Некоторое время назад был забубенен сайт статистики сожранного юзерами траффика, естественно информацию сочли приватной и забубенили сайт с поддержкой ssl (точнее мне пришлось таковой заделать...) сертификаты на первое время было решено использовать самоподписанные... Однако настало время вводить сайт в коммерческую эксплуатацию и сертификат понадобился официальный и тут началось самое интересное. Пропущу массу интересных моментов, связанных с диалогом нашего руководства с конторой, выдающей сертификаты, перейду сразу к истории их установки.
Итак порывшись в <del datetime="2009-12-23T10:33:30+00:00">документации по openssl</del> интернете я нашёл команду для создания файла запроса в сертификационный центр,
<code>c:\apache\bin\openssl.exe req -config c:\apache\conf\openssl.conf -new -out site.ru.csr -keyout site.ru.pem</code>
прождав недельки две с половиной, пока руководство наговорится с этим центром, я получил заветные сертификаты - два файла (цена 6000 рублей за два года действия сертификата)
<code>RBCHCHighAssuranceService.crt - промежуточный сертификат
RBC HC Gold SSL Certificate.crt - сам сертификат</code>
и тут выяснилось что у меня нет .key файла (приватного ключа) а по идее должен быть, я долго рыл интернет на предмет - где же его надыбать, оказалось всё просто, надо взять .pem файл и расшифровать его, сказано просто, а сделать сложнее - во-первых не просто было отыскать материал в и-нете а во-вторых я уже и думать забыл куда же дел этот самый .pem файл, но в конце концов он нашёлся и сказав в командной строке
<code>c:\apache\bin\openssl.exe rsa -in site.ru.pem -out site.ru.key</code>
я получил заветный файл, после чего в конфиге апача были прописаны правильные пути к официальным сертификатам, в описании виртуального хоста
<code>SSLCertificateFile "e:/cert/RBC HC Gold SSL Certificate.crt"
SSLCertificateKeyFile "e:/cert/site.ru.key"
SSLCertificateChainFile "e:/cert/RBCHCHighAssuranceService.crt"</code>
вот собственно и всё :)
Отмечу, что хоть апач и поддерживает множественные name based виртуальные хосты, правильным этот сертификат будет только для того доменного имени, которое он удостоверяет в подлинности.