Купил сертификат GGS Domain SSL через high-cloud.ru. Как установить его для Nginx в Debian?

Question

[dhaenoor]

Купил на high-cloud.ru сертификат от GoGetSSL (вот тут: https://high-cloud.ru/gogetssl/gogetssl-domain-ssl/)
Пришли четыре файла с такими именами:

1. AAACertificateServices.crt
   
2. GoGetSSLRSADVCA.crt
   
3. mydomainname_ru.crt
   
4. USERTrustRSAAAACA.crt
   

Инструкций к ним не прилагается и теперь я не имею ни малейшего понятия что же с ними делать. Все они начинаются со строки -----BEGIN CERTIFICATE----- и теперь абсолютно непонятно как эту кашу прикрутить к Nginx. Поиск по интернету привёл меня в совершеннейший ступор - везде всё по разному сделано: расширения, начальные строки содержимого файлов, подходы к самими конфигурационным файлам Nginx. И, что самое обидное - файлов сертификатов у всех либо один, либо два - а тут целых четыре. А я, как назло, и близко не веб-мастер и догадаться не выходит. К тому же Nginx, да и вообще веб в первый раз изнутри вижу.

Возможно кто-то уже сталкивался с этим бардаком?

Answer 1

[galaxy]

Вам должны прийти:
1. Сам сертификат на сайт
2. Сертификат(ы) промежуточного(ых) CA
3. Корневой сертификат

Их в разных комбинациях могут раскладывать по файлам. Часто так: сертификат сайта отдельно, сертификат + все промежуточные + корневой, промежуточные + корневой.

Вам для nginx нужно прописать в ssl_certificate - путь к файлу с сертификатом сайта + промежуточные (корневой лучше туда не включать) и ssl_certificate_key - путь к закрытому ключу (создавали при запросе сертификата).

Подозреваю, что mydomainname_ru.crt - голый сертификат сайта. Посмотрите содержание остальных файлов, сколько там блоков BEGIN/END и каких.

Посмотреть содержание сертификата (только первого блока BEGIN/END!) можно командой:
openssl x509 -in /path/to/file.crt -text

Comments

[dhaenoor]

Вам должны прийти ...

а пришло четыре, вместо трёх.

... ssl_certificate_key - путь к закрытому ключу (создавали при запросе сертификата) ...

- т.е. тот, который в панели пользователя у продавца ключа и сним рядом ещё есть ключ запроса сертификата? Т.е. теперь у меня вообще шесть файлов должно быть? Блядь, иначе не скажешь (

... сколько там блоков BEGIN/END ...

- Блоков везде по одному и все они BEGIN CERTIFICATE

Просмотр я уже нашел, но он не помогает - там не видно какой файл на какой файл ссылается.

Зашел в свою панель на сайте high-cloud и скачал оттуда файл "Запрос на сертификат", он был номерной, я переименовал его в request.csr, сохранив расширение. Также скачал оттуда же файл "Закрытый ключ", он также был номерной, переименовал его в close-rsa.key, сохранив расширение.

Теперь у меня шесть файлов:

1. AAACertificateServices.crt -----BEGIN CERTIFICATE-----
   
2. close-rsa.key -----BEGIN RSA PRIVATE KEY-----
   
3. GoGetSSLRSADVCA.crt -----BEGIN CERTIFICATE-----
   
4. mydomainname_ru.crt -----BEGIN CERTIFICATE-----
   
5. USERTrustRSAAAACA.crt -----BEGIN CERTIFICATE-----
   
6. request.csr -----BEGIN CERTIFICATE REQUEST-----
   

И что с ними делать дальше всё еще непонятно (

[galaxy]

Так, скиньте содержимое файлов AAACertificateServices.crt, GoGetSSLRSADVCA.crt, USERTrustRSAAAACA.crt - в них нет ничего секретного (ключ только не вздумайте кидать).

[dhaenoor]

galaxy, я понял как это работает:
1. Смотрим вывод

openssl x509 -in mydomainname_ru.crt -noout -text | grep CA\ Issuers

;
2. Находим в имеющихся файлах относительно похожий на тот, который указан в URI. В моём случае он был такой http://crt.usertrust.com/GoGetSSLRSADVCA.crt, а файл такой GoGetSSLRSADVCA.crt;
3. Смотрим для него вывод

openssl x509 -in GoGetSSLRSADVCA.crt -noout -text | grep CA\ Issuers

;
4. Находим в имеющихся файлах относительно похожий на тот, который указан в URI. В моём случае он был такой

http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt

, а файл такой USERTrustRSAAAACA.crt;
5. Смотрим для него вывод

openssl x509 -in USERTrustRSAAAACA.crt -noout -text | grep X509v3\ CRL\ Distribution\ Points -A3 | grep URI

;
6. Находим в имеющихся файлах относительно похожий на тот, который указан в URI. В моём случае он был такой http://crl.comodoca.com/AAACertificateServices.crl, а файл такой AAACertificateServices.crt;
7. Смотрим для него вывод

openssl x509 -in AAACertificateServices.crt -noout -text | grep URI

;
8. В полученных строчках ссылки ведут на файл с похожим названием, значит это корневой удостоверяющий центр.

Получается цепочка такая:
mydomainname_ru.crt --> GoGetSSLRSADVCA.crt --> USERTrustRSAAAACA.crt --> AAACertificateServices.crt

Значит в таком порядке и в общий файл их помещать?

[galaxy]

AAACertificateServices - рутовый, можно (и лучше) не помещать.
В остальном все так должно быть.

Answer 2

[Михаил Васильев]

https://high-cloud.ru/ustanovka-ssl/

Comments

[dhaenoor]

А гугл и яндекс не нашли )
В любом случае - толку от этой инструкции нет
Там говорится о двух файлах - domain.crt и ca.crt, если про domain.crt ещё можно догадаться, что это mydomainname_ru.crt, то какой из остальных трёх файлов является сертификатом цепочки - невозможно. А может их вообще нужно все три в каком-то порядке объединить. В общем эта штатная инструкция, как и 90% других штатных инструкций - говно, никак не привязанное к реалиям выпустившего эту инструкцию провайдера.

[Михаил Васильев]

dhaenoor, на самом деле понятно, но в любом случае, я вам дал направление, спрашивайте у саппорта сервиса где вы приобрели данный сертификат.

Answer 3

[CityCat4]

1. Где ключ?
2. Три из четырех файлов - корневые сертификаты на случай их отсутствия, собственно сертификат - файл mydomainname_ru.crt