Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версияПоследняя версияСледующая версия справа и слева | ||
itechnology:crypto [2014/06/13 21:23] – [Общие положения] jurik_phys | itechnology:crypto [2016/06/30 11:07] – [Получение сертификата] jurik_phys | ||
---|---|---|---|
Строка 121: | Строка 121: | ||
==== Генерация паролей ==== | ==== Генерация паролей ==== | ||
Для генерации можно использовать утилиту pwgen прямо из vim' | Для генерации можно использовать утилиту pwgen прямо из vim' | ||
+ | |||
+ | ===== Cертификат для сайта. ===== | ||
+ | ==== Получение сертификата ==== | ||
+ | |||
+ | По материалам [[https:// | ||
+ | |||
+ | 1. Регистрация на сайте [[https:// | ||
+ | |||
+ | 2. Заказ бесплатного сертификата по адресу [[https:// | ||
+ | |||
+ | 3. Ввод нужных доменных имен, подтверждение владения доменом. При вводе домена в виде www.example.com, | ||
+ | |||
+ | 4. Генерация на сервере приватного ключа и CSR (Certificate Signing Request) - запроса на получение сертификата, | ||
+ | |||
+ | При генерации CSR необходимо ввести, | ||
+ | * имя сервера (Common Name) — полностью определенное доменное имя; | ||
+ | * название страны (Country Name) — двухбуквенный код страны, | ||
+ | Указанные в CSR данные, | ||
+ | |||
+ | 5. Вставка содержимого файла mydomain.com.csr в форму сайта. Завершение формальностей с вводом пароля, | ||
+ | |||
+ | 6. Скачивание zip-архива с сертификатом сайта с сайта или по ссылке в письме. При подписывании сертификата возможна задержка на несколько часов. | ||
+ | |||
+ | 7. После установки сертификата и сгенерированного приватного ключа на сайт, желательно проверить уровень безопасности сайта через [[https:// | ||
+ | |||
+ | 8. Настройка OCSP stapling на сервере для полученного сертификата. | ||
+ | |||
+ | ==== Настройка OCSP stapling ==== | ||
+ | |||
+ | По материалам [[http:// | ||
+ | |||
+ | Получение корневого и промежуточного сертификата CA. | ||
+ | <code bash> | ||
+ | wget -O - https:// | ||
+ | |||
+ | Cертификаты в формате DER необходимо сконвертировать в PEM. | ||
+ | <code bash> | ||
+ | wget -O - http:// | ||
+ | wget -O - http:// | ||
+ | |||
+ | Редактирование файла виртуальных хостов SSL. В директиву < | ||
+ | < | ||
+ | SSLUseStapling on</ | ||
+ | |||
+ | Вне директивы < | ||
+ | |||
+ | Протестировать изменённый конфиг и перезагрузить настройки:< | ||
+ | service apache2 reload</ | ||
+ | |||
+ | Проверка результата на [[https:// | ||
+ | < | ||
+ | Protocol Details | ||
+ | ---------------- | ||
+ | OCSP stapling Yes</ | ||
+ | |||
+ | ==== OCSP stapling итоги ==== | ||
+ | |||
+ | На следующий день после удачной настройки сайт перестал открываться в ошибкой < | ||
+ | В логах apach' | ||
+ | |||
+ | ==== Forward Secrecy по-умолчанию ==== | ||
+ | **Способ 1. Рекомендованный: | ||
+ | Использование Forward Secrecy определяется набором используемых шифров. | ||
+ | < | ||
+ | SSLProtocol all -SSLv2 -SSLv3 | ||
+ | SSLHonorCipherOrder On | ||
+ | SSLCipherSuite " | ||
+ | </ | ||
+ | **Способ 2. Простой, | ||
+ | |||
+ | Увеличение стойкости DH-шифров. | ||
+ | < | ||
+ | cd / | ||
+ | openssl dhparam -out dhparam.pem 4096 | ||
+ | |||
+ | # Add the following to your Apache config. | ||
+ | SSLOpenSSLConfCmd DHParameters "/ | ||
+ | |||
+ | ==== Turn On HSTS ==== | ||
+ | HSTS - HTTP Strict Transport Security. Включение, | ||
+ | - Enable the Apache Headers Module.< | ||
+ | - Add the additional header to the HTTPS VirtualHost directive. Max-age is measured in seconds.< | ||
+ | # Guarantee HTTPS for 1 Year including Sub Domains | ||
+ | Header always set Strict-Transport-Security " |