Как установить сертификаты в NGINX?

Question

[Марк Розенталь]

Привет!
Взял сертификаты у Comodo, пришли на почту файлы в архиве:

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
Domain_com.crt

Еще у меня есть private.key
Изначально делал как сказано во многих мануалах:
cat Domain_com.crt AddTrustExternalCARoot.crt >> bundle.crt
В nginx.conf пишу

server {
        listen 443;
        server_name domain.com;

        root /var/www/nginx/domain.com;
        index index.html index.php;

        ssl on;
        ssl_certificate /etc/nginx/ssl/bundle.crt;
        ssl_certificate_key /etc/nginx/ssl/private.key; 
}

Что я делаю не так? Нужны ли остальные файлы, и куда их складывать?
Насколько знаю, в Nginx по умолчанию не включен модуль SSL и его надо собирать изначально, потому что при рестарте nginx я получаю ошибку.

Comments

[Lynn «Кофеман»]

А какие ошибки-то? Склеить скорее все нужно все файлы в правильном порядке.

И вообще первая ссылка в гугле https://support.comodo.com/index.php?/Default/Know...

Answer 1

[rionnagel]

сделай service nginx configtest (или аналог, смотря что там у тебя за система) и посмотри что не так. Скорее всего неправильно склеил сертификаты.

Answer 2

[Николай Корабельников]

cat Domain_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > bundle.crt

Ну и хотябы это добавьте:

ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
ssl_prefer_server_ciphers on;