Установка SSL сертификата от WoSign Topic is solved

[Shishov]

Приветствую всех форумчан. На Хабре была статья про бесплатный SSL сертификат на 3 года от WoSign. Может кто то уже устанавливал его на весту?
Ссылка на статью http://habrahabr.ru/post/252529/

[Alex Connor]

Что именно интересует?

[skurudo]

StartSSL наше все.
Все сертификаты ставятся одинаково, что мериканьски что китайски. :)

[DFS]

Не совсем одинаково...
Надо еще DH параметры сгенерировать, панель этого не делает
На выходе должно получиться 3 файла:
домен.crt смержены все сертификаты в 1 файл
домен.key приватный ключ
домен.pem dh параметры

я создал такие шаблоны
force_https.tpl

Code: Select all

server {
    listen      %ip%:%proxy_port%;
    server_name %domain_idn% %alias_idn%;

    error_log  /var/log/%web_system%/domains/%domain%.error.log error;

    return 301 https://%domain_idn%&request_uri;
}

force_https.stpl

Code: Select all

server {
    listen      %ip%:%proxy_ssl_port% spdy;
    server_name %domain_idn% %alias_idn%;

    ssl         on;
    ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
    ssl_certificate      %home%/%user%/conf/web/ssl.%domain%.crt;
    ssl_certificate_key  %ssl_key%;
    ssl_dhparam          %home%/%user%/conf/web/ssl.%domain%.pem;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  24h;
    ssl_prefer_server_ciphers on;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 ipv6=off valid=300s;
    resolver_timeout 5s;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
    error_log  /var/log/%web_system%/domains/%domain%.error.log error;

    location / {
        proxy_pass      https://%ip%:%web_ssl_port%;
        location ~* ^.+\.(%proxy_extentions%)$ {
            root           %sdocroot%;
            access_log     /var/log/%web_system%/domains/%domain%.log combined;
            access_log     /var/log/%web_system%/domains/%domain%.bytes bytes;
            expires        max;
            try_files      $uri @fallback;
        }
    }

    location /error/ {
        alias   %home%/%user%/web/%domain%/document_errors/;
    }

    location @fallback {
        proxy_pass      https://%ip%:%web_ssl_port%;
    }

    location ~ /\.ht    {return 404;}
    location ~ /\.svn/  {return 404;}
    location ~ /\.git/  {return 404;}
    location ~ /\.hg/   {return 404;}
    location ~ /\.bzr/  {return 404;}

    include %home%/%user%/conf/web/snginx.%domain%.conf*;
}

выкидываю сертификаты которые сгенерировала панель и подсовываю свои
DH генерируется с помощью

Code: Select all

openssl dhparam -out ssl.domain.pem 4096

[DFS]

собственно WoSign выдает сертификат для разных веб-серверов
там разложено по папкам (Apache, Nginx, Tomcat), панель соглашается жрать только сертификат для Apache, а в папке для Nginx как раз лежит тот самый смерженный файл, но панель его есть не хочет, ругается что-то там авторизация не найдена...

[skurudo]

Надо еще DH параметры сгенерировать, панель этого не делает

Это не совсем верно. Без dhparam можно прожить и оно будет работать, но при классификации получите С или B, A+ рейтинг без DH не получить совсем. Процедура генерации занимает довольно не кисло по времени и встраивать ее автоматически скорее приведет к батхертам, чем к чему-то толковому. Так что в базовой версии все ок, а дальше ручками-ручками.

PS: Кстати, а есть панели, которые делают автоматом все? Расскажите :)

[vsk]

так в итоге выяснил кто-то как эти сертификаты установить?

[skurudo]

так в итоге выяснил кто-то как эти сертификаты установить?

Точно также, как и остальные - при редактировании домена, ставите галку с поддержкой SSL и копируете текст из файликов, что вам выдал WoSign

viewtopic.php?f=29&t=3575&start=110#p29500

[differ]

Здравствуйте!
Добавил бесплатный сертификат от WoSign стандартными методами Vestacp.
Сертификат на сайте работает, зелененький замочек горит. и тут www.ssllabs.com проверял http://i.imgur.com/CAI81dO.png
но после подключения постоянно висит одно подключение по SSH http://i.imgur.com/kCL4Wup.png - что это может быть и как исправить?

p.s. подключал в панели так: http://i.imgur.com/O6BuFY1.png
Этот сайт www.ssllabs.com говорит что неправильная последовательность Chain issues Incorrect order, Extra certs http://i.imgur.com/9fgjUEH.png
как правильно выставить их?

[skurudo]

но после подключения постоянно висит одно подключение по SSH http://i.imgur.com/kCL4Wup.png - что это может быть и как исправить?

Семь бед - один резет (с) как говорили раньше.

Команда who покажет подключенных.