Включаем SSL в Apache (Debian или Ubuntu)

Прежде всего, нам необходимо, чтобы SSL была установлена и Apache имел установленный мод SSL. Проверить - установлен ли OpenSSL можно командой:


Если команда вернула пустоту - идем ставить OpenSSL - без него работать не будет.


Установка OpenSSL



mod_ssl в Apache

Нам необходимо так-же, чтобы в Apache был включен mod_ssl. Проверяем это:


Если команда вернула пустоту - нам нужно включить этот мод. Для этого выполняем:


Тут предполагается, что mod_ssl установлен в Apache. Так, с сервером LAMP он идет сразу, если же Apache собирался Вами из исходников и мода ssl нет, то придется его собрать отдельно.


Генерация сертификатов.

Создайте директорию, в которой будут храниться сертификаты. Вы можете хранить их как в директории самого Apache, так и в любом доступном для Apache месте, например, в каталоге сайта.


Теперь приступим к созданию сертификатов.


Здесь нас запросят ввести ключевую фразу, используемую в дальнейшем для авторизации ключа сервера. Внимательно вводите эту фразу - она нам понадобится во всех следующих шагах, в том числе ее нужно будет указать в конфиге Apache!

Заметка. Если процесс зависает и ничего не делает - прерываем его Ctrl+C и вместо "/dev/random" используем "/dev/urandom".

Далее.


Здесь нас запросят ввести некоторое количество данных, помещаемых в сертификат. Вводите то, что считаете нужным, кроме строчки Common name. В этой строчке необходимо указать FQDN адрес сайта, с которого будет выдаваться сертификат (например, mysite.ru). Если это не сделать, то браузеры будут считать это ошибкой и помечать, что сертификат имеет неправильное Common name. В другой стороны - самоподписанный (как в нашем случае) сертификат они все равно не любят, т. ч. одной ошибкой больше, одной меньше - Ваше дело, особенно если Вы хотите использовать один сертификат на несколько сайтов сразу.

Вместо mysite.csr можно использовать название, похожее на название сайта - это уже файл, относящийся к сайту.

Extra-атрибуты можно не указывать совсем.

Далее.


Цифра 3650 - это количество дней, которые сертификат будет действителен. Стандартное значение - 365 - нередко слишком мало из-за того, что каждый год сертификаты обновлять администраторы забывают.


Здесь следует отметить следующие моменты:

а) Файлы server.* - это файлы, на основе которых будут образованы все остальные сертификаты сайтов. Их генерировали мы один раз.

б) Для другого сайта (второго, третьего и т.д.) файлы server.key и server.pem генерировать не надо!

в) Ключ-фразу придется использовать эту же для генерации остальных сертификатов (для других сайтов).


Настройка Apache

Сертификаты у нас готовы, самое время настроить Apache для поддержки SSL/HTTPS.


1) Идем в /etc/apache2/mods-enabled и редактируем файл ssl.conf

Найдите фразу


и замените на



2) Открываем на редактирование файл /etc/apache2/ports.conf

В блоке "<IfModule mod_ssl.c>" перед закрытием блока, после строчки "Listen 443" добавляем строчку "NameVirtualHost *:443":



3) Редактируем файл /etc/apache2/sites-available/default-ssl и меняем в нем "<VirtualHost _default_:443>" на "<VirtualHost *:443>":



4) Создаем новый файл /etc/apache2/sslpwd.sh со следующим содержанием:


где вместо "ваша_ключевая_фраза" укажите ту фразу, которую Вы использовали при создании сертификатов, тоже в кавычках (так надежнее). И дайте права запуска этому файлу:



5) Теперь нам надо настроить сам сайт, чтобы он мог работать с SSL. Для этого открываем конфиг нашего сайта из /etc/apache2/sites-enabled/mysite.ru

Вместо mysite.ru - имя файла конфига Вашего сайта.

Для того, чтобы сайт был доступен по SSL нужно завести отдельный конфиг для 443-го порта. При этом на одинаковое имя сервера (ServerName) может быть как HTTP, так и HTTPS конфиги. Ниже приведен пример конфига сайта, который как раз может быть доступен как по HTTPS, так и по HTTP.



6) Перезапускаем Apache:


Все, сайт mysite.ru будет доступен как через HTTP, так и через HTTPS. Можно HTTP версию прикрыть, конечно. Для этого достаточно убрать всю секцию: