Как установить SSL сертификат от CloudFlare на свой сервер?

[Zero108]

Cloudflare дает скачать сертификат и ключ в двух указанных местах (видимо, для разных целей). Но для установки на мой сервер нужны еще данные bundle. 

"CA bundle – это документ, содержащий корневой и промежуточный сертификаты соответствующего центра сертификации. Файл имеет расширение .ca_bundle и используется для установки SSL сертификатов на сервере Apache. Если Ваш сайт расположен на другом сервере, у Вас нет необходимости создавать CA bundle, Вы можете спокойно использовать корневой и промежуточный сертификаты, полученные на нашем сайте."

Нагуглил вот такое, но если кто-то уже делал, подскажите, пошагово, как собрать bundle из данные, которые предоставляет CloudFlare?

Дело в том, что сертификат выдается CloudFlare на срок до 15 лет бесплатно. Это сильно сэкономит время, не нужно будет каждые 3 месяца переустанавливать сертификат вручную. Я знаю про скрипты автоматического получения сертификата, но они сложны для установки, я их не ставил, считаю их издевательством над юзабилити. Хочу попробовать сертификат от CF.

 

 

Изменено 22 ноября, 2023 пользователем Zero108

[Desti]

У меня выглядит так:

 

Качаем ssl, inter.. и root и просто вставляем их в новый файл в порядке root, inter и ssl. Обзываем как угодно, например bundle.crt В финале имеем два файла, private.key и bundle.crt, их и прописываем в конфиге nginx

[Desti]

root и inter вроде как можно взять тут: https://github.com/cloudflare/cfssl_trust - это CF-ное хранилище сертификатов. ca-bundle.crt и int-bundle.crt

[Zero108]

Рутовый Origin RSA PEM сертификат качается тут: https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/#cloudflare-origin-ca-root-certificate

 

Не нашел на гитхабе, какой файл представляет intermediate сертификат.

[Zero108]

В файле int-bundle.crt 48K строк. Это точно то, что нужно?

[Zero108]

Для связи с Cloudflare получается нужно два файла:

domain.crtca - сюда кладем ssl сертификат.

domain.key - сюда кладем приватный ключ.

Вроде для связи сервера с сервером Cloudflare другие сертификаты не нужны. Root можно добавить в первый файл, но от этого ничего не меняется. Про intermediate вообще народ в CloudFlare Community первый раз слышит и сильно удивляется. 

[Zero108]

Этот внутренний сертификат позволяет 15 лет моему серверу общаться по ssl с сервером CloudFlare. А внешний сертификат для пользователей моего сайта CloudFlare назначает сам автоматически. Теперь не нужно каждые три месяца получать бесплатный LetsEncrypt сертификат и тем более покупать платные сертификаты.

Изменено 23 ноября, 2023 пользователем Zero108

[aLEX49566]

31 минуту назад, Zero108 сказал:

Теперь не нужно каждые три месяца получать бесплатный LetsEncrypt сертификат

А у меня сам обновляется)

[Zero108]

Прям вот сам или нужно дяденек на хостинге просить настроить скрипт? Задолбал этот LetsEncrypt. Несколько раз не сможет скрипт получить по разным причинам сертификат - сначала на час забанят, потом на сутки. И будет сайт недоступен из-за отсутствия сертификата. Еще и на 3 месяца всего выдается. Каждые 3 месяца нужно напрячься и проверить все сайты, а не отвалился ли там дешманский летсэнкрипт. А у меня теперь на 15 лет!

Изменено 23 ноября, 2023 пользователем Zero108

[aLEX49566]

Это кому как удобно .. кому то настроить и забыть, а кому то настроить и забыть) каждый др.. как хочет ))

[maztakillars]

Для установки SSL сертификата от CloudFlare на свой сервер и создания bundle, вам следует выполнить следующие шаги:

1. Скачайте сертификат и ключ с сайта CloudFlare, как вы уже сделали.

2. Для создания bundle, вам нужно объединить корневой и промежуточный сертификаты. Вы можете получить их также с сайта CloudFlare или других источников сертификации. Обычно, они предоставляются в виде текстовых файлов.

3. Откройте текстовые файлы с корневым и промежуточным сертификатами в текстовом редакторе (например, Notepad).

4. Скопируйте содержимое корневого сертификата и вставьте его в конец промежуточного сертификата, таким образом, чтобы весь текст находился в одном файле.

5. Сохраните этот файл с расширением .ca_bundle, например, cloudflare_ca_bundle.ca_bundle.

6. Теперь у вас есть bundle, который включает в себя корневой и промежуточный сертификаты.

7. Далее, в зависимости от вашего сервера (например, Apache, Nginx), настройте его для использования этого bundle и сертификата.

Этот bundle можно использовать вместе с вашим SSL сертификатом от CloudFlare для обеспечения безопасного соединения на вашем сервере. Убедитесь, что вы следуете документации вашего сервера для правильной настройки.

[Zero108]

maztakillars спасибо, конечно, но информация немного не та. Для работы соединения мой сервер <-> сервера Cloudflare не требуются корневой и промежуточный сертификаты и их объединение с ssl сертификатом от CloudFlare. Достаточно приватного ключа и ssl сертификата, которые скачиваются в разделе для домена SSL/TLS -> Origin Server.

 

Изменено 24 ноября, 2023 пользователем Zero108

[Zero108]

Я не сильно заморачиваюсь, создаю один wildcard сертификат для домена и потом все домены третьего уровня на него вешаю. При получении wildcard сертификата астерикс *домен прописан в настройках сертификата по умолчанию, додумывать ничего не нужно. То есть все поддомены могут жить на одном сертификате. Далее в панели управления ISP Manager 5 создают самоподписанный сертификат, чтобы панелька его видела, и вставляю в файлы /var/www/httpd-cert/<user>/<домен>.srt и /var/www/httpd-cert/<user>/<домен>.key данные, полученные от CloudFlare, перезагружаю службу nginx. Вот такой вот несложный процесс для получения сертификата на 15 лет. Чем проще - тем лучше. LetsEncrypt - напрягает, всего три месяца время жизни сертификата. Пусть сами тренируются, кто это придумал. А я пока выбрал CloudFlare.

Изменено 24 ноября, 2023 пользователем Zero108

[Desti]

14 часов назад, Zero108 сказал:

Про intermediate вообще народ в CloudFlare Community первый раз слышит и сильно удивляется. 

Перефразируя известный анекдот: можно услышать много удивительного, если вы не знаете, как устроены сертификаты и почему они формируются в цепочки. 

Теоретически, если CF является сертификационным центром (root) и может выдавать сертификаты, заверенные своим корневым, то цепочка промежуточных не нужна.  Но если, например, CF передоверяет право выдавать сертификаты фирме "ПупкиN CRT" и выдает ей свой сертификат, то сертификаты для клиентов теперь будут подписаны пупкиным, а в цепочку сертификации добавится пупкинский промежуточный сертификат (intermediate). Поэтому стандартная цепочка почти всегда состоит из корневого (root), нескольких промежуточных (их может быть сколько угодно) и сертификата пользователя (сайта). Если это не так у CF, то это не меняет принципа, просто нет промежуточных. 

[Zero108]

55 минут назад, Desti сказал:

Если это не так у CF, то это не меняет принципа, просто нет промежуточных.

Как мне объяснили в CloudFlare Community, root и intermediate сертификаты вообще не нужны, когда соединение происходит только до сервера CloudFlare:

Как говорится, век живи, век учись. Хорошо, что теперь и вы, и я знаем, как работают сертификаты CloudFlare. Их принимает только сервер CloudFlare при strict DNS соединении. Это поможет и вам больше не вводить в заблуждение, как это было сделано вами ранее.

Ниже перечислено условие, при котором сертификат от CloudFlare будет работать:

Изменено 24 ноября, 2023 пользователем Zero108

[Zero108]

[HooLIGUN]

Zero108 есть возможность в итоге собрать эту инфу в кучу в пошаговый мануал и загрузить в статьи? 

 

[Zero108]

HooLIGUN попробую, но не обещаю. 2 USDT сильно ускорят процесс из-за дополнительных каллорий в виде шоколада.

Изменено 24 ноября, 2023 пользователем Zero108

[dfdgfgfsd]

        ssl_certificate         /etc/nginx/ssl/certificate.pem;
        ssl_certificate_key     /etc/nginx/ssl/key.key;
        ssl_client_certificate  /etc/nginx/ssl/origin-pull-ca.pem;
        ssl_verify_client on;
        ssl_session_cache   shared:SSL:50m;
        ssl_session_timeout 1h;

 

[Zero108]

1 час назад, dfdgfgfsd сказал:

ssl_client_certificate  /etc/nginx/ssl/origin-pull-ca.pem;

В данном случае не требуется.

[Zero108]

HooLIGUN