Как установить сертификат от WoSign на сайт на nginx?

Question

[Andrew Lays]

Битый час пытаюсь установить сертификат от WoSign на свой сайт на nginx. От WoSign получил архив с папками, среди которых оказалась и папка с названием nginx, в которой было два файла example.com_bundle.crt и example.com.key. Первый состоит из цепочки:

-----BEGIN CERTIFICATE-----абракадабра-----END CERTIFICATE----------BEGIN CERTIFICATE-----абракадабра-----END CERTIFICATE----------BEGIN CERTIFICATE-----абракадабра-----END CERTIFICATE-----

Как я понял, там три сертификата в цепочке.
Второй состоит из:

-----BEGIN RSA PRIVATE KEY-----абракадабра-----END RSA PRIVATE KEY-----

/etc/nginx/nginx.conf:

user www-data;
worker_processes 2;
pid /run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;

        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;

        include /etc/nginx/mime.types;
        default_type application/octet-stream;

        ##
        # SSL Settings
        ##

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        ##
        # Logging Settings
        ##

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip on;
        gzip_disable "msie6";

        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;


        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

/etc/nginx/sites-enabled/example.com:

server {
        server_name ip.add.re.ss example.com www.example.com;
        listen 80;

        root /var/www/example.com;
        index index.php;

        error_page 404 /404.html;
        error_page 500 502 503 504 /50x.html;

        location / {
                try_files $uri $uri/ /index.php;
        }

        location ~ \.php$ {
                try_files $uri =404;
                fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include fastcgi_params;
        }
}

nginx -V:

nginx version: nginx/1.6.2
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,-z,relro --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_spdy_module --with-http_sub_module --with-http_xslt_module --with-mail --with-mail_ssl_module --add-module=/tmp/buildd/nginx-1.6.2/debian/modules/nginx-auth-pam --add-module=/tmp/buildd/nginx-1.6.2/debian/modules/nginx-dav-ext-module --add-module=/tmp/buildd/nginx-1.6.2/debian/modules/nginx-echo --add-module=/tmp/buildd/nginx-1.6.2/debian/modules/nginx-upstream-fair --add-module=/tmp/buildd/nginx-1.6.2/debian/modules/ngx_http_substitutions_filter_module

uname -a:

Linux server 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1 (2015-05-24) x86_64 GNU/Linux

Может кто подскажет, что и куда прописать, чтобы с http был редирект на https и чтобы работал этот https. Еще что-то читал про OCSP Stampling, но сначала нужно настроить https.

Answer 1

[ТыжСисАдмин]

server {
listen   443 ssl default_server;
server_name exemple.com;
ssl on;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  10m;
ssl_prefer_server_ciphers on;
ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /path_to/exemple.crt;
ssl_certificate_key /path_to/exemple.key;
ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/ca-certs.pem;

ну и в начале конфы виртуал хоста, перманентное перенаправление на https

server{
listen 80 default_server;
server_name exemple.com;
    rewrite ^(/.*)$ https://$host$1 permanent;
}

habrahabr.ru/post/254231

Comments

[Andrew Lays]

Спасибо, получилось, но пришлось удалить строчку с ssl_trusted_certificate /etc/nginx/cert/ca-certs.pem; У меня такого файла нет, за что он отвечает и где его взять?

[ТыжСисАдмин]

Я в конце дал вам ссылку на хабр, там первым пунктом "Во-первых — получаем промежуточные сертификаты.".
Сделайте, это промежуточные сертификаты, без них у некоторых людей браузер будет матюкаться.

[Andrew Lays]

Алексей POS_troi: еще такой момент не понятен, получил ответ OCSP stapling No вот здесь https://www.ssllabs.com/ , хотя по Вашей ссылке внизу есть спойлер с таким текстом "Если в результате есть следующее, то значит всё отлично!" и у меня есть в результате то что нужно. Почему же на сайте https://www.ssllabs.com/ проверка OCSP stapling не прошла?

[Andrew Lays]

openssl s_client -connect example.com:443 -tls1 -tlsextdebug -status:

CONNECTED(00000003)
TLS server extension "renegotiation info" (id=65281), len=1
0001 - <SPACES/NULS>
TLS server extension "EC point formats" (id=11), len=4
0000 - 03 00 01 02                                       ....
TLS server extension "session ticket" (id=35), len=0
TLS server extension "status request" (id=5), len=0
TLS server extension "heartbeat" (id=15), len=1
0000 - 01                                                .
depth=2 C = CN, O = WoSign CA Limited, CN = Certification Authority of WoSign
verify error:num=20:unable to get local issuer certificate
verify return:0
OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL OCSP Responder(G2)
    Produced At: Aug  6 14:27:10 2015 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B
      Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7
      Serial Number: 49CFA1D1E9F1F9CED4B27B41F039A08B
    Cert Status: good
    This Update: Aug  6 14:27:10 2015 GMT
    Next Update: Aug  8 14:27:10 2015 GMT

    Signature Algorithm: sha1WithRSAEncryption
         a7:ba:5d:4b:ce:8b:60:86:a6:a6:f0:d1:0b:65:db:8c:9d:3f:
         08:46:59:e3:e0:ec:76:e0:d8:8b:69:89:8f:ce:2f:a0:c0:39:
         cf:b8:83:b9:83:86:d6:eb:18:4c:4e:1d:1d:d5:e4:d2:c1:a6:
         c4:95:cf:c9:07:88:af:64:fb:8b:cd:93:1e:0c:6c:92:1d:d2:
         a2:9f:b4:a4:4e:2a:18:9f:0c:65:e3:b2:0c:4f:f4:3a:8e:4a:
         88:69:48:3b:35:ee:6d:be:0b:43:fe:49:99:8a:ea:53:57:7f:
         91:c3:f4:92:5c:29:00:e7:d4:f0:0b:af:5e:06:ee:36:67:93:
         16:d5:2b:27:f8:88:59:ff:c7:ae:76:85:b0:13:ef:93:82:4e:
         22:f4:ac:05:83:5d:2c:fb:9d:3b:61:3e:51:bd:a6:34:06:68:
         22:d4:fa:5c:81:fe:2a:2d:4d:8d:23:f4:ac:68:d3:25:ba:3d:
         c3:46:39:27:f8:1f:3f:26:65:79:93:08:25:f0:6f:43:63:c9:
         0e:b3:56:d9:4b:db:c6:99:4c:98:02:37:7d:8b:2f:a9:b1:d5:
         b5:ef:1b:85:70:eb:ad:b2:50:20:3f:f7:af:91:64:9f:b3:7f:
         c5:c1:97:c4:0e:a3:5b:dd:84:29:da:c8:39:3e:33:e2:fd:8c:
         ac:05:bd:30
...

[Andrew Lays]

Проблема решена, OCSP stapling Yes, нужно было немного подождать с тестами. Спасибо Вам человеческое!

[ТыжСисАдмин]

Всегда пожалуйста :)

Answer 2

[georgich]

Приветствую.
Вот тут: blog.kplus.pro/adm/how-enable-https-on-website.html
Про редирект в самом конце.
Удачи!

Comments

[Andrew Lays]

Спасибо, это мне помогло.