Um ein Zertifikat in Verbindung mit NGINX nutzen zu können benötigen Sie das Zertifikat im PEM Format (Root, Zwischenzertifikat und Domain). Diese Zertifikate müssen in einer Datei zusammengeführt werden. Wie dies funktioniert und wie die Einbindung in NGINX vollzogen werden muss, wird folgend erklärt.

Zertifikate in einer Datei zusammenführen:

Anmerkung: Die in dieser Anleitung genutzten Dateinamen sollen lediglich als Beispiel dienen. Passen Sie die Namen entsprechend Ihres Falles selbst an.

If you’re unsure what file names you should be using, then please consult our article:
Which is Root? Which is Intermediate?
If you have the individual certificate files (eg. AddTrustExternalCARoot.crt):

Zusammenführung mittels cat:

cat www_ihredomain_de.crt ComodoHigh-AssuranceSecureServerCA.crt AddTrustExternalCARoot.crt >> ssl-bundle.crt

Sollte Sie eine .crt Datei und das .ca-bundle haben:
cat www_ihredomain_de.crt www_ihredomain_de.ca-bundle >> ssl-bundle.crt

Virtual Host Konfiguration von NGINX anpassen:

  • Verschieben Sie die neu erstellte ssl-bundle.crt Datei dorthin, wo Sie Ihre Zertifikate speichern möchten (z.B. /etc/ssl/certs)
  • Bearbeiten Sie Ihre Webseitenkonfiguration (meist zu finden unter: /etc/nginx/sites-available oder /usr/local/nginx/sites-available)
  • Vergewissern Sie sich dass:
  • „ssl“ auf on steht
  • der „listen“ Port auf Ihrem genutzten Port eingestellt ist (Standard ist 443)
  • der „ssl_certificate“ Pfad dorthin verweist, wo Sie Ihre Zertifikate abgelegt haben
  • der „ssl_certificate_key“ Pfad dorthin verweist, wo Ihr privater Schlüssel gespeichert ist
  • Optional kann noch gesetzt werden:
  • ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM; #Alle schwachen Cipher deaktivieren
  • ssl_protocols SSLv3 TLSv1; #aktiviert SSLv3/TLSv1 aber nicht SSLv2, welches bekannte Schwächen hat und nicht mehr genutzt werden sollte

Beispiel einer Virtual Host Konfiguration mit aktiviertem SSL:

server {

listen 443;

 

ssl on;

ssl_certificate /etc/ssl/certs/ssl-bundle.crt.crt;

ssl_certificate_key /etc/ssl/private/ihreschluessel.key;

ssl_protocols SSLv3 TLSv1;

ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;

 

server_name ihredomain.de;

}

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.