ssl — VOIP-LAB

Подключаем wildcard certificate на домен с помощью letsencrypt

Недавно letsencrypt анонсировал поддержку wildcard сертификатов. Это значит, что теперь вы можете закрыть все ваши поддомены одним сертификатом. Итак, давайте сделаем это =)

apt-get update
apt-get install git
git clone https://github.com/certbot/certbot
cd certbot
letsencrypt-auto certonly -d *.somedomain.com --server https://acme-v02.api.letsencrypt.org/directory --manual

apt-get update

apt-get install git

git clone https://github.com/certbot/certbot

cd certbot

letsencrypt-auto certonly -d *.somedomain.com --server https://acme-v02.api.letsencrypt.org/directory --manual

После чего вы увидите такую фразу

Please deploy a DNS TXT record under the name
_acme-challenge.somedomain.com with the following value:

p0J6qdVIrElQWO_k9lsl5KVMPPfm0QO80EFInxtCGOg

Before continuing, verify the record is deployed.
--------------------------------------------------

Please deploy a DNS TXT record under the name

_acme-challenge.somedomain.com with the following value:

p0J6qdVIrElQWO_k9lsl5KVMPPfm0QO80EFInxtCGOg

Before continuing, verify the record is deployed.

--------------------------------------------------

Добавляйте текстовую запись в ваш DNS и жмете enter. Bingo =)

Можно почитать

Конвертируем pfx в crt и key файл

Итак, есть виндовый pfx. Решили закрыть backend nginx-ом. Надо конвертить сертификат, чтобы nginx его понял. Открываем консоль и пишем

openssl pkcs12 -in [yourfile.pfx] -nocerts -out [keyfile-encrypted.key]
openssl pkcs12 -in [yourfile.pfx] -clcerts -nokeys -out [certificate.crt]
openssl rsa -in [keyfile-encrypted.key] -out [keyfile-decrypted.key]

openssl pkcs12 -in [yourfile.pfx] -nocerts -out [keyfile-encrypted.key]

openssl pkcs12 -in [yourfile.pfx] -clcerts -nokeys -out [certificate.crt]

openssl rsa -in [keyfile-encrypted.key] -out [keyfile-decrypted.key]

На выходе получаем [certificate.crt] и [keyfile-decrypted.key]. Теперь можно поднимать ssl на nginx

Конвертирование сертификатов (PEM/P7B/PFX/DER)

Форматы сертификатов можно менять при помощи команд OpenSSL или посредством инструментов Конвертор SSL. Есть еще отличный online-конвертер.

Ниже указаны наиболее употребляемые комманды:

I. Конвертирование файлов PEM
PEM в DER
openssl x509 -outform der -in certificate.pem -out certificate.der
PEM в P7B
openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
PEM в PFX
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

II. Конвертирование файлов P7B
P7B в PEM openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
P7B в PFX
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

III. Конвертирование файлов PFX
PFX в PEM
openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

IV. Конвертирование файлов DER
DER в PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem

Источник: https://ssl4less.ru/faq/ehniceskie-voprosy/onvertirovanie-sertifikatov-pem-p7b-pfx-der.html

Установка корневых сертификатов в Linux Mint / Ubuntu / Debian

Для того чтобы добавить корневые сертификаты необходимо выполнить 3 простых шага.

1. Создаем каталог для CA сертификатов /usr/share/ca-certificates

sudo mkdir /usr/share/ca-certificates/extra

1	sudo mkdir /usr/share/ca-certificates/extra

2. Копируем ‘.crt’ файл в созданный ранее каталог

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

1	sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

3. Переконфигурируем пакет ca-certificates

sudo dpkg-reconfigure ca-certificates

1	sudo dpkg-reconfigure ca-certificates

Выделяем нужные сертификаты и жмем ОК.

HOWTO: SSL и NGINX

В данной заметке я расскажу как быстро привязать ssl сертификат к nginx. Испытания мы проведем тестовом сервере с тестовым сертификатом, который запросим у Comodo.

Итак, для начала определимся что у нас есть. А есть у нас один nginx сервер который смотрит в Интернет. И, для простоты, один внутренний (с ip 10.10.10.10) для которого и будет создаваться стандартное и ssl подключение. Конечно, серверов может быть сколько угодно. Но мы с вами сейчас не будем усложнять. (далее…)

VOIP-LAB