ssl

نصب زنجيره گواهينامه SSL

نصب گواهي ssl :

Java Based Web Servers (Tomcat) using keytool

نصب زنجيره گواهينامه SSL (ريشه، واسط ها ونهادهاي انتهايي)

1. وارد كردن گواهي ssl ريشه

-> keytool -import -trustcacerts -alias AddTrustExternalCARoot –file

AddTrustExternalCARoot.crt -keystore domain.keystore

1. وارد كردن واسط

-> keytool -import -trustcacerts -alias intermediate_filename -file intermediate_filename.crt -keystore domain.keystore

نكته :

بسته به نوع گواهي خريداري شده، ممكن است بيش از يك گواهي ssl واسط در زنجيره اعتبار وجود داشته باشد. لطفا همه واسط ها را به ترتيب عدد صحيح نصب كنيد تا زماني كه به گواهي ssl domain/end entity رسيديد.

براي تعيين اينكه چه زنجيره اي ازاعتبار داريد، لطفا مقاله اي با عنوان

Which is Root? Which is Intermediate? را دنبال كنيد.

به عنوان مثال UTNAddTrustSGCCA.crt : به UTNAddTrustSGCCA تبديل مي شود.

براي اطلاعات بيشتر

1. وارد كردن گواهينامه Entity/Domain

-> keytool -import -trustcacerts -alias mykey -file yourDomainName.crt -keystore domain.keystore
شما بايد پيامي دريافت كنيد: در صورت موفقيت. Certificate reply was installed in keystore

نبايد خروجي مرحله 1 يا 2 در بالا مطابقت دهد.

نكته : اگر يك نام مستعار در هنگام ايجاد CSR مشخص شد، لطفا از آن نام مستعار به جاي mykey استفاده كنيد.

1. سرويس وب سرور را راه اندازي مجدد كنيد.

نكته : Tomcat ابتدا نياز به يك اتصال پيكربندي شده گواهي ssl دارد قبل از اينكه بتواند اتصالات ايمن را قبول كند. لطفا اطمينان حاصل كنيد كه اين تنظيم قبل از اينكه سرور دوباره راه اندازي شود انجام گيرد.

منبع:https://sarvssl.com/%D9%86%D8%B5%D8%A8-%D8%B2%D9%86%D8%AC%DB%8C%D8%B1%D9%87-%DA%AF%D9%88%D8%A7%D9%87%DB%8C%D9%86%D8%A7%D9%85%D9%87-ssl/

. نصب گواهينامه : Apache & mod_ssl

همه ي محتواي فايل فشرده ZIP كه براي شما ارسال شده است را باز كنيد(extract) و آنها را به سرور كپي يا جابه جا ((copy/move كنيد. معمولا مطالب استخراج شده با اسم هاي :

yourDomainName.crt و yourDomainName.ca-bundle نامگذاري مي شوند.

1. همه فايل هاي مرتبط با گواهي ssl را به دايركتوري هاي مناسب خود انتقال دهيد.

نصب معمولي :

• انتقال كليد خصوصي كه پيش از اين در پوشهkey ساخته شده است، كه معمولا در / etc / ssl / يافت مي شود. اين بايد دايركتوري باشد كه فقط Apache بتواند دسترسي پيدا كند.
• پوشهcrt و yourDomainName.ca-bundle خود را به پوشه ssl.crt منتقل كنيد، كه معمولا در پوشه / etc / ssl / يافت مي شود.

1. فايل حاوي تنظيمات SSL با ويرايشگر متن مورد علاقه خود ويرايش كنيد.
   مثالها nano : ، vi، pico، emacs، mousepad، notepad، notepad ++، و غيره.
   نكته: محل اين فايل ممكن است از بخش هاي ديگر متفاوت باشد. اين به فايل پيكربندي جهاني Apache اشاره خواهد داشت. به دنبال خطوطي باشيد كه با includeشروع مي شوند.

1. فايل هاي پيكربندي Apache

• Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
• Debian and Debian based: /etc/apache2/apache2.conf

فايل هاي پيكربنديگواهي ssl

برخي از نام هاي ممكن :

• httpd-ssl.conf
• conf
• در پوشه /etc/apache2/sites-enabled/

نكته : در صورت نياز لطفا مستندات توزيع خود را در Apache و SSL به مشورت بگذاريد يا به مستندات Apache در بنياد Apache بپيونديد

1. در قسمت VirtualHost فايل لطفا اين دستورالعمل ها را در صورتيكه وجود ندارند اضافه كنيد. بهتر است نظر خود را از آنچه در حال حاضر وجود دارد بيان و وروديهاي زير را اضافه كنيد.

• SSLEngine on
• SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
• SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
• SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***

1. .

Apache 1.3.x:

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

Apache 2.x:

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

1. فايل پيكربندي خود را ذخيره كنيد و سرويس Apache را راه اندازي مجدد كنيد. گاهي اوقات لازم است كه "توقف" و سپس "شروع" Apache ، به جاي صدور دستور "راه اندازي مجدد" براي تغييرات به اجرا درآيد.

نكته:
اگر انتخاب شما اين است كه يك رمز عبور بر روي كليد خصوصي خود داشته باشيد، از شما خواسته مي شود تا آن را وارد كنيد هر بار كه Apache شروع يا ريست مي شود. تا وقتي رمز عبور وارد نشده Apache به طور كامل شروع نخواهد .
فايل پيكربندي معمولا httpd.conf يا apache.conf ناميده مي شود، هر چند گاهي اوقات بخش خاص SSL در يك فايل جداگانه به نام ssl.conf قرار مي گيرد و از تنظيمات اصلي با دستور "Include" مرتبط مي شود. گاهي اوقات بخش TheVirtualHost در يك فايل خاص براي آن سايت ، در يك زير پوشه اي كه اغلب به عنوان سايت فعال برچسب گذاشته شده خواهد بود.
بخش عمده اي از طرح فايل هاي پيكربندي Apache و قراردادهاي نامگذاري دايركتوري توسط توزيع سيستم عامل مورد استفاده شما كنترل مي شود. توصيه مي شود كه به سايت خود و اسناد توزيع براي تأييد مكان ها مراجعه كنيد.

منبع:https://sarvssl.com/%D9%86%D8%B5%D8%A8-%DA%AF%D9%88%D8%A7%D9%87%DB%8C%D9%86%D8%A7%D9%85%D9%87-apache-mod_ssl/

نصب گواهي SSL روي : MICROSOFT IIS 5.X & 6.X

. نصبگواهي SSL SSL: Microsoft IIS 5.x & 6.x

نصب گواهينامه SSL شما در Microsoft IIS 5.x / 6.x

نكته : لطفا يك كپي از گواهينامه SSL خود را به صورت دستي داشته باشيد كه مي تواند در your_domain.crt يا your_domain.cer به عنوان اين فايل در مدت فرآيند نصب استفاده شود.

معمولا فايل هاي CER شامل : ريشه ، واسط و گواهي نامه دامنه همه در يك مسير هستند CRT فقط يك گواهي SSL است.

1. Control Panel را باز كنيد و به قسمت Administrative Tools .

نكته : در برخي از نسخه هاي ويندوز Administrative Tools را مي توان در زيرمنو All Programs.

1. روي Internet Services Manager دوبار كليك بزنيد.

نكته : در برخي از نسخه هاي ويندوز اين گزينه به شكل Internet Information Services است.

1. روي وبسايت راست كليك كنيد و قسمت Properties.

1. روي گزينه Directory Security كليك كنيد.

1. روي Server Certificate كليك كنيد پنجره ويزارد زير نمايش داده مي شود.

1. گزينه Process the Pending Request and Install the Certificate را انتخاب سپس Next را بزنيد.
2. مكان را وارد و يا مكان فايل گواهي SSL را انتخاب سپس Next را بزنيد.
3. صفحه خلاصه را بخوانيد تا مطمئن شويد كه گواهي نامه را درست پردازش كرده ايد سپس Next را بزنيد.
4. صفحه تائيديه را خواهيد ديد. اطلاعات را بخوانيد سپس كليد Next را بزنيد.
5. توقف و شروع مناسب براي سايت اتفاق مي افتد.
6. شما اكنون يك گواهي SSL نصب شده براي استفاده در IIS داريد.

نكته : اگر شما يك فايل CRT شخصي دريافت كرديد نه يك فايل CER لطفا بخش هاي مربوط به مقالات زير را براي نصب ريشه و واسط دنبال كنيد.

منبع:https://sarvssl.com/%D9%86%D8%B5%D8%A8-%DA%AF%D9%88%D8%A7%D9%87%DB%8C%D9%86%D8%A7%D9%85%D9%87-microsoft-iis-5-x-6-x/

نصب گواهي SSL روي ميل سرور SENDMAIL

نصب گواهي SSL : Sendmail (MTA)

وقتي شما قصد ارسال و دريافت ايميل داريد Sendmail مي تواند ايميل را توسط لايه سوكت امن (SSL) رمزگذاري كند.

• قسمتsendmail configuration file /etc/mail/sendmail.mc را باز كنيد(اگر چه توضيحات شما ممكن است در جاي ديگري نگهداري شوند) و حالا متن را در vi, emacs, nano بنويسيد.

# vi /etc/mail/sendmail.mc

حالا دستورالعمل زير را اضافه يا تغيير دهيد

define(`confCACERT_PATH',`/etc/mail/ssl/certs')

-- مكان براي پيدا كردن گواهي ssl

define(`confCACERT',`/etc/mail/ssl/ca-bundle.crt')

-- ريشه فايل بسته نرم افزاري (ممكن است شما نرم افزار سرور خود مانند را انتخاب كنيد Apache يا mod_ssl انتخاب كنيد)

define(`confSERVER_CERT',`/etc/mail/ssl/sendmail.crt')

-- گواهي نامه دامنه

define(`confSERVER_KEY',`/etc/mail/ssl/sendmail.key')

و اطمينان حاصل كنيد از اينكه تنظيمات پورت در حالت smtps (secure smtp i.e. port 465) است:

DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

• ارسالايميل را ريست كنيد و امنيت را در حالت pop3s/imaps قرار دهيد.(انتخاب شماست ، اگر از POP/IMAP استفاده مي كنيد به صورت زير عمل كنيد )

دستورات زير را تايپ كنيد براي ريست شدن ارسال ايميل و سرويس هاي مرتبط :

# /etc/init.d/sendmail restart
# chkconfig pop3s on
# chkconfig imaps on
# /etc/init.d/xinetd restart

pop3s و imaps از xinetd شروع ميشوند.

لطفا به موارد زير توجه كنيد :

*همه گواهي SSL به وسيله sarvssl تهيه شده كه در قالب PEM مي باشد.

*فايل كليد احتياج به اجازه خواندن/نوشتن صاحب فايل دارد البته فقط براي صاحب فايل نه براي گروه.

*عبارت define(`confLOG_LEVEL', `14')dnl ## به وسيله اشكال زدايي كمك مي كند. مي توانيد توضيحي بدهيد يا اينكه وقتي انجام شد به سطح پيش فرض 9 برگرديد.

منبع: https://sarvssl.com/%D9%86%D8%B5%D8%A8-%DA%AF%D9%88%D8%A7%D9%87%DB%8C-ssl-%D8%B1%D9%88%DB%8C-%D9%85%DB%8C%D9%84-%D8%B3%D8%B1%D9%88%D8%B1-sendmail/

نحوه نصب گواهي SSL روي Exchange 2007 powershell بصورت زير مي باشد

بعد از اينكه گواهي SSL را از سرو سرور تهيه كرديد بايد اين فايل را بداخل سروري كه روي ان excahnge نصب هست ببريد در مرحله بعدي بايد از دستور Import-ExchangeCertificate براي وارد كردن گواهي SSL استفاده نماييد

توجه : از كنسول MMC براي نصب گواهي SSL استفاده نكنيد زير باعث نصب نخواهد شد

محيط Exchange Management Shell را باز كنيد

در اين آموزش بطور مثال فايل گواهي SSL در مسير زير كپي شده است

c:exchange_example_net.crt

از دستور زير استفاده كنيد

Import-ExchangeCertificate -Path c:exchange_example_net.crt | Enable-ExchangeCertificate -Services SMTP ;

در دستور بالا c:exchange_example_net.crt مسير گواهينامه ssl كه از شركت سروسرور گرفته ايد مي باشد

علامت Services نمايش دهنده اين هست كه روي كدام سرويس ها گواهي SSL نصب شده است گزينه هاي مجاز SMTP IMAP POP IIS UM مي باشند

براي فعال كردن بروي سرويس هاي مختلف از دستور زير استفاده كنيد

Import-ExchangeCertificate -Path c:exchange_example_net.crt | Enable-ExchangeCertificate -Services "SMTP, POP, IMAP, IIS"

در اينجا نيز مثل بالا مسير فايل گواهي ssl مشخص شده است

بعد از نصب اين گواهينامه SSL در صورت نياز فايل هاي Intermediate Certificate را نيز نصب بنماييد تا در مرورگرهاي مختلف خطا نداشته باشيد

منبع:https://sarvssl.com/%D9%86%D8%B5%D8%A8-%DA%AF%D9%88%D8%A7%D9%87%DB%8C-ssl-%D8%B1%D9%88%DB%8C-exchange-2007-powershell/

نصب گواهينامه SSL در IPLANET 4.X & SUN ONE APPLICATION SERVER 6.X

نصب گواهينامه SSL در iPlanet 4.x & Sun ONE Application Server 6.x

بعد از اينكه گواهينامه SSL را از سرو سرور دريافت كرديد كه شامل فايل گواهي ssl مي باشد بداخل وب سرورتان لاگين كرده و Install Certificate را انتخاب كنيد

براي نصب فايل cabundle يا intermediate certificate بصورت زير عمل كنيد

Trusted Certificate Authority را انتخاب كنيد و متن همين فايل را كه از طرف شركت براي شما ارسال شده داخل قسمت متني وارد كنيد و سپس ok كنيد

توجه داشته باشيد سرور را قبل از كامل شدن مراحل خاموش نكنيد

همين مرحله رابراي Intermediate CA certificate انجام دهيد و Server Certificate Chain را انتخاب كنيد

براي اين سايت مراحل بالا را انجام دهيد اما فقط Server Certificate Chain را انتخاب كرده ايد و مي بايست فايل مربوط به انرا در قسمت متن اضافه كنيد

از تب Preferences و سپس به Encryption On/Off برويد

encryption را روي On قرار دهيد و پورت را روي 443 تنظيم و روي ok كليك كنيد

حالا سرور را ريستارت كنيد

منبع:https://sarvssl.com/%D9%86%D8%B5%D8%A8-%DA%AF%D9%88%D8%A7%D9%87%DB%8C%D9%86%D8%A7%D9%85%D9%87-ssl-%D8%AF%D8%B1-iplanet-4-x-sun-one-application-server-6-x/