COMODO SSL wildcard certifikat og Apache

(Last Updated On: 21. januar 2020)

UPDATE [januar 2020]: Siden tilblivelsen af dette indlæg, er jeg gået over til at benytte gratis certifikater via Let’s Encrypt

—————————————————————-

Jeg har købt et comodo wildcard certifikat hos servertastic.com. Da jeg modtager certifikatet er der 4 filer i stedet for 3… Der er nemlig to intermediate filer. Hvad hulan gør man så? Jo, man kombinerer dem. Men lad os lige tage det hele med, så jeg kan huske proceduren om et år, når certifikatet skal fornyes:

For eksemplets skyld, kalder vi her domænet for domain.com.

Generer en CSR (Certificate Signing Request):

BEMÆRK! Dette skal kun gøres første gang du køber certifikat for dette domæne. Ved fornyelse skal du bruge begge filer igen. CSR ved købet og den tilhørende nøgle ved konfig af Apache.

Følgende felter i ovenstående er udfyldt:

  • Country Name: Landekode bestående af 2 bogstaver
  • State or Province: Region, som f.eks. Jylland, Fyn eller Sjaelland
  • Locality Name: Bynavn
  • Organization Name: Virksomhedens navn
  • Common Name: Dit domæne… og husk stjernen! (*)
  • Email address: Angiv en mail adresse

De 2 filer der kommer ud af det, er domain.com.csr som er din “signing request” og domain.com.key som er din private nøgle. Sidstnævnte skal vi også bruge senere.

Køb af certifikat

Når du køber certifikatet bliver du på et tidspunkt bedt om at angive CSR. Hertil kopierer du indholdet fra filen domain.com.csr

Når hele købsforløbet er gennemgået, vil du i den sidste mail modtage certifikatet (4 filer) vedhæftet i en zip fil:

  • Root CA Certificate – AddTrustExternalCARoot.crt
  • Intermediate CA Certificate – COMODORSAAddTrustCA.crt
  • Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
  • Your PositiveSSL Wildcard Certificate – STAR_domain_com.crt

De to intermediate filer, kombineres til én enkelt. Bemærk! Rækkefølgen hvormed du kombinerer disse er vigtig:

Jeg omdøber også START_domain_com.crt til noget mere spiseligt:

Konfigurer Apache

Nu kan du konfigurere Apache:

  • intermediate.crt var den vi dannede ud fra de to intermediate filer vi fik pr. mail.
  • domain.com.crt er selve certifikatet, også inkluderet i filerne vi fik pr. mail (den der blot blev omdøbt)
  • domain.com.key var den private nøgle du genererede sammen med dit signing request (CSR)

Konfigurer Nginx

Hvis du skal bruge ssl på Nginx skal du kombinere certifikat og intermediate:

 

Tak til Bill Patrianakos: Installing Comodo Positive SSL Certs on Apache and OpenSSL