Installera SSL-certifikat på en systemförvaltad server

Publicerad: 2017-10-11 Skriven av: Stefan de Vries

Inledning

I den här guiden visar vi hur du installerar ett SSL-certifikat på en server med systemförvaltning. Guiden visar både hur du installerar ett traditionellt certifikat från en kommersiell utfärdare (Certificate Authority) och ett certifikat utfärdat av Let's Encrypt.

Installera ett traditionellt certifikat

För att kunna köpa ett certifikat behöver du först generera en CSR-fil (Certificate Signing Request). CSR-filen använder du när du köper ett certifikat från en utfärdare (Certificate Authority - CA) och därför måste du ha skapat ett sådant i steg ett. Den innehåller information om företaget som certifikatet utfärdats till. Den innehåller också den publika nyckeln som ihop med en privat nyckel bildar ett nyckelpar. Den privata nyckeln skapas samtidigt som CSR-filen skapas och säkerheten med SSL/TLS bygger på att den hålls hemlig. Därför är rekommendationen att den privata nyckeln aldrig lämnar servern den genererades på. Dessutom hör den ihop med den publika nyckeln i certifikatet, så tappar du bort filen blir certifikatet obrukbart och du måste köpa ett nytt.

Så här genererar du ett CSR på en server med systemförvaltning:

server:~$ glesys_csrgen

### IMPORTANT ###
if you request a certificate for both top domain and
the subdomain www use "www.domain.tld" as your common name
#################

Country Name (2 letter code): SE
State or Province Name (full name): Halland
Locality Name (eg, city): Falkenberg
Organization Name (eg, company): GleSYS Internet Services AB
Organizational Unit Name (eg, section): IT
Common Name (e.g. server FQDN or YOUR name): www.glesys.se
Email Address: support@glesys.se

#################
CSR is located in ~/.sslcerts/www.glesys.se

Use The Certificate below if these settings are correct

Country Name (2 letter code): SE
State or Province Name (full name): Halland
Locality Name (eg, city): Falkenberg
Organization Name (eg, company): GleSYS Internet Services AB
Organizational Unit Name (eg, section):  IT
Common Name (e.g. server FQDN or YOUR name): www.glesys.se
Email Address: support@glesys.se
#################

-----BEGIN CERTIFICATE REQUEST-----
MIIE5zCCAs8CAQAwgaExCzAJBgNVBAYTAlNFMRAwDgYDVQQIDAdIYWxsYW5kMRMw
EQYDVQQHDApGYWxrZW5iZXJnMSQwIgYDVQQKDBtHbGVTWVMgSW50ZXJuZXQgU2Vy
..
..
dmljZXMgQUIxCzAJBgNVBAsMAklUMRYwFAYDVQQDDA13d3cuZ2xlc3lzLnNlMSAw
5u9pumVY+TsOKps=
-----END CERTIFICATE REQUEST-----

Köp av certifikat

När du skapat csr/key så är det dags för att köpa certifikat.

Några leverantörer du kan välja bland:

Hos din leverantör laddar du upp innehållet inklusive BEGIN CERTIFICATE REQUEST/END CERTIFICATE REQUEST, enligt leverantörens instruktioner. En vanlig fråga du behöver svara på är vad du ska använda för tjänst ihop med certifikatet, välj då apache2+modssl. Är något oklart så ta kontakt med leverantörens support. När köpet är klart får du information samt en zipfil som innehåller ett certificat i PEM-format och mellanliggande certifikat.

Mellanliggande certifikat eller "Intermediate Certificate" (ibland även kallat chain certificate) behövs för att kompletera förtroendekedjan om din CA inte direkt signerat ditt certifikat med sitt root-certifikat.

När du fått ditt certifikat laddar du upp det på lämpligt ställe i din hemkatalog på servern. Därefter meddelar du oss och vi installerar certifikatet åt dig.

Installera ett Let's Encrypt-certifikat

Let's Encrypt är en tjänst som hjälper dig att automatisera ovanstående samtidigt som certifikatet inte kostar något. Dessa certifikat validerar bara att din domän faktiskt pekar mot rätt server och måste förnyas var tredje månad. Ur kryptografiskt perspektiv är dessa certifikat dock precis lika säkra som ett utfärdat av en CA och för de flesta fullt tillräckligt.

Implementation av Let's Encrypt

Det enda kravet för att vi ska kunna installera Let's Encrypt åt dig är att domänen pekar mot servern som ska utfärda certifikatet. Gör den det kontaktar du oss på support@glesys.se så tar vi hand om installationen.