Как добавить SSL сертификат в Nginx?

Question

[Alexey Kuzmin]

Всем привет

Как правильно добавить ssl сертификат в Nginx? Вроде, все как надо сделал (и сертификат купленный):

server {
    listen      443 ssl;
    server_name hostname;

    ssl_certificate      /etc/ssl/private/project.pem;
    ssl_certificate_key  /etc/ssl/private/project.key;

    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout  5m;
    ssl_prefer_server_ciphers   on;

    location /  {
        # ....
    }
}

При заходе через хром пишет:

Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные
с сайта hostname.ru (например, пароли, сообщения или номера банковских карт). 
NET::ERR_CERT_AUTHORITY_INVALID

Answer 1

[Алексей Романенко]

Что в логах?

Comments

[Alexey Kuzmin]

2015/11/25 06:46:17 [info] 14249#0: *29 client closed connection while waiting for request, client: 119.127.124.131, server: 0.0.0.0:443
2015/11/25 06:46:17 [info] 14249#0: *30 client closed connection while waiting for request, client: 119.127.124.131, server: 0.0.0.0:443
2015/11/25 06:46:17 [info] 14249#0: *32 client closed connection while waiting for request, client: 119.127.124.131, server: 0.0.0.0:443
2015/11/25 06:46:17 [info] 14249#0: *31 client closed connection while waiting for request, client: 119.127.124.131, server: 0.0.0.0:443

Оно?

[Алексей Романенко]

Alexey Kuzmin: нет. это клиент прервал соединение.

[Alexey Kuzmin]

Гм... Там больше нчиего похожего нет.

error_log /var/log/nginx/site-error.log debug;
- я правильно включил debug режим?

[Alexey Kuzmin]

Можешь кинуть статью, по которой можно настроить?

[KeyDoo]

https://www.firstssl.ru/faq/ssl-installation/ustan...

[Алексей Романенко]

Alexey Kuzmin: https://www.digitalocean.com/community/tutorials/h...

[Alexey Kuzmin]

KeyDoo: не момогло(
Может, я неправильно сертификат сгенерил?
openssl x509 -req -days 365 -in sitename.csr -signkey sitename.key -out sitename.crt

[Alexey Kuzmin]

Алексей Романенко: кажется, нашел нужные записи в логах:
2015/11/25 07:47:08 [info] 14249#0: *101 SSL_do_handshake() failed (SSL: error:14094438:SSL routines:SSL3_READ_BYTES:tlsv1 alert internal error:SSL alert number 80) while SSL handshaking, client: 188.138.17.205, server: 0.0.0.0:443
2015/11/25 07:47:11 [info] 14249#0: *102 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 188.138.17.205, server: 0.0.0.0:443
2015/11/25 07:47:11 [info] 14249#0: *103 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 188.138.17.205, server: 0.0.0.0:443
2015/11/25 07:47:29 [info] 14249#0: *94 client closed connection while SSL handshaking, client: 188.138.17.205, server: 0.0.0.0:443
2015/11/25 07:47:34 [info] 14249#0: *95 client closed connection while waiting for request, client: 188.138.17.205, server: 0.0.0.0:443
2015/11/25 08:04:58 [info] 14249#0: *108 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 184.105.139.67, server: 0.0.0.0:443

[Алексей Романенко]

Alexey Kuzmin: у вас сертификат куплен или самосгенерен? в топике одно в коменте другое.

[Alexey Kuzmin]

Алексей Романенко: куплен

[Alexey Kuzmin]

Алексей Романенко: у меня есть private.key и request.csr, на основе которых я генерю недостающий crt

[KeyDoo]

Alexey Kuzmin: CSR вы отдаёте Центру Авторизации, а тот высылает вам CRT. Иначе это не купленный

Answer 2

[nonname]

Открытый ключ содержит только сам сертификат или цепочку? Скорее всего там цепочка такая ROOT CA - Intermediate - ваш сертификат, вот хорошо скачать бы ещё Intermediate и слепить их вместе с вашим. nginx.org/ru/docs/http/configuring_https_servers.html вот тут в разделе цепочки сертификатов есть инфа как это делается.

Answer 3

[retaliation]

не, у него pem файл, должен содержать всю цепочку...
что за домен подскажи, проверю

Comments

[Alexey Kuzmin]

https://pixelgold.ru

[retaliation]

Alexey Kuzmin: так у тебя там сейчас самоподписанный стоит, вот браузер и ругается

[retaliation]

Alexey Kuzmin: https://sslanalyzer.comodoca.com/?url=pixelgold.ru

[Alexey Kuzmin]

retaliation: блин! как? мы ж покупали сертификат

[retaliation]

Alexey Kuzmin: надо брать в местах, где поддержка нормальная=) мы берем у leaderssl.ru
server {

listen 443;

ssl on;
ssl_certificate /etc/ssl/your_domain.pem;
ssl_certificate_key /etc/ssl/your_domain.key;

server_name your.domain.com;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root /home/www/public_html/your.domain.com/public/;
index index.html;
}

}
Перезапустите Nginx, задав команду:
sudo /etc/init.d/nginx restart

Answer 4

[Володимир Годяк]

Для мобильних нужно сделать цепочку сертификатов и передавать ее как сертификат.
Подробно описано здесь: nginx.org/ru/docs/http/configuring_https_servers.html

Пример:

cd /etc/nginx/ssl
ll
 > domain.ca-bundle domain.crt  domain.csr  domain.rsa

cat domain.crt domain.ca-bundle >  domain.chained.crt
ll
> domain.ca-bundle domain.crt  domain.csr  domain.rsa domain.chained.crt

Мой конфиг nginx

server {
        listen 80 default_server;

        listen 443 ssl;

        root /var/www/domain/frontend/www;
        index index.php index.html index.htm;

        # Make site accessible from http://localhost/
        server_name domain.com;

        ssl_certificate /etc/nginx/ssl/domain.chained.crt;
        ssl_certificate_key /etc/nginx/ssl/domain.rsa;

        ssl_session_timeout 5m;
        ssl_protocols SSLv3 TLSv1;
        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
        ssl_prefer_server_ciphers on;

......