Zero108 Опубликовано 22 ноября, 2023 Поделиться Опубликовано 22 ноября, 2023 (изменено) Cloudflare дает скачать сертификат и ключ в двух указанных местах (видимо, для разных целей). Но для установки на мой сервер нужны еще данные bundle. "CA bundle – это документ, содержащий корневой и промежуточный сертификаты соответствующего центра сертификации. Файл имеет расширение .ca_bundle и используется для установки SSL сертификатов на сервере Apache. Если Ваш сайт расположен на другом сервере, у Вас нет необходимости создавать CA bundle, Вы можете спокойно использовать корневой и промежуточный сертификаты, полученные на нашем сайте." Нагуглил вот такое, но если кто-то уже делал, подскажите, пошагово, как собрать bundle из данные, которые предоставляет CloudFlare? Дело в том, что сертификат выдается CloudFlare на срок до 15 лет бесплатно. Это сильно сэкономит время, не нужно будет каждые 3 месяца переустанавливать сертификат вручную. Я знаю про скрипты автоматического получения сертификата, но они сложны для установки, я их не ставил, считаю их издевательством над юзабилити. Хочу попробовать сертификат от CF. Изменено 22 ноября, 2023 пользователем Zero108 Ishidarex77 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Desti Опубликовано 22 ноября, 2023 Поделиться Опубликовано 22 ноября, 2023 У меня выглядит так: Качаем ssl, inter.. и root и просто вставляем их в новый файл в порядке root, inter и ssl. Обзываем как угодно, например bundle.crt В финале имеем два файла, private.key и bundle.crt, их и прописываем в конфиге nginx Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Desti Опубликовано 22 ноября, 2023 Поделиться Опубликовано 22 ноября, 2023 root и inter вроде как можно взять тут: https://github.com/cloudflare/cfssl_trust - это CF-ное хранилище сертификатов. ca-bundle.crt и int-bundle.crt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 22 ноября, 2023 Автор Поделиться Опубликовано 22 ноября, 2023 Рутовый Origin RSA PEM сертификат качается тут: https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/#cloudflare-origin-ca-root-certificate Не нашел на гитхабе, какой файл представляет intermediate сертификат. marik768 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 22 ноября, 2023 Автор Поделиться Опубликовано 22 ноября, 2023 В файле int-bundle.crt 48K строк. Это точно то, что нужно? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 23 ноября, 2023 Автор Поделиться Опубликовано 23 ноября, 2023 Для связи с Cloudflare получается нужно два файла: domain.crtca - сюда кладем ssl сертификат. domain.key - сюда кладем приватный ключ. Вроде для связи сервера с сервером Cloudflare другие сертификаты не нужны. Root можно добавить в первый файл, но от этого ничего не меняется. Про intermediate вообще народ в CloudFlare Community первый раз слышит и сильно удивляется. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 23 ноября, 2023 Автор Поделиться Опубликовано 23 ноября, 2023 (изменено) Этот внутренний сертификат позволяет 15 лет моему серверу общаться по ssl с сервером CloudFlare. А внешний сертификат для пользователей моего сайта CloudFlare назначает сам автоматически. Теперь не нужно каждые три месяца получать бесплатный LetsEncrypt сертификат и тем более покупать платные сертификаты. Изменено 23 ноября, 2023 пользователем Zero108 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
aLEX49566 Опубликовано 23 ноября, 2023 Поделиться Опубликовано 23 ноября, 2023 31 минуту назад, Zero108 сказал: Теперь не нужно каждые три месяца получать бесплатный LetsEncrypt сертификат А у меня сам обновляется) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 23 ноября, 2023 Автор Поделиться Опубликовано 23 ноября, 2023 (изменено) Прям вот сам или нужно дяденек на хостинге просить настроить скрипт? Задолбал этот LetsEncrypt. Несколько раз не сможет скрипт получить по разным причинам сертификат - сначала на час забанят, потом на сутки. И будет сайт недоступен из-за отсутствия сертификата. Еще и на 3 месяца всего выдается. Каждые 3 месяца нужно напрячься и проверить все сайты, а не отвалился ли там дешманский летсэнкрипт. А у меня теперь на 15 лет! Изменено 23 ноября, 2023 пользователем Zero108 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
aLEX49566 Опубликовано 23 ноября, 2023 Поделиться Опубликовано 23 ноября, 2023 Это кому как удобно .. кому то настроить и забыть, а кому то настроить и забыть) каждый др.. как хочет )) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
maztakillars Опубликовано 24 ноября, 2023 Поделиться Опубликовано 24 ноября, 2023 Для установки SSL сертификата от CloudFlare на свой сервер и создания bundle, вам следует выполнить следующие шаги: Скачайте сертификат и ключ с сайта CloudFlare, как вы уже сделали. Для создания bundle, вам нужно объединить корневой и промежуточный сертификаты. Вы можете получить их также с сайта CloudFlare или других источников сертификации. Обычно, они предоставляются в виде текстовых файлов. Откройте текстовые файлы с корневым и промежуточным сертификатами в текстовом редакторе (например, Notepad). Скопируйте содержимое корневого сертификата и вставьте его в конец промежуточного сертификата, таким образом, чтобы весь текст находился в одном файле. Сохраните этот файл с расширением .ca_bundle, например, cloudflare_ca_bundle.ca_bundle. Теперь у вас есть bundle, который включает в себя корневой и промежуточный сертификаты. Далее, в зависимости от вашего сервера (например, Apache, Nginx), настройте его для использования этого bundle и сертификата. Этот bundle можно использовать вместе с вашим SSL сертификатом от CloudFlare для обеспечения безопасного соединения на вашем сервере. Убедитесь, что вы следуете документации вашего сервера для правильной настройки. Dusty 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 (изменено) maztakillars спасибо, конечно, но информация немного не та. Для работы соединения мой сервер <-> сервера Cloudflare не требуются корневой и промежуточный сертификаты и их объединение с ssl сертификатом от CloudFlare. Достаточно приватного ключа и ssl сертификата, которые скачиваются в разделе для домена SSL/TLS -> Origin Server. Изменено 24 ноября, 2023 пользователем Zero108 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 (изменено) Я не сильно заморачиваюсь, создаю один wildcard сертификат для домена и потом все домены третьего уровня на него вешаю. При получении wildcard сертификата астерикс *домен прописан в настройках сертификата по умолчанию, додумывать ничего не нужно. То есть все поддомены могут жить на одном сертификате. Далее в панели управления ISP Manager 5 создают самоподписанный сертификат, чтобы панелька его видела, и вставляю в файлы /var/www/httpd-cert/<user>/<домен>.srt и /var/www/httpd-cert/<user>/<домен>.key данные, полученные от CloudFlare, перезагружаю службу nginx. Вот такой вот несложный процесс для получения сертификата на 15 лет. Чем проще - тем лучше. LetsEncrypt - напрягает, всего три месяца время жизни сертификата. Пусть сами тренируются, кто это придумал. А я пока выбрал CloudFlare. Изменено 24 ноября, 2023 пользователем Zero108 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Desti Опубликовано 24 ноября, 2023 Поделиться Опубликовано 24 ноября, 2023 14 часов назад, Zero108 сказал: Про intermediate вообще народ в CloudFlare Community первый раз слышит и сильно удивляется. Перефразируя известный анекдот: можно услышать много удивительного, если вы не знаете, как устроены сертификаты и почему они формируются в цепочки. Теоретически, если CF является сертификационным центром (root) и может выдавать сертификаты, заверенные своим корневым, то цепочка промежуточных не нужна. Но если, например, CF передоверяет право выдавать сертификаты фирме "ПупкиN CRT" и выдает ей свой сертификат, то сертификаты для клиентов теперь будут подписаны пупкиным, а в цепочку сертификации добавится пупкинский промежуточный сертификат (intermediate). Поэтому стандартная цепочка почти всегда состоит из корневого (root), нескольких промежуточных (их может быть сколько угодно) и сертификата пользователя (сайта). Если это не так у CF, то это не меняет принципа, просто нет промежуточных. Respected 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 (изменено) 55 минут назад, Desti сказал: Если это не так у CF, то это не меняет принципа, просто нет промежуточных. Как мне объяснили в CloudFlare Community, root и intermediate сертификаты вообще не нужны, когда соединение происходит только до сервера CloudFlare: Как говорится, век живи, век учись. Хорошо, что теперь и вы, и я знаем, как работают сертификаты CloudFlare. Их принимает только сервер CloudFlare при strict DNS соединении. Это поможет и вам больше не вводить в заблуждение, как это было сделано вами ранее. Ниже перечислено условие, при котором сертификат от CloudFlare будет работать: Изменено 24 ноября, 2023 пользователем Zero108 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
HooLIGUN Опубликовано 24 ноября, 2023 Поделиться Опубликовано 24 ноября, 2023 Zero108 есть возможность в итоге собрать эту инфу в кучу в пошаговый мануал и загрузить в статьи? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 (изменено) HooLIGUN попробую, но не обещаю. 2 USDT сильно ускорят процесс из-за дополнительных каллорий в виде шоколада. Изменено 24 ноября, 2023 пользователем Zero108 Ishidarex77 и Desti 1 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dfdgfgfsd Опубликовано 24 ноября, 2023 Поделиться Опубликовано 24 ноября, 2023 ssl_certificate /etc/nginx/ssl/certificate.pem; ssl_certificate_key /etc/nginx/ssl/key.key; ssl_client_certificate /etc/nginx/ssl/origin-pull-ca.pem; ssl_verify_client on; ssl_session_cache shared:SSL:50m; ssl_session_timeout 1h; Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 24 ноября, 2023 Автор Поделиться Опубликовано 24 ноября, 2023 1 час назад, dfdgfgfsd сказал: ssl_client_certificate /etc/nginx/ssl/origin-pull-ca.pem; В данном случае не требуется. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 29 ноября, 2023 Автор Поделиться Опубликовано 29 ноября, 2023 HooLIGUN Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.