SSL
SSL (ang. Secure Socket Layer) zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a niekiedy również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. Na serwerach MyDevil konfiguracja SSL odbywa się za pomocą panelu administracyjnego DevilWEB oraz polecenia devil ssl
.
Spis treści
SNI
Na serwerach MyDevil jest możliwość skorzystania z własnego certyfikatu bez prywatnego adresu IP za pomocą technologi SNI. Niestety nie jest ona kompatybilna ze wszystkimi starszymi przeglądarkami.
CSR
Plik CSR (Certificate signing request) jest niezbędny do złożenia zamówienia i wystawienia certyfikatu SSL.
Aby wygenerować plik CSR należy zalogować się na konto, a następnie użyć polecenia openssl req -new -nodes -newkey rsa:2048 -out req.pem -keyout cert.key
. Wygenerowany w ten sposób plik req.pem
należy przesłać do firmy, która udostępni certyfikat. Plik cert.key
jest potrzebny po stronie serwera. Należy go bezpiecznie przechowywać i nie udostępniać osobom trzecim. Jego zgubienie uniemożliwi instalację certyfikatu.
Certyfikaty pośrednie
Każda z przeglądarek ma swoją bazę zaufanych wystawców certyfikatów. Nowy wystawca zamiast czekać na aktualizację takiej bazy generuje certyfikat pośredni. Aby tak wydany certyfikat zadziałał należy je połączyć w jeden plik (SSL certificate chains). O kolejności ich połączenia powinien poinformować dostawca. Certyfikat łączony należy połączyć z domeną.
- Linux
Aby połączyć certyfikaty pośrednie należy wykonać polecenie cat domena.crt bundle1.crt bundle2.crt bundle3.crt (...) > domena.chained.crt
(domena.chained.crt jest efektem naszych działań - łączonym certyfikatem).
- Windows
Aby połączyć certyfikaty pośrednie należy wykorzystać program Notepad++ (link), bądź jakikolwiek inny (oprócz Notatnika) edytor tekstu obsługujący różne kodowania znaków. Tworzymy nowy plik tekstowy, następnie otwieramy certyfikaty i kolejno (najpierw certyfikat domeny, a później certyfikaty pośrednie w kolejności przedstawionej przez dostawcę) przekopiowujemy zawartość plików certyfikatów do nowo utworzonego pliku. Ostatecznie zapisujemy nowy plik - możemy nadawać mu nazwę domena.chained o rozszerzeniu crt, czyli domena.chained.crt.
Wymagania
Aby móc korzystać z SSL należy posiadać:
- wykupiony prywatny adres IP (tylko w przypadku nie korzystania z SNI),
- aktualny certyfikatu SSL oraz niechroniony hasłem klucz.
DevilWEB
Po zalogowaniu się do panelu administracyjnego zarządzanie SSL znajduje się w zakładce SSL. Zarządzenie certyfikatami WWW znajduje się w zakładce WWW. W przypadku braku własnego adresu IP można skorzystać z SNI. Zarządzenie certyfikatami pocztowymi znajduje się w zakładce Poczta. Po kliknięciu przycisku Zarządzaj przy adresie IP wyświetli się lista certyfikatów dla tego adresu. Aby dodać certyfikat należy przejść do zakładki + Dodaj certyfikat. Należy wybrać plik certyfikatu, plik z kluczem oraz nazwę domeny na którą został wydany certyfikat.
Devil
Dodawanie i usuwanie certyfikatu WWW
Dodawanie certyfikatu do strony www odbywa się za pomocą polecenia devil ssl www add adres_ip certyfikat klucz [Nazwa domeny]
, gdzie argumentami są:
- adres_ip - prywatny adres IP użytkownika lub serwera WWW,
- certfikat - ścieżka do pliku z certyfikatem,
- klucz -ścieżka do pliku z kluczem SSL nie chronionego hasłem,
- [Nazwa domeny] - nazwa domeny do konfiguracji SNI.
Usuwanie certyfikatu WWW odbywa się za pomocą polecenia devil ssl www del adres_ip [Nazwa domeny]
Lista certyfikatów www
Lista certyfikatów jest dostępna po wykonaniu polecenia devil ssl list
.
Dodawanie i usuwanie certyfikatu mailowego
Dodawanie certyfikatu mailowego odbywa się za pomocą polecenia devil ssl mail add adres_ip certyfikat klucz
, gdzie argumentami są:
- adres_ip - prywatny adres IP użytkownika lub serwera WWW
- certfikat - ścieżka do pliku z certyfikatem
- klucz -ścieżka do pliku z kluczem SSL nie chronionego hasłem
Usuwanie certyfikatu mail odbywa się za pomocą polecenia devil ssl www mail adres_ip
Lista certyfikatów mailowych
Lista certyfikatów mailowych jest dostępna po wykonaniu polecenia devil ssl mail
.