Mając już utworzone środowisko z serwerami www, pocztowym oraz bazodanowym możemy dodatkowo zabezpieczyć certyfikatem SSL.
Utworzymy certyfikat dla naszej domeny oraz głównej maszyny (odpowiednio example.com oraz root.example.com, jeżeli wpiszemy *.example.com certyfikat będzie dotyczył wszystkich subdomen, jednak będzie płatny).
Musimy posiadać prawa dostępu jako root.
1) Wygenerowanie CSR (Certificate Signing Request):
Domyślnie ISPConfig posiada od wersji 3.0.4 automatycznie CSR. Musimy włączyć SSL w ISPConfig (jako resseler – ISP Manager -> ISP Reseller -> Limits -> kwadracik SSL, lub jako admin).
Do wygenerowania certyfikatu użyjemy poleceń:
cd /usr/local/ispconfig/interface/ssl/
openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout ispserver.key -out ispserver.csr
Tych dwóch rzeczy potrzebujemy, podczas generowania musimy wypełnić wszystkie potrzebne rzeczy.
Możemy podejrzeć csr:
cat /usr/local/ispconfig/interface/ssl/ispserver.csr
2) Certyfikat SSL:
Przechodzimy http://www.startssl.com/, musimy utworzyć nowe konta na stronie.Musimy sprawdzić na zakładce Validations Wizard (po zalogowaniu) naszą domenę. Jeżeli test wypadnie pomyślnie możemy wygenerować certyfikat, w tym celu wybieramy kolejno: Certificates Wizard -> Web Server SSL/TLS Certificate z Certificate Target.
W kolejnym oknie klikamy na Skip:
Wygenerujemy nowy .csr:
W kolejnych krokach musimy podać naszą domenę example.com oraz subdomeny root. Na maila dostaniemy informacje o wygenerowaniu certyfikatu. Przechodzimy na Tool Box, klikamy na Continue. Na koniec dostaniemy certyfikat:
Robimy backup naszym certyfikatów oraz csr na naszej maszynie.
wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem
Zmieniamy nazwy:
mv ca.pem startssl.ca.crt
vi /etc/apache2/sites-available/ispconfig.vhost
Dodajemy / podmieniamy (musimy uważać na nazwy):
# SSL Configuration
cd /etc/postfix
5) Dovecot:
vi /etc/dovecot/dovecot.conf
powinny znaleźć się tam poniższe wiersze:
ssl_cert_file = /etc/postfix/smtpd.cert
ssl_key_file = /etc/postfix/smtpd.key
## must be re-added after an ISPConfig update!!!
ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt
restart:
/etc/init.d/dovecot restart
6) PureFTPd:
cd /etc/ssl/private/
restart:
Od teraz powinniśmy móc logować się przez https.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).