https_ssl

[sergeantgrey]

A different port other than 443 is needed, such as 19903

Comments

[sergeantgrey]

Шаг 1

Создаем закрытый ключ для сервера
openssl genrsa -out SERVER_NAME.key 1024

Полученный файл используется для подготовки запроса к ЦС

[sergeantgrey]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = www.listech.ru
DNS.2 = 192.168.254.32
DNS.3 = 213.248.38.42
DNS.4 = helpdesk.listech.ru

[sergeantgrey]

Шаг 2

Создаем запрос на основе созданого ранее файла my_openssl.cnf
openssl req -config my_openssl.cnf -new -key SERVER_NAME.key -out SERVER_NAME.csr

Отвечаем на полученные вопросы и переходим к следующему шагу.

[sergeantgrey]

Шаг 3

Результирующий файл запроса SERVER_NAME.csr загружаем в CA под управлением Windows Server, полученный сертификат SERVER_NAME.cer сохраняем для последующих манипуляций.

Стоит отметить что при подтверждении сертификата через гуй система выругается вот так

The request contains no certificate template information. 0×80094801 (-2146875391)
Denied by Policy Module 0×80094801, the request does not contain a certificate template extension or the Certificate Template request attribute.

Это означает что в запросе не был указан шаблон сертификата.
Поэтому подтверждение сертификата проводится либо через команднуб строку.
certreq -submit -attrib "CertificateTemplate: WebServer" request_file.csr

либо через веб-интерфейс.

[sergeantgrey]

nano /etc/apache2/sites-available/listech.ru

ServerAdmin webmaster@localhost
#ServerName listech.ru
ServerName 192.168.254.32

SSLRequireSSL

SSLEngine on
#SSLCertificateFile /etc/ssl/certs/server.crt
#SSLCertificateKeyFile /etc/ssl/private/server.key

SSLCertificateFile /etc/ssl/certs/listech.cer
SSLCertificateKeyFile /etc/ssl/private/listech.key