Как настроить SSL сертификат на denwer?

Question

[Адам Сулумов]

Как настроить SSl сертификат на Denwer?
Были аналогичные вопросы, но на них не был дан ответ.

Answer 1

[Dimonchik]

www.htpcguides.com/generate-openssl-certificates-n...

Comments

[rolion]

Добрый день. У меня Denwer, скачал со свежими конфигами тут: https://lred.ru/webmasteru/35802-kak-obnovit-php-n... Расширение ssl есть, оно подключено. Как теперь установить сертификат для домена?

Я скачал OpenSSL, выполнил всё как тут: https://habr.com/ru/post/192446/

Есть у меня теперь rootCA.crt, добавил его в доверенные центры Хрома. Всё равно при попытке открыть сайт с https выходит ошибка:

Ваше подключение не защищено
Безопасность вашего соединения снижена. Злоумышленники могут пытаться похитить ваши данные с сайта. Рекомендуется прекратить работу с сайтом.

Я предполагаю, что нужно заставить apache при обращении к сайту https://www.site.ru с IP 127.0.0.1 подтягивать именно сертификат этого сайта на локалке, который подписан локальным центром сертификации. Как это сделать? Или не туда копаю? Подскажите пожалуйста.

[Dimonchik]

а чем https://letsencrypt.org/ru/ не подошел?

так как хотите - можно извратиться, если очень хочется, но оно неверно со всех сторон

[rolion]

Спасибо за ответ, но я уже запутался в конец.

Смотрите есть сайт site.ru на VPS, там установлен платный ssl сертификат. Если я выпущу бесплатный (а разве можно Let’s Encrypt выпустить на локалке?), то как браузер заставить его видеть и как установить правильно именно для локалки?

[Dimonchik]

https://ziscod.com/ssl-sertifikat-v-openserver/

[rolion]

Вот спасибо! Уже ближе к истине!

Сделал так в apache vhosts.conf:

<VirtualHost site.ru>
  SSLEngine on
  DocumentRoot "Z:/home/site.ru/www"  
  ServerName "site.ru"
  ServerAlias "site.ru" "www.site.ru" 
  ScriptAlias /cgi/ "/home/site.ru/cgi/"
  ScriptAlias /cgi-bin/ "/home/site.ru/cgi-bin/"

SSLCertificateFile "Z:/cert_files/site.ru/www.site.ru.crt"
SSLCertificateKeyFile "Z:/cert_files/site.ru/www.site.ru.key"
 
  SetEnvIf User-Agent ".*MSIE [1-5].*" \
  nokeepalive ssl-unclean-shutdown \
  downgrade-1.0 force-response-1.0
 
  SetEnvIf User-Agent ".*MSIE [6-9].*" \
  ssl-unclean-shutdown
 
  <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions              +StdEnvVars
  </FilesMatch>
 
  <Directory "%hostdir%/cgi-bin/">
      SSLOptions              +StdEnvVars
  </Directory>
</VirtualHost>

Файлы www.site.ru.crt и www.site.ru.key выпустил до этого при помощи OpenSSL. Центр сертификации rootCA.crt добавил в доверенные в Хроме.

Всё работает, только без www вначале адреса. А на реале изначально сайт с www в начале. Что где упустил - не пойму. При обращении на локалке к сайту без www, Хром сначала предупреждает о самоподписанном сертификате, но потом пускает. А если ввести с www, то пишет:

Ваше подключение не защищено
Безопасность вашего соединения снижена. Злоумышленники могут пытаться похитить ваши данные с сайта. Рекомендуется прекратить работу с сайтом.
Причина:
Самоподписанный сертификат Посмотреть сертификат

Куда можно копнуть?

[Dimonchik]

хз, может редиректы

ну или сертификаты разные на с www и без попробуйте

[rolion]

Так. Что-то не то я натворил.

Я всё это время после всех манипуляций проверял результат на сайт site.ru, который не срабатывал. Потом проверил другой свой проект, например site-2.ru, так вот там стоит ssl от денвера и всё прекрасно срабатывает. Убедившись, я всё поудалял что наустанавливал (Удалил сам OpenSSL, всякие файлы им сгенерированные, удалил сентр из доверенных в браузерах) и давай анализировать.

В общем, моя сборка Денвера прекрасно генерит ключи, правда при первом переходе браузеры предупреждают о невозможности проверки центра сертификации и после принятия риска всё робит. Проблема с несколькими проектами на локалке - если вводить в браузере имя с www вначале, то сертификат в браузере есть, замочек есть в адресной строке, но пишет:

Ваше подключение не защищено
Безопасность вашего соединения снижена. Злоумышленники могут пытаться похитить ваши данные с сайта. Рекомендуется прекратить работу с сайтом.

Причина:
Самоподписанный сертификат Посмотреть сертификат

И не появляется ссылка "Принимаю риск". А вот без www нормально. При том есть некоторые проекты, которые открываются с https как с www, так и без www. Сравнивал прописанные правила в vhosts.conf у апача - у всех проетов одинаковые, да и они генерятся по шаблону, там не может быть расхождений.

Почему так может происходить, что у некоторых сайтов открывается с https и с www и без www, а у некоторых только без www?

[rolion]

Блокирует касперский. Но даже добавляя в исключения сети в каспере домен site.ru, все браузеры страшно ругаются и не хотят пускать.

Сведения о сертификате при клике на https:

Нет доверия к этому корневому сертификату центра сертификации, поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации.

Как так: без www всё гуд, а с www такие проблемы?

[Dimonchik]

надо смотреть сами сертификаты

[rolion]

А куда их денвер складывает? Я правильно понимаю алгоритм:
1) Денвер после запуска смотрит проекты в папке home
2) При включенном mod_ssl сервер проходится по проектам и используя шаблон выпускает локальные сертификаты?

Если так, то они где-то должны быть...

[rolion]

Сертификаты в системе нашёл легко, более того, я там уже несколько раз сегодня был )))
Конкретно денверовские правда не увидел...

Answer 2

[CityCat4]

Уже имеющийся сертификат? Или вопрос следует понимать так "где мне взять сертификат чтобы его настроить?" Или даже так - "что такое сертификат, где мне его взять и как настроить?"

Грамотно поставленный вопрос содержит половину ответа...