факсу или электронной почте. Заверять скан-копии не требуется. Центр сертификации может запросить и другие документы, не указанные в списке. Кроме того, с вами могут связаться по телефону для подтверждения телефонного номера организации и заказа сертификата.
Устанавливаем ssl-сертификат в битрикс вм
Во втором случае подключитесь к Bitrix env по SSH и залейте файлы с сертификатами в папку /etc/nginx/ssl. Откройте консоль, перейдите в указанную папку
# cd /etc/nginx/ssl
и выполните команду:
# cat private.key certificate.crt ca_bundle.crt > cert.pem
В обоих случаях у вас должен получиться файл cert.pem, который должен быть размещаться в папке /etc/nginx/ssl. Изначально в этой папке такой файл существует – его нужно удалить перед созданием или размещением своего файла с сертификатом.
Бывают случаи когда имя файла сертификата отличается от cert.pem. Чтобы удостовериться какое имя у файла с сертификатом в вашем случае, зайдите в консоль виртуальной машины и выберите в главном меню пункт 6. Manage sites in the pool далее 5. Change https settings on site, затем введите имя хоста. На экране отобразится таблица в которой будет указан файл сертификата.

Например, на скриншоте настроек ВМ Битрикс, представленном выше – сертификат хранится в файле localhost.crt
Установка ssl сертификата для битрикс окружения или виртуальной машины bitrix для битрикс24
Конвертирования ключа в нужный формат
Пример конвертации запароленного .pfx ключа в нужный нам формат
openssl pkcs12 -in path.pfx -clcerts -nokeys -out newfile.cer
openssl pkcs12 -in path.pfx -nocerts -nodes -out newfile.key
Пример конвертации запароленного .p12 ключа в нужный нам формат
openssl pkcs12 -in path.p12 -out newfile.crt.pem -clcerts -nokeys
/etc/nginx/bx/conf/ssl.conf
Редактировать его не рекомендуется
,потому что обновления битрикс-окружения на сервере перезаписывают этот файл и ваши правки могут затереться, а сайты остаться без подлинного сертификата.
Если у вас мультидоменный сертификат, возможно проще будет подменить битрикс файл(/etc/nginx/ssl/cert.pem) на свой.
После проделанных операций, перезагружаем nginx.
Конфиг хоста
Я рекомендую для каждого хоста прописать нужные сертификат, открываем конфиг ssl хоста, например
/etc/nginx/bx/site_avaliable/bx_ext_ssl_нужный.домен.conf
Установка ssl-сертификата на веб-сервере microsoft iis
Для установки сертификата на виртуальной машине с Windows и веб-сервере Microsoft IIS нам потребуются файлы сертификата и его ключ. Для примера рассмотрим установку сертификата Sectigo Positive SSL:
Мы имеем 4 файла сертификата и сам ключ сертификата:
- domain_name.key – ключ сертификата
- domain_name.crt – SSL сертификат домена
- AddTrustExternalCARoot.crt – корневой сертификат
- COMODORSAAddTrustCA.crt – промежуточный сертификат
- COMODORSADomainValidationSecureServerCA.crt – промежуточный сертификат
Нам нужно объединить корневой и промежуточные сертификаты, сделать это можно следующим образом:
cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > CACert.crt
Далее приступим к конвертированию:
openssl pkcs12 -export -out domain_name.pfx -inkey domain_name.key -in domain_name.crt -certfile CACert.crt
Во время конвертирования, нужно будет указать пароль для сертификата, он нам понадобится во время установки сертификата в Windows.
Теперь файл domain_name.pfx, можно загружать на виртуальную машину с Windows. Для этого выполните на ней следующие действия:
Step 1 : Нажимаем “Start” и выбираем “Run”.
Step 2 : В “Run” вводим “MMC” и нажимаем “OK”. Откроется MMC.
Step 3 : Нажимаем на окно File и выбираем “Add / Remove Snap-In”.
Step 4 : Находим “Certificates” и нажимаем “Add”.
Step 5 : Выбираем “Computer Account” и нажимаем “Next”.
Step 6 : Выбираем “Local Computer” и нажимаем “Finish”.
Step 7 : Нажимаем “OK” для того что бы закрыть окно “Add / Remove Snap-In”.
Step 8 : Двойной клик на “Certificates (Local Computer)” в центре окна.
Step 9 : Правый клик на папку “Personal Certificates Store”.
Step 10 : Выбираем “ALL TASKS” затем “Import”.
Step 11 : Следуем “Certificate Import Wizard” для импортирования “Primary Certificate” из .PFX файла.
Step 12 : Выбираем .PFX и вводим пароль, который мы задавали во время конвертации сертификата.
Step 13 : При появлений запроса выберите automatically place the Certificates in the Certificate Stores based on the type of the Certificate.
Step 14 : Нажимаем “Finish” для закрытия Certificate Import Wizard.
Step 15 : Закрываем MMC, сохранять изменения не обязательно.
Далее нам нужно произвести привязку сертификата к самому домену:
Открываем IIS и выбираем нужный сайт (иногда название может быть не указано и будет “Default Web Site”) выбираем “Bindings”:

Нажимает Add:

В поле Type выбираем https, в поле SSL certificate, сертификат который мы добавили ранее:

Нажимаем Ок, после чего должен добавиться 443 порт:

Сертификат установелен. Теперь можно произвести проверку домена на наличие SSL.
