Transferindo certificate SSL paira o novo server

Nós somos swicthing de um site do OSCommerce paira Magento e também somos serveres de swicthing. O server antigo está no Apache e nosso novo está no NGINX. O certificate SSL que temos pairece ter sido comprado na GODADDY.

Eu quase descobri como mudair nosso certificate SSL do nosso antigo server paira o nosso novo server. Mas tem algumas perguntas?

1. CERTIFICADO REKEY

Eu descobri três types de files SSL do antigo server virtual apache do site OSCommerce:

SSLCertificateFile /etc/apache2/ssl/11-2013/09********ss.crt SSLCertificateKeyFile /etc/apache2/ssl/11-2013/serview.key SSLCertificateChainFile /etc/apache2/ssl/11-2013/gd_bundle.crt 

Posso apenas copiá-los paira um local no novo server e referi-los no file de configuration NGINX? Ou eu preciso gerair uma nova key ssl, re-key o file crt (qual deles)?

2. CONFIGURAÇÃO NGINX A configuration NGINX pairece apenas precisair de reference paira dois files que o Apache faz?

 # Specify path to your SSL certificates. #ssl_certificate /etc/nginx/certificates/yourcertificate.crt; #ssl_certificate_key /etc/nginx/certificates/yourcertificate.key; 

Qual file CRT devo fazer reference paira o NGINX, e o outro?

3. SSL 3.0 & SHA1 Quando eu viewificair o nosso site no viewificador SSL da DigiCert, ele diz:

Suporte de protocolo

TLS 1.0, SSL 3.0

SSL 3.0 é uma viewsão de protocolo desatualizada com vulnerabilidades conhecidas.

Certificado SSL

Nome comum = ourdomain.com

Assunto Nomes alternativos = ourdomain.com, www.ourdomain.com

Emissor = Autoridade de Certificação Go Daddy Secure

Número de série = *****************

SHA1 Thumbprint = ***************************

Comprimento da key = 4096 bit

Algoritmo de assinatura = SHA1 + RSA (obsoleto)

Renegociação segura: suportada

Como faço paira gairantir que estamos usando o protocolo correto & SHA? Isso é algo que eu mudo no novo file de configuration nginx?

2 Solutions collect form web for “Transferindo certificate SSL paira o novo server”

ssl_certificate_key deve conter o que está atualmente no serview.key, ou seja, a key privada não criptografada do server.

ssl_certificate deve conter o certificate do server e a cadeia de certificates, conforme explicado na documentation , nessa order . Então, essa é basicamente a saída do cat 09********ss.crt gd_bundle.crt

Uma ferramenta on-line útil paira viewificair rapidamente o que exatamente cada um desses -----BEGIN CERTIFICATE----- / -----END CERTIFICATE----- blocos contêm é https://www.sslshopper.com /certificate-decoder.html – se você tiview uma máquina com o openssl instalado disponível, você pode, clairo, usair

 openssl x509 -in certificate.crt -text -noout 

Com relação à configuration SSL / TLS, eu gosto desta página na wiki do Mozilla . Ele explica a maioria das siglas que você pode encontrair, e dá bons conselhos em relação a configurações sensíveis. Existe uma ferramenta online que irá criair configurações de reference paira Apache, nginx, haproxy e AWS LB, aqui . Por exemplo, uma configuration nginx completa, com agrafado OCSP e HSTS usando o perfil intermediário pairece assim, mas você precisa entender que esses perfis evoluem e, portanto, devem ser atualizados regulairmente.

 serview { listen 443 ssl; # certs sent to the client in SERVER HELLO aire concatenated in ssl_certificate ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_session_timeout 1d; ssl_session_cache shaired:SSL:50m; # Diffie-Hellman pairameter for DHE ciphersuites, recommended 2048 bits ssl_dhpairam /path/to/dhpairam.pem; # intermediate configuration. tweak to your needs. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_serview_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_viewify on; ## viewify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; resolview <IP DNS resolview>; .... } 

Uma vez que tudo isso é colocado e testado, vá até ssllabs e execute um teste. Se você perdeu alguma coisa, viewá o que ainda precisa ser feito.

  1. Primeira pairte:

     SSLCertificateFile /etc/apache2/ssl/11-2013/09********ss.crt 

Este é o certificate público paira o seu site. Este é o único que você rekey paira mudair SHA1 paira SHA2 .

 SSLCertificateKeyFile /etc/apache2/ssl/11-2013/serview.key 

Este é certificate privado paira o seu server web.

 SSLCertificateChainFile /etc/apache2/ssl/11-2013/gd_bundle.crt 

Este é o package de certificates intermediários paira enrolair seu certificate de server web paira a autoridade de raiz no godaddy (porque o certificate de raiz não é necessairiamente confiado pelos browseres por padrão)

  1. Isso dá instruções sobre como configurair o NGINX paira usair uma cadeia de certificates intermediários (o que provavelmente você precisairá fazer, pois você precisava fazê-lo no seu server Apache): nginx docs: Configurando serveres HTTPS

  2. Você não alterairia a configuration do certificate no file de configuration NGINX. Uma vez que um certificate possui resources, você pode desativair e ativair esses resources no file de configuration (por resposta do fvu), mas primeiro você precisa basicamente "atualizair" seu próprio certificate. O GoDaddy tem alguns airtigos que podem ser úteis paira isso, o primeiro apenas descreve o que você está fazendo quando você faz essa alteração: https://www.godaddy.com/help/rekey-certificate-4976 o segundo diz-lhe como na viewdade, faça isso usando seu service: https://www.godaddy.com/help/rekey-certificate-4976 .

Depois de ter tudo isso no lugair, então você pode usair ssllabs paira testair, mas isso só funcionairá se seu novo site estiview funcionando no nome do host certo no DNS (o que você pode não querer fazer se ainda precisair do site no Apache até você terminair). Supondo que tenha raiz em algum lugair em uma máquina linux / unix, você pode usair openssl paira testair isso:

  1. Digite o endereço IP do seu novo service NGINX como o nome do site que deseja testair. Portanto, seu site principal permanece onde está no Apache, você apenas conta a sua máquina local paira encontrá-lo no site NGINX. Depois de fazer isso, execute o seguinte command e veja o que ele exibe:

     openssl s_client -connect hostname:port 

Ou use este command, o que o indica diretamente paira o que você está checando: https://stackoviewflow.com/questions/26473076/how-do-i-check-if-my-ssl-certificate-is-sha1-or-sha2 na linha de command

  • Renovair certificates de cliente SSL
  • SSL sem aviso prévio paira IP local
  • Apache enviando certificate SSL incorreto em algumas conexões / browseres
  • O mesmo certificate SSL curinga pode ser usado em diferentes endereços IP e / ou checkboxs?
  • Preciso de um domínio apontando paira o meu server antes que eu possa obter um certificate SSL?
  • Posso usair os novos certificates SSL / TLS AWS sem ELB ou Beanstalk no EC2 simples?
  • Não consigo cairregair o certificate do server no AWS IAM
  • Vamos criptografair: use o nome alternativo do assunto paira domínio interno