Как правильно установить Let's enycript на NGINX?

Question

[Вадим Тимошенко]

На сайте для доменов sitename.ru и *.sitename.ru создал сертификаты. Получил 3 файла:

• ca_bundle.crt
  
• certificate.crt
  
• private.key
  

Отправил их в папку на VDS сервере /etc/ssl/certs/sitename.ru/.

В .conf для NGINX написал следующее:

http {
        ...
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
	ssl_prefer_server_ciphers on;
        ...

        server {
        ...
           ssl_certificate        /etc/ssl/certs/sitename.ru/certificate.crt;
           ssl_certificate_key /etc/ssl/certs/sitename.ru/private.key;
           ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
           ssl_ciphers         HIGH:!aNULL:!MD5;
        ...
}

Сделал нужные переадресации. Все работает. Сайт открывается успешно по https:// и в браузере есть зеленый замок. Но ругается яндекс.вебмастер и при переходе из ВК выходит предупреждение что сертификат установлен некорректно.

Подскажите, что я забыл? Куда девать файл ca_bundle.crt? Может быть я вообще не верно выполнил процесс установки сертификатов?

Comments

[Сослан Хлоев]

А если

ssl_certificate /etc/ssl/certs/sitename.ru/ca_bundle.crt;

[Developer]

Можно упростить установку сертификатов с помощью certbot.
К тому же, это поможет решить проблему с автообновлением сертификатов.

Answer 1

[kotabus]

Правильно будет поставить certbot котырый настроит nginx или apache для нужных доменов и будет сам продлевать сертификат.

Answer 2

[Виктор Таран]

так кэп, смотри сюда
1. сертификаты поставил

server {

######################################################################
## Server configuration
######################################################################
        listen *:443 ssl http2;
                server_name 3dpaneli.ru www.3dpaneli.ru   ;
        root /var/www/3dpaneli.ru/web;


######################################################################
## SSL configuration
######################################################################
# recommended but not manditory directive
# leave commented out unless you know what it is doing
#more_set_headers 'Strict-Transport-Security: max-age=15768000';
        ssl on;
        ssl_session_cache  shared:SSL:10m;
        ssl_session_timeout 1h;
        ssl_protocols TLSv1.2 TLSv1.1;
        add_header Strict-Transport-Security "max-age=15768000" always;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_prefer_server_ciphers on;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;
        ssl_certificate /var/www/clients/client19/web26/ssl/3dpaneli.ru-le.crt;
        ssl_certificate_key /var/www/clients/client19/web26/ssl/3dpaneli.ru-le.key;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
###################################################################

......
ssl_dhparam /etc/nginx/ssl/dhparam.pem; - не обязательно но для повышения класса сертификата нужно.
Далее в браузере нажми на сертификат и посмотри все ли там норм тот ли домен зеленый ли он
открой отладчик, и посмотри в консоли разработчика не сыпет ли mix_content, если да то устраняй.

Answer 3

[JohnnyMnemonik]

https://www.ssllabs.com/ssltest/analyze.html

Answer 4

[FJCrux]

Вы не до конца установили сертификат, как минимум.
Файл ca_bundle содержит корневой и промежуточные сертификаты, которые, вместе с сертификатом вашего домена, составляют полную цепочку сертификатов
Склейте ваш сертификат с бандлом и укажите в качестве сертификата результирующий файл.

Comments

[makarich72]

Отдельно ca опцией в nginx можно не прописывать, если сертификат выпущен нормальным ценртом сертификации, в данном случае letscrypt. Достаточно объединить с корневым сертификатом.

Answer 5

[ellgooll]

а 80 порт открыт на сервере?, плюс в Явебмастере, насколько я помню, нужно явно указать https://.
А ругаться он может потому что в кеше сайт без серта. попробуйте открыть в режиме инкогнито

Answer 6

[ky0]

https://mozilla.github.io/server-side-tls/ssl-conf...

Обратите внимание на параметр ssl_trusted_certificate.