Создаём SSL сертификат
И так для создания сертификата нам нужно сделать следующее:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
Данная команда создаст самоподписной сертификат стандарта Х.509 сразу на 10 лет с пропуском опции защиты сертификата парольной фразой — это нужно чтобы при запуске сервер Apache имел возможность читать файл без вмешательства пользователя, так как установив пароль, придется вводить его после каждой загрузки или перезагрузки сервера. В Вместе с сертификатом будет создан новый ключ RSA на 2048 бит, которым и будет подписан сертификат. Опции –keyout и –out указывают пути, по которым OpenSSL должен сгенерировать ключ и сертификат.
В процессе создания сертификата будут заданы вопросы, для примера:
Country Name = RU State or Province Name = Moscow Locality Name = Moscow Organization Name = Example Organizational Unit Name = 2 Common Name = example.com Email Address = [email protected]
Делее создаём ключи Диффи-Хелмана, для обеспечения поддержки PFS:
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
В терминале побегут точечки и плюсики и после окончания можно создать файл ssl-params.conf, в котором будут определены параметры SSL для сервера.
Обсудить этот пост