1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Добиваемся a+ для сертификатов от wosign

Тема в разделе "Администрирование", создана пользователем Хулиган, 28 май 2015.

  1. Хулиган
    Хулиган Команда форума Продвинутый
    Симпатии:
    242
    Всем привет.
    Сейчас покажу как у меня получилось добиться A+ для сертификата от wosign.
    То что было описано на хабре для меня не подошло, а точнее подошло но не совсем.
    Все выполнялось на Debian 7 x64 + Ispmanager 4 pro (Подразумевается что вы уже установили сертификат)

    Для начала создадим папку

    Код:
    mkdir /etc/nginx/ssl/
    Далее
    Код:
     openssl dhparam -out dhparam.pem 2048
    Теперь промежуточные сертификаты
    Код:
    wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null
    wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null
    wget -O - http://aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
    wget -O - http://aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
    wget -O - http://aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
    В секцию http конфига nginx вставить

    Код:
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;
    Для нужного домена после ssl_certificate и ssl_certificate_key вставить

    Код:
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/ca-certs.pem;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    ssl_prefer_server_ciphers on;
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
    Рестартнуть nginx и проверить результат.
     
    Последнее редактирование: 28 май 2015
    28 май 2015
    onthar и POCT нравится это.

Поделиться этой страницей

Загрузка...