NeonXP/blog
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity
blog/content/posts/2024-02-21-Конфигурация_HTTPS_с_сертификатом_от_Минцифры.md
Alex NeonXP 87a40a0200
All checks were successful
ci/woodpecker/push/woodpecker Pipeline was successful
Details
Пост про https от Минцифры
2024-02-21 22:38:40 +03:00

3.8 KiB
Raw Blame History

title date tags featuredImage
Конфигурация HTTPS с сертификатом от Минцифры 2024-02-21T21:51:29+03:00
it
заметки
/img/posts/photo_2023-12-27_22-47-36.jpg

Третьего дня потратил достаточно много времени на установку на данном сайте сертификата от Минцифры. А поскольку сертификат краткоживущий (90 дней) - заметка мне самому пригодится на будущее.

Началось всё с того, что я с удивлением обнаружил, что на госуслугах теперь можно выпустить сертификат для домена физлицу. Это меня обрадовало, хотя ранее я приунывал что нет никакой альтернативы простым смертным. Теперь есть. Закрывайте буржуйнет.

Поехали!

  1. Идём сюда: https://www.gosuslugi.ru/627603/1/form
  2. По приведенной инструкции генерируем файл запроса сертификата. Вкратце так (только вместо neonxp.ru указываем свой домен): 
    openssl req -out neonxp.ru.csr -new -subj "/C=RU/CN=neonxp.ru" -addext "keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName=DNS: neonxp.ru" -addext "extendedKeyUsage = serverAuth" -newkey rsa:2048 -nodes -keyout neonxp.ru.key
    Важно! Нужно сохранить файл ключа neonxp.ru.key в надежном месте. Если он попадет в чужие руки - нужно будет отзывать сертификат и начинать всё заново! SAN и Wildcard пока не поддерживается, но что имеем - то и имеем. Но по слухам таки будут, как минимум SAN.
  3. Полученный файл csr загружаем там же на госуслуги
  4. Ждём не долго (реально недолго, у меня прислали сертификат буквально через несколько минут!)
  5. В ответ придёт файл с рандомным названием. Сохраняем его туда, где лежат другие файлы под названием "домен.crt"
  6. Скачиваем корневой и промежуточные сертификаты: 
    wget https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
wget https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer
  7. Преобразуем скачанный сертификат в формат PEM: 
    openssl x509 -in neonxp.ru.crt -out neonxp.cer -outform PEM
  8. Соединяем свой сертификат и минцифровские в один бандл: 
    cat neonxp.cer russian_trusted_sub_ca_pem.cer russian_trusted_root_ca_pem.cer > chain.cer
  9. Используем полученный бандл и сгенерированный в пункте 2 файл ключа в конфигурации вебсервера. У меня используется Caddy, поэтому мой конфиг выглядит так: 
    neonxp.ru:443 {
    tls /data/ssl/chain.cer /data/ssl/neonxp.ru.key
    ...
}

В общем-то, всё. Как настанет время продлевать - я дополню заметку деталями именно продления. Если будут вопросы - пишите, попробуем решить.

Есть что накинуть? Внизу теперь есть комментарии: