Nainstalujte certifikát SSL

Poté, co vygenerujete žádost o podpis certifikátu (CSR) a zakoupíte nebo obnovíte certifikát SSL (Secure Socket Layer), budete jej muset nainstalovat. Tento článek ukazuje, jak nainstalovat SSLcertificate na různé servery a operační systémy.

Pokud chcete nainstalovat certifikát SSL na nástroj pro vyrovnávání zatížení, přečtěte si část Konfigurace certifikátů SSL na nástroji pro vyrovnávání zatížení cloudu.

Následující části poskytují pokyny pro proces instalace podle jednotlivých platforem:

• Předpoklady

• Nainstalujte certifikát na servery Microsoft® Windows® 2008 R2 a 2012

• Nainstalujte certifikát na webový server Apache

• Nainstalujte certifikát do NGINX pomocí php-fpm

• Nainstalujte certifikát na řešení Managed Hosting

• Nainstalujte certifikát na vlastní doménu Microsoft® Azure®

• Otestujte certifikát

Po instalaci certifikátu byste měli znovu načíst službu webového serveru.

Předpoklady

Před instalací certifikátu se ujistěte, že máte následující položky:

• Certifikát od vašeho preferovaného dodavatele SSL uložený na vašem serveru. Pokud ještě certifikát nemáte, přečtěte si pokyny v části Vygenerování CSR a nákup nebo obnovení certifikátu SSL.

• Balíček certifikační autority (CA) s kořenovými a zprostředkujícími certifikáty poskytnutými dodavatelem SSL.

• Klíč .key soubor, který byl vygenerován při vytváření CSR.

• Nainstalovaný webový server, jako je Apache nebo NGINX.

• Adresa internetového protokolu (IP) vašeho certifikátu SSL.

Zkopírujte soubory do výchozího umístění na vašem serveru

Certifikát SSL od dodavatele obsahuje tři součásti:certifikát SSL, soubor CA a klíč SSL. Když od své CA obdržíte certifikát SSL, nahrajte jej na server pomocí následujících kroků:

1. Zkopírujte veškerý obsah certifikátu, včetně BEGIN CERTIFICATE a END CERTIFICATE linky. Uložte zkopírovaný text jako domain.com.crt .

2. Zkopírujte certifikát a soukromý klíč do adresáře serveru, ve kterém plánujete ukládat své certifikáty. Například výchozí adresáře Apache jsou:/usr/local/apache/conf/ssl.crt/ nebo/etc/httpd/conf/ssl.crt/ .

Instalovat certifikát na servery Windows

Následující části ukazují, jak nainstalovat a svázat certifikát SSL na servery Windows pomocí Správce Internetové informační služby (IIS).

Nainstalujte certifikát

Předpoklad:Měli byste již mít certifikát od vašeho preferovaného dodavatele SSL.

Pokud jste CSR získali pomocí čehokoli jiného než IIS, přeskočte na Import certifikátu SSL z jiného serveru.

Pokud jste CSR získali pomocí služby IIS, která spáruje veřejný klíč od vašeho dodavatele se soukromým klíčem generovaným službou IIS, použijte následující kroky.

1. Ve Správci služby IIS vyberte server a poklepejte na Certifikáty serveru .
2. V části Akce , klikněte na Dokončit žádost o certifikát .
3. V průvodci vyberte umístění souboru certifikátu poskytnutého vaším dodavatelem SSL.
4. Pouze pro Windows Server® 2012 , pojmenujte soubor a vyberte umístění úložiště.
5. Klikněte na tlačítko OK .

Importovat certifikát SSL z jiného serveru

1. Ve Správci služby IIS poklepejte na Certifikáty serveru .
2. V části Akce , klikněte na Importovat .
3. Vyberte umístění souboru certifikátu, zadejte heslo (pokud jste nastavili) a vyberte umístění úložiště certifikátu (pouze Windows Server 2012 ).
4. Klikněte na tlačítko OK .

Nastavte vazby

1. Ve Správci služby IIS klikněte pravým tlačítkem na svůj web a vyberte možnost Upravit vazby .
2. V Vazbách webu klikněte na tlačítko Přidat .
3. V Přidat vazbu webu dialogovém okně proveďte následující kroky:a. Nastavte hodnotu Typ na https .b. Pouze pro Windows Server 2012 , v případě potřeby zadejte název hostitele.c. Z Certifikátu SSL seznam, vyberte svůj certifikát.d. Klikněte na OK .

Po nastavení vazeb se zobrazí Vazby webu okno zobrazuje vazbu pro HTTPS.

Instalovat certifikát na webový server Apache

Následující části ukazují, jak nainstalovat a svázat certifikát SSL na webových serverech Apache

POZNÁMKA: Uvědomte si, že příkazy spouští uživatel root, pokud nemáte přístup k uživateli root, ale máte oprávnění sudo, použijte příkaz sudo na začátku každého řádku.

Předpoklad

Prvním krokem při přidávání vhost je ujistit se, že server má nainstalovaný apache a je spuštěný. To lze provést pomocí následujících příkazů. (Pokud již víte, že Apache je v provozu, můžete tento krok přeskočit).

RHEL 6/CentOS 6

$ service httpd status

RHEL 7/CentOS 7+

$ systemctl status httpd  

Debian 8+/Ubuntu 16+

$ systemctl status apache2

V tomto okamžiku, pokud Apache není nainstalován, zobrazí se chyba, že proces nelze nalézt. Zda na serveru běží Apache, můžete zkontrolovat pomocí následujícího příkazu:

$ netstat -plnt | awk '$4 ~ /:(80|443)$/'

Pokud zjistíte, že na serveru není spuštěn Apache, není to pro vás správná volba. Zkuste prosím jiný proces uvedený v tomto článku.

Zkontrolujte, zda je k dispozici modul SSL Apache

mod_ssl je volitelný modul pro Apache HTTP Server. Poskytuje silnou kryptografii pro webový server Apache. Bez toho nebude webový server Apache schopen využívat nebo poskytovat SSL šifrování.

Chcete-li zkontrolovat, zda byl modul SSL povolen, spusťte následující příkaz, abyste zjistili, jaký OS používáte:

RHEL / CentOS

$ httpd -M | grep ssl

Pokud není přijat žádný výstup, mod_ssl (sdílený) vyžaduje instalaci, aby obsluhoval provoz SSL.

Spusťte následující příkaz pro instalaci mod_ssl:

# For RHEL 7/ CentOS 7
$ yum install mod_ssl

# For RHEL 8/ CentOS 8 / Alma Linux / Rocky Linux.
$ dnf install mod_ssl

Chcete-li zkontrolovat, zda byl modul SSL povolen, spusťte následující příkaz:

$ apachectl -M | grep ssl
 ssl_module (shared)

Debian/Ubuntu

Chcete-li zkontrolovat, zda byl modul SSL povolen, spusťte následující příkaz:

$ apachectl -M | grep ssl
 ssl_module (shared)

Pokud se nezobrazí žádný výstup, mod_ssl (sdílený) vyžaduje povolení pro provoz SSL. Spuštěním následujícího příkazu povolte mod_ssl

$ a2enmod ssl

Po instalaci mod_ssl bude Apache vyžadovat restart, aby se aktivoval. Spusťte příslušný distribuční příkaz pro restart Apache, najdete jej v sekci reload or restart web server.

Instalace a zabezpečení komponent SSL na serveru

Nyní, když máte Certifikát SSL , Soukromý klíč a balíček CA jste připraveni přidat tyto certifikáty na server. Osvědčené postupy diktují, aby byly certifikáty pojmenovány (expirationYear-domain, např.:2022-example.com.crt) a uloženy v následujících umístěních.

RHEL/CentOS

Pomocí preferovaného textového editoru vytvořte nové soubory v umístěních uvedených níže. Nezapomeňte změnit example.com na název domény na serveru.

SSL Certificate - /etc/pki/tls/certs/2022-example.com.crt
SSL CA Bundle  - /etc/pki/tls/certs/2022-example.com.CA.crt
SSL Private Key - /etc/pki/tls/private/2022-example.com.key

Debian/Ubuntu

Pomocí preferovaného textového editoru vytvořte nové soubory v umístěních uvedených níže. Nezapomeňte změnit example.com na název domény na serveru.

Certifikát SSL – /etc/ssl/certs/2022-example.com.crtSSL CA Bundle – /etc/ssl/certs/2022-example.com.CA.crtSSL Private Key – /etc/ssl/private/2022-example. com.key

POZNÁMKA: Když je nainstalovaný soukromý klíč s celosvětově čitelnými oprávněními, umožňuje komukoli s přístupem i k uživatelskému účtu na serveru dešifrovat jakékoli informace zašifrované příslušným certifikátem. Je důležité zajistit, aby certifikát a klíč měly správná oprávnění.

Jakmile budou součásti certifikátu SSL nainstalovány na správná místa, je důležité, abychom nastavili správná oprávnění pro soubor soukromého klíče.

$ chmod 600 /path/to/private/key/file.key

Vytvoření nebo úprava souboru VirtualHost

RHEL/CentOS

Soubory virtuálního hostitele specifikují konfiguraci našich samostatných stránek a určují, jak bude webový server Apache reagovat na různé požadavky domény.

Osvědčený postup Rackspace určuje, že virtuální hostitel je umístěn v následujících umístěních:

• /etc/httpd/conf.d/example.com.conf

Alternativní umístění virtuálního hostitele Apache může být:

• /etc/httpd/conf/httpd.conf (výchozí konfigurační soubor Apache, také široce využívaný Webminem)
• /etc/httpd/conf.d/ssl.conf (globální výchozí konfigurační soubor pro SSL)
• /etc/httpd/vhost.d/example.com.conf (vhost.d je adresář vytvořený uživatelem a ačkoli je přiměřeně běžný, není to nejlepší postup)

POZNÁMKA: :Kvůli konfiguracím, které jsme nastínili, musí všechny soubory virtuálního hostitele končit příponou .conf. Pro účely tohoto příkladu budeme předpokládat, že virtuální hostitel pro port 80 již existuje v jeho vlastním konfiguračním souboru.

Začněte otevřením souboru virtuálního hostitele ve vašem preferovaném textovém editoru:

$ vim /etc/httpd/conf.d/example.com.conf

Pokud byl virtuální hostitel portu 80 nakonfigurován Rackspace, ve většině případů by byl vytvořen fiktivní blok 443 jako zástupný symbol. Pokud ano, můžete odstranit znak komentáře na začátku každého řádku a upravit sekci podle potřeby.

Je třeba ověřit několik věcí:

• Název_serveru/Alias ​​serveru odpovídá vaší doméně
• Root dokumentu odpovídá bloku portu 80
• Sekce Adresář odpovídá bloku portu 80

Umístěte následující do svého virtuálního hostitele pro blok 443:

SSLEngine on
SSLCertificateFile      /etc/pki/tls/certs/2022-example.com.crt
SSLCertificateChainFile /etc/pki/tls/certs/2022-example.com.CA.crt
SSLCertificateKeyFile   /etc/pki/tls/private/2022-example.com.key

Debian/Ubuntu

Soubory virtuálního hostitele specifikují konfiguraci našich samostatných stránek a určují, jak bude webový server Apache reagovat na různé požadavky domény.

Osvědčený postup Rackspace určuje, že virtuální hostitel je umístěn v následujících umístěních:

• /etc/apache2/sites-available/example.com.conf

Tento adresář je umístění, kde je uložen konfigurační soubor. Poté je symbolicky propojen s /etc/apache2/sites-enabled/example.com.conf

POZNÁMKA :Kvůli konfiguracím, které jsme nastínili, musí všechny soubory virtuálního hostitele končit příponou .conf. Pro účely tohoto příkladu budeme předpokládat, že virtuální hostitel pro port 80 již existuje v jeho vlastním konfiguračním souboru.

Začněte otevřením souboru virtuálního hostitele ve vašem preferovaném textovém editoru:

$ vim /etc/apache2/sites-available/example.com.conf

Pokud byl virtuální hostitel portu 80 nakonfigurován Rackspace, ve většině případů by byl vytvořen fiktivní blok 443 jako zástupný symbol. Pokud ano, můžete odstranit znak komentáře na začátku každého řádku a upravit sekci podle potřeby.

Je třeba ověřit několik věcí:

• Název_serveru/Alias ​​serveru odpovídá vaší doméně
• Root dokumentu odpovídá bloku portu 80
• Sekce Adresář odpovídá bloku portu 80

Umístěte následující do svého virtuálního hostitele pro blok 443:

<VirtualHost *:443>
        ServerName      example.com
        ServerAlias     www.example.com
        DocumentRoot    /var/www/vhosts/example.com
        <Directory /var/www/vhosts/example.com>
                Options -Indexes +FollowSymLinks -MultiViews
                AllowOverride All
        </Directory>

        CustomLog   /var/log/apache2/example.com-access.log combined
        ErrorLog    /var/log/apache2/example.com-error.log

        SSLEngine on
        SSLCertificateKeyFile   /etc/ssl/private/2022-example.com.key
        SSLCertificateFile      /etc/ssl/certs/2022-example.com.crt
        SSLCertificateChainFile /etc/ssl/certs/2022-example.com.ca.crt
</VirtualHost>

Kontrola syntaxe a povolení virtuálního hostitele v Apache

Nyní, když byly vytvořeny konfigurační soubory Document Root a Virtual Host, můžeme zkontrolovat syntaxi konfiguračních souborů a znovu načíst Apache.

UPOZORNĚNÍ :Následující kroky mohou vést k přerušení procesu Apache. Ujistěte se, že jsou tyto kroky přesně dodrženy a že po provedení změn ověříte svou práci. Pokud provedené změny vedou k zastavení procesu Apache, znamená to, že domény na serveru jsou nyní mimo provoz. Vraťte všechny provedené změny a ujistěte se, že proces Apache běží, nebo zavolejte na globální podporu Rackspace

RHEL/CentOS 6

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ httpd -t
Syntax OK

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech Apache může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK.

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz a znovu načtěte Apache:

$ apachectl graceful

Jakmile bude Apache znovu načten, nezapomeňte zkontrolovat, zda Apache běží podle očekávání, jak je popsáno v části Předpoklady.

RHEL/CentOS 7

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ httpd -t
Syntax OK

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech Apache může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK.

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz a znovu načtěte Apache:

$ apachectl graceful

Jakmile bude Apache znovu načten, nezapomeňte zkontrolovat, zda Apache běží podle očekávání, jak je popsáno v části Předpoklady.

Debian/Ubuntu

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ apachectl -t

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech Apache může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz a znovu načtěte Apache:

$ apachectl graceful

Jakmile bude Apache znovu načten, nezapomeňte zkontrolovat, zda Apache běží podle očekávání, jak je popsáno v části Předpoklady.

Instalovat certifikát v Nginx s PHP-FPM

Následující části ukazují, jak nainstalovat a svázat certifikát SSL na webových serverech NGINX

POZNÁMKA: Uvědomte si, že příkazy spouští uživatel root, pokud nemáte přístup k uživateli root, ale máte oprávnění sudo, použijte příkaz sudo na začátku každého řádku.

Předpoklad

Prvním krokem při přidávání bloku serveru je ujistit se, že server má nainstalovaný Nginx a je spuštěn. To lze provést pomocí následujících příkazů.

RHEL/CentOS 6

$ service nginx status

RHEL 7+/CentOS 7+/Debian 8+/Ubuntu 16+

$ systemctl status nginx

Pokud v tomto okamžiku není nainstalován NGINX, zobrazí se chyba, že proces nelze nalézt. Můžete zkontrolovat, zda server běží Nginx pomocí následujícího příkazu:

$ netstat -plnt | awk '$4 ~ /:(80|443)$/'

Pokud zjistíte, že na serveru není spuštěn NGINX, není to správný proces. Zkuste prosím jiný proces, který je popsán v tomto článku.

Instalace a zabezpečení komponent SSL na serveru

Nyní, když máte Certifikát SSL , Soukromý klíč a balíček CA jste připraveni přidat tyto certifikáty na server. Osvědčené postupy diktují, aby byly certifikáty pojmenovány (expirationYear-domain, např.:2022-example.com.crt) a uloženy v následujících umístěních.

RHEL/CentOS

NGINX používá pouze dva soubory certifikátů pro každý blok serveru. Soubory CA Bundle a Certificate jsou sloučeny do jednoho souboru. Existují dva způsoby, jak nastavit zřetězený certifikát pro použití s ​​Nginx.

Pomocí preferovaného textového editoru vytvořte nové soubory v umístěních uvedených níže. Nezapomeňte změnit příklad. com na název domény na serveru.

První metodou je jednoduše přidat obsah CRT i CA Bundle do jednoho souboru ve správném umístění certifikátu. To je znázorněno v příkladu níže:

• Certifikát/řetěz SSL – /etc/pki/tls/certs/2022-example.com.chained.crt
• Soukromý klíč SSL – /etc/pki/tls/private/2022-example.com.key

Druhá metoda zahrnuje další krok, ve kterém přidáte balíček CA jako vlastní soubor na server a poté soubory zřetězíte do nového souboru. To je ukázáno v příkladu níže.

SSL Certificate - /etc/pki/tls/certs/2022-example.com.crt
SSL CA Bundle  - /etc/pki/tls/certs/2022-example.com.CA.crt
SSL Private Key - /etc/pki/tls/private/2022-example.com.key

Po vytvoření souborů můžete spustit následující příkaz:

cat /etc/pki/tls/certs/2022-example.com.crt /etc/pki/tls/certs/2022-example.com.CA.crt > /etc/pki/tls/certs/2022-example.com.chained.crt

Debian/Ubuntu

NGINX používá pouze dva soubory certifikátů pro každý blok serveru. Soubory CA Bundle a Certificate jsou sloučeny do jednoho souboru. Existují dva způsoby, jak nastavit zřetězený certifikát pro použití s ​​Nginx.

Pomocí preferovaného textového editoru vytvořte nové soubory v umístěních uvedených níže. Nezapomeňte změnit example.com na název domény na serveru.

První metodou je jednoduše přidat obsah CRT i CA Bundle do jednoho souboru ve správném umístění certifikátu. To je znázorněno v příkladu níže:

Certifikát/řetěz SSL – /etc/ssl/certs/2022-example.com.chained.crtSSL Soukromý klíč – /etc/ssl/private/2022-example.com.key

Druhá metoda zahrnuje další krok, ve kterém přidáte balíček CA jako vlastní soubor na server a poté soubory zřetězíte do nového souboru. To je ukázáno v příkladu níže.

SSL Certificate - /etc/ssl/certs/2022-example.com.crt
SSL CA Bundle  - /etc/ssl/certs/2022-example.com.CA.crt
SSL Private Key - /etc/ssl/private/2022-example.com.key

Po vytvoření souborů můžete spustit následující příkaz:

cat /etc/ssl/certs/2022-example.com.crt /etc/ssl/certs/2022-example.com.CA.crt > /etc/ssl/certs/2022-example.com.chained.crt

POZNÁMKA: Když je nainstalovaný soukromý klíč s celosvětově čitelnými oprávněními, umožňuje komukoli s přístupem i k uživatelskému účtu na serveru dešifrovat jakékoli informace zašifrované příslušným certifikátem. Je důležité zajistit, aby certifikát a klíč měly správná oprávnění.

Jakmile budou součásti certifikátu SSL nainstalovány na správná místa, je důležité, abychom nastavili správná oprávnění pro soubor soukromého klíče.

    chmod 600 /path/to/private/key/file.key

Vytvoření modifikace bloků serveru ve virtuálním hostiteli

RHEL/CentOS

Soubory virtuálního hostitele specifikují konfiguraci našich samostatných stránek a určují, jak bude webový server Nginx reagovat na různé požadavky domény.

Osvědčený postup Rackspace určuje, že virtuální hostitel je umístěn v následujících umístěních:

• /etc/nginx/conf.d/example.com.conf

Alternativní umístění virtuálního hostitele Nginx může být...

• /etc/nginx/conf/httpd.conf (výchozí konfigurační soubor Apache, také široce využívaný Webminem)
• /etc/nginx/conf.d/ssl.conf (globální výchozí konfigurační soubor pro SSL)
• /etc/nginx/vhost.d/example.com.conf (vhost.d je adresář vytvořený uživatelem a ačkoli je přiměřeně běžný, není to nejlepší praxe Rackspace)

POZNÁMKA :Kvůli konfiguracím, které jsme nastínili, musí všechny soubory virtuálního hostitele končit příponou .conf. Pro účely tohoto příkladu budeme předpokládat, že virtuální hostitel pro port 80 již existuje v jeho vlastním konfiguračním souboru.**

Začněte otevřením souboru virtuálního hostitele ve vašem preferovaném textovém editoru:

$ vim /etc/nginx/conf.d/example.com.conf

Je třeba ověřit několik věcí:

• Název_serveru/Alias ​​serveru odpovídá vaší doméně
• Root dokumentu odpovídá bloku portu 80
• Sekce Adresář odpovídá bloku portu 80

Budete muset změnit example.com pro název svého webu a umístit jej do svého virtuálního hostitele:

server {
    listen              443;

    server_name         example.com www.example.com;
    root                /var/www/vhosts/example.com;
    index               index.html;

    ssl                 on;
    ssl_certificate     /etc/pki/tls/certs/2022-example.com.chained.crt;
    ssl_certificate_key /etc/pki/tls/private/2022-example.com.key;

    access_log          /var/log/nginx/example.com_ssl_access.log main;
    error_log           /var/log/nginx/example.com_ssl_error.log;
}

Po provedení změn v příslušných konfiguračních souborech soubor uložte a ukončete.

Debian/Ubuntu

Soubory virtuálního hostitele specifikují konfiguraci našich samostatných stránek a určují, jak bude webový server Nginx reagovat na různé požadavky domény.

Osvědčený postup Rackspace určuje, že virtuální hostitel je umístěn v následujících umístěních:

• /etc/nginx/sites-available/example.com.conf

Tento adresář je umístění, kde je uložen konfigurační soubor. Poté je symbolicky propojen s /etc/nginx/sites-enabled/example.com.conf

POZNÁMKA :Kvůli konfiguracím, které jsme nastínili, musí všechny soubory virtuálního hostitele končit příponou .conf. Pro účely tohoto příkladu budeme předpokládat, že virtuální hostitel pro port 80 již existuje v jeho vlastním konfiguračním souboru.

Začněte otevřením souboru virtuálního hostitele ve vašem preferovaném textovém editoru:

vim /etc/nginx/sites-available/example.com.conf

Je třeba ověřit několik věcí:

• Název_serveru/Alias ​​serveru odpovídá vaší doméně
• Root dokumentu odpovídá bloku portu 80
• Sekce Adresář odpovídá bloku portu 80

Budete muset změnit example.com pro název svého webu a umístit jej do svého virtuálního hostitele:

server {
    listen              443;

    server_name         example.com www.example.com;
    root                /var/www/vhosts/example.com;
    index               index.html;

    ssl                 on;
    ssl_certificate     /etc/pki/tls/certs/2022-example.com.chained.crt;
    ssl_certificate_key /etc/pki/tls/private/2022-example.com.key;

    access_log          /var/log/nginx/example.com_ssl_access.log main;
    error_log           /var/log/nginx/example.com_ssl_error.log;
}

Po provedení změn v příslušných konfiguračních souborech soubor uložte a ukončete.

Zkontrolujte syntaxi a povolte bloky serveru v Nginx

Nyní, když byly nakonfigurovány kořenový adresář dokumentu a bloky serveru, můžeme zkontrolovat syntaxi konfigurace a znovu načíst Nginx.

UPOZORNĚNÍ :Následující kroky mohou vést k přerušení procesu Apache. Ujistěte se, že jsou tyto kroky přesně dodrženy a že po provedení změn ověříte svou práci. Pokud provedené změny vedou k zastavení procesu Apache, znamená to, že domény na serveru jsou nyní mimo provoz. Vraťte všechny změny a ujistěte se, že proces Apache běží, nebo zavolejte na globální podporu Rackspace

RHEL/CentOS 6

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech NGINX může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení Nginx:

$ service nginx reload

Jakmile bude NGINX znovu načten, nezapomeňte zkontrolovat, zda Nginx běží podle očekávání, jak je popsáno v části Předpoklady.

Pokud jste provedli nějaké změny s PHP-FPM, budete také muset zkontrolovat syntaxi PHP-FPM a znovu načíst.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech PHP-FPM může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení PHP=FPM:

$ service php-fpm reload

RHEL/CentOS 7

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech Nginx může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení Nginx:

$ systemctl reload nginx

Jakmile bude Nginx znovu načten, nezapomeňte zkontrolovat, zda Nginx běží podle očekávání, jak je popsáno v části Předpoklady.

Pokud jste provedli nějaké změny s PHP-FPM, budete také muset zkontrolovat syntaxi PHP-FPM a znovu načíst.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech PHP-FPM může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení PHP=FPM:

$ systemctl reload php-fpm    

Debian/Ubuntu

Chcete-li ověřit správnost syntaxe konfiguračních souborů, budete muset spustit následující příkaz:

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech Nginx může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení Nginx:

$ systemctl reload nginx

Jakmile bude Nginx znovu načten, nezapomeňte zkontrolovat, zda Nginx běží podle očekávání, jak je popsáno v části Předpoklady.

Pokud jste provedli nějaké změny s PHP-FPM, budete také muset zkontrolovat syntaxi PHP-FPM a znovu načíst.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Pokud je vše zkontrolováno, zobrazí se zpráva, že Syntaxe je v pořádku .

Pokud tuto zprávu nevidíte, znamená to, že ve vašich konfiguračních souborech PHP-FPM může být problém se syntaxí.

UPOZORNĚNÍ: Tyto chyby bude nutné před dokončením dalšího kroku odstranit. Nepokračujte, dokud neobdržíte zprávu Syntax OK

Jakmile se kontrola syntaxe vrátí OK, spusťte následující příkaz pro opětovné načtení PHP=FPM:

$ systemctl reload php-fpm    

Instalovat certifikát na řešení Managed Hosting

Pokud jste požádali o certifikát SSL pro svůj spravovaný server Rackspace odesláním lístku Rackspace, Rackspace vám certifikát nainstaluje. Měli byste poskytnout podrobnosti včetně místa, kam chcete certifikát nainstalovat, a souboru vašeho soukromého klíče.

Instalace certifikátu na vlastní doménu Microsoft Azure

Ve výchozím nastavení Azure zabezpečuje .azurewebsites.net zástupná doména s jediným certifikátem SSL, takže ke své aplikaci již můžete přistupovat pomocí https://.azurewebsites.net URL.

Výchozí certifikát Azure SSL však nefunguje, pokud pro svou aplikaci používáte vlastní doménu. Vlastní doména s vlastním certifikátem SSL je bezpečnější než výchozí. The following sections describe how to add anSSL certificate to an application with a custom domain.

Prerequisite

You need your login credentials for the Azure portal. For information abouthow to log in to the Azure portal, seeSitecore Cloud portals and account management.

Get an SSL certificate

If you do not already have SSL certificate, you need to get one from a trustedCA. The certificate must meet all of the following requirements:

• Signed by a trusted CA (no private CA servers).

• Contains a private key.

• Created for key exchange and exported to a .pfx soubor.

• Uses a minimum of 2048-bit encryption.

• Has a subject name that matches the custom domain it needs to secure. Tosecure multiple domains with one certificate, you need to use a wildcard name(for example, .contoso.com ) or specify the subjectAltName values.

• Merged with all intermediate certificates used by your CA. Otherwise, youmight experience irreproducible interoperability problems on some clients.

For more information on getting a certificate, seegenerate a certificate signing request (CSR)and purchase or renew a Secure Socket Layer (SSL certificate.

Add the SSL certificate to Microsoft Azure

1. Log in to the Azure portal.

2. In the left-side navigation pane, click App services .

3. Select the application to which you want to assign the certificate.

4. Navigate to Settings and then click SSL certificate .

5. Click Upload Certificate .

6. Select the .pfx file that contains your SSL certificate and enter thepassword that you want to use for this certification.

7. Click Upload .

   You can now navigate to the SSL certificate through the application pane.

8. In the SSL bindings section of the SSL certificate pane, clickAdd bindings .

   A new pane labeled SSL Bindings appears.

9. Use the drop-down menus to select the custom domain URL you want to secureby using SSL, followed by the name of SSL certificate. You can also selectwhether to use Server Name Indication (SNI) SSL or IP-based SSL .

10. Click Add binding .

    SSL is now enabled for your custom domain.

Test the certificate

The best way to test a certificate is to use a third-party tool like theQualys® SSLLabs scanner. If you needassistance in improving the security configuration of your certificate, contactRackspace Support.

NOTE :If you browse to your website by using the Hypertext Transfer ProtocolSecure (HTTPS) protocol directive, the padlock icon on your browser is displayedin the locked position if your certificates are installed correctly and the serveris properly configured for SSL.

Another way to test the certificate is to go to whynopadlock.com.Enter your URL in Secure Address , and it shows any discrepancies that couldcause the site to be unsecure, such as mixed content issues.

Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.