Instalace SSL certifikátu na webový server Apache

Poznámka: O instalaci podepsaného SSL certifikátu můžete požádat technickou podporu poskytovatele hostingových služeb.

Instalace SSL certifikátu na Apache web server

V tomto dokumentu předpokládáme, že:

  • jste již obdrželi svůj SSL certifikát,
  • na svém serveru již máte nainstalovaný Apache web server s Virtual Host a podporou SSL (například OpenSSL).

V našem případě použijeme SSL certifikát vystavený pro doménu www.ssls.cz a ssls.cz (SAN), přičemž:

  • SSL certifikát máme uložený v souboru www.ssls.cz.crt,
  • privátní klíč v souboru www.ssls.cz.key,
  • a certifikát podepisující certifikační autority (CA) v souboru ca_intermediate.crt.

Příklad nastavení Apache Virtual Host bez SSL

Takto může vypadat velice jednoduché nastavení Virtual Host záznamu pro doménu www.ssls.cz před instalací SSL certifikátu. Standardně toto nastavení najdete v souborech umístěných v adresáři /etc/apache2/sites-available/ (Linux) nebo obecně v souboru httpd.conf.

<VirtualHost 1.2.3.4:80>

  ServerName             www.ssls.cz
  ServerAlias            ssls.cz
  DocumentRoot           /cesta/k/dokumentum

</VirtualHost>

Předpokládáme, že IP adresa 1.2.3.4:80 (80 je standardní číslo portu pro službu WWW) je pro doménu ssls.cz a www.ssls.cz nastavena v DNS.

Příklad nastavení Apache Virtual Host s SSL

Abychom mohli k webovým stránkám přistoupit pomocí zabezpečeného protokolu https://, upravíme záznam následovně:

<VirtualHost 1.2.3.4:80>

  ServerName             www.ssls.cz
  ServerAlias            ssls.cz
  DocumentRoot             /cesta/k/dokumentum
  RewriteEngine          on
  RewriteCond            %{HTTPS} != on
  RewriteRule            ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]

</VirtualHost>
<VirtualHost 1.2.3.4:443>   ServerName www.ssls.cz   ServerAlias ssls.cz   DocumentRoot /cesta/k/dokumentum   SSLEngine on   SSLProtocol all -SSLv3 -SSLv2   SSLCertificateFile /cesta/k/www.ssls.cz.crt   SSLCertificateKeyFile /cesta/k/www.ssls.cz.key   SSLCACertificateFile /cesta/k/ca_intermediate.crt   SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS   SSLHonorCipherOrder on   SSLCompression off   Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" </VirtualHost>

Soubor ca_intermediate.crt obsahuje certifikáty certifikační autority (CA), která certifikát podepsala.

Důležité: Bez instalace intermediate certifikátu se budou uživateli v prohlížeči zobrazovat varování o nedůvěryhodném SSL certifikátu. Je nutné nainstalovat správný intermediate certifikát pro konkrétní SSL produkt.

Po instalaci SSL certifikátu důrazně doporučujeme ověřit si, že server klientům odesílá intermediate certifikáty ve správném pořadí. To můžete snadno ověřit pomocí nástroje SSL Tester.

Všimněte si také doporučené konfigurace hlavičky "Strict-Transport-Security" (HSTS). Více o konfiguraci HSTS…

Restartujte webový server

$ service apache2 restart

anebo:

$ /etc/init.d/apache2 restart

anebo:

$ apache2ctl stop
$ apache2ctl start

Kontrola nastavení

Pokud Apache po restartu nehlásí žádná varování týkající se SSL, pak by mělo být vše v pořádku. Pro jistotu můžete ověřit nastavení všech VirtualHostů příkazem apache2ctl -S a následně jednoduše vyzkoušet přistoupit na URL adresu zabezpečené domény přímo z webového prohlížeče.

Přesměrování HTTP na HTTPS

Provozování stejného webového obsahu paralelně na zabezpečeném HTTPS i nezabezpečeném HTTP protokolu není žádoucí. Důrazně doporučujeme přesměrovat veškerý provoz na HTTPS.

Instalace SSL ověření test

SSL Tester

Ověřte si správnost instalace SSL certifikátu na server Apache:

Test instalace SSL →

Může Vás zajímat…

Apache SSL certifikáty

AlpiroSSL

  • Nejlevnější SSL
  • Vystavení 1-5 min
  • Certificate Transparency
  • Záruka 10,000 Kč
  • Již za 169 Kč

AlpiroSSL Wildcard

  • Nejlevnější Wildcard SSL
  • Zabezpečí
    ∞ subdomén
  • Vystavení 1-5 min
  • Certificate Transparency
  • Záruka 10,000 Kč
  • Již za 1 290 Kč

PositiveSSL UC/SAN

  • Nejžádanější SAN
  • Záruka $10,000

Od 109 Kč / doménu zabezpečte:

Comodo EV SSL TIP

  • Nejžádanější EV
  • Zelený adr. řádek
  • Prestižní CA
  • Záruka $250,000
  • Již za 2 490 Kč

GeoTrust
True BusinessID EV

  • Prestižní certifikát
  • Zelený adr. řádek
  • Záruka $500,000
  • Již za 2 880 Kč

Symantec
Secure Site EV

  • #1 Symantec SSL
  • Zelený adr. řádek
  • Záruka $1,500,000
  • Již za 13 590 Kč

Comodo InstantSSL

  • Ověření organizace
  • Prestižní CA
  • Již za 739 Kč

GlobalSign DomainSSL

  • Expresní vystavení
  • Prestižní CA
  • Již za 2 690 Kč

Certum CommercialSSL

  • Expresní vystavení
  • Prestižní CA
  • Již za 299 Kč

SpaceSSL

  • Expresní vystavení
  • Již za 199 Kč

SSL certifikát — 169 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

Zelený adresní řádek

Nepřehlédnutelný indikátor důvěryhodného webu, díky kterému zvýšíte konverze a zisky.

Multidoménové UC/SAN

Skonsolidujte všechny Vaše SSL certifikáty do jednoho multidoménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Uživatel SSL Nový zákazník

Zavřít
Zavřít
Zavřít
Doporučené SSL certifikáty
Zavřít
Máte dotaz?
Napište nám
Nenašli jste řešení na stránce Podpora a Nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací
Souhlasím