Настройка безопасности с помощью параметров AppContext (для .NET Framework 4.6 или более поздней версии)
Описанные в этом разделе параметры AppContext нужно использовать, если приложение запущено на платформе .NET Framework 4.6 или более поздних версий либо предназначено для нее. По возможности явно укажите для параметров значение или оно должно быть задано по умолчанию. Чтобы настроить безопасность с помощью одного или обоих параметров, не указывайте значение протокола безопасности в коде, так как это переопределит значения параметров.
Функции этих параметров одинаковы как для сетевых подключений по протоколу HTTP (ServicePointManager), так и через сокеты TCP (SslStream).
Switch.System.Net.DontEnableSchUseStrongCrypto
Задайте для значение , чтобы в приложении использовалось устойчивое шифрование. Задайте для значение , чтобы использовать безопасные сетевые протоколы (TLS 1.2, TLS 1.1 и TLS 1.0) и блокировать небезопасные. Дополнительные сведения см. в разделе о флаге . Значение позволяет отключить устойчивое шифрование для приложения.
Если приложение предназначено для .NET Framework 4.6 или более поздней версии, по умолчанию для параметра задано значение . Мы рекомендуем использовать эти безопасные настройки по умолчанию. Если приложение запускается на .NET Framework 4.6, но предназначено для более ранней версии, значение параметра по умолчанию — . В этом случае нужно явно задать значение .
Если нужно установить подключение к устаревшим службам без поддержки устойчивого шифрования и возможности обновления, для параметра нужно задать только значение .
Switch.System.Net.DontEnableSystemDefaultTlsVersions
Если для задать значение , приложение разрешит операционной системе выбирать протокол. Если задать значение , приложение будет использовать протоколы, выбранные платформой .NET Framework.
Если приложение предназначено для .NET Framework 4.7 или более поздних версий, по умолчанию для параметра задано значение . Мы рекомендуем использовать эти безопасные настройки по умолчанию. Если приложение запускается на .NET Framework 4.7 или более поздних версиях, но предназначено для более ранней версии, по умолчанию для параметра задано значение . В этом случае нужно явно задать значение .
Switch.System.ServiceModel.DisableUsingServicePointManagerSecurityProtocols
Задайте для значение , чтобы приложение использовало значение, определенное в свойстве , для защиты передаваемых сообщений с помощью учетных данных сертификата. Если задать значение , будет использоваться последняя доступная версия протокола до TLS 1.0.
Если приложение предназначено для .NET Framework 4.7 или более поздних версий, по умолчанию для параметра задано значение . Если приложение предназначено для .NET Framework 4.6.2 и более ранних версий, по умолчанию для параметра задано значение .
Switch.System.ServiceModel.DontEnableSystemDefaultTlsVersions
Если задать для значение , в конфигурации по умолчанию операционной системе разрешается выбирать протокол. Если задать значение , по умолчанию будет использоваться последняя доступная версия протокола до TLS 1.2.
Если приложение предназначено для .NET Framework 4.7.1 или более поздних версий, по умолчанию для параметра задано значение . Если приложение предназначено для .NET Framework 4.7 и более ранних версий, по умолчанию для параметра задано значение .
См. дополнительные сведения об устранении рисков при работе с протоколами TLS. Дополнительные сведения о параметрах см. в статье об элементе .
Поддержка TLS 1.2
Чтобы приложение могло согласовать протокол TLS 1.2, операционная система и версия платформы .NET Framework должны поддерживать этот протокол.
Требования к операционной системе для поддержки протокола TLS 1.2
Чтобы включить или повторно включить протокол TLS 1.2 и (или) TLS 1.1, в системе, которая их поддерживает, ознакомьтесь со статьей Transport Layer Security (TLS) registry settings (Параметры реестра для протокола TLS).
Операционная система | Поддержка TLS 1.2 |
---|---|
Windows 10Windows Server 2016 | Поддерживается и включена по умолчанию. |
Windows 8.1Windows Server 2012 R2 | Поддерживается и включена по умолчанию. |
Windows 8.0Windows Server 2012 | Поддерживается и включена по умолчанию. |
Windows 7 SP1Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Поддерживается, но не включена по умолчанию. Сведения о том, как включить TLS 1.2 см. на веб- странице Transport Layer Security (TLS) registry settings (Параметры реестра для протокола TLS). |
Windows Server 2008 | Для поддержки TLS 1.2 и TLS 1.1 требуется обновить систему. Дополнительные сведения см. в статье Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2 (Обновление для добавления поддержки TLS 1.1 и TLS 1.2 в Windows Server 2008 с пакетом обновления 2 (SP2)). |
Windows Vista | Не поддерживается. |
Сведения о том, какие версии протоколов TLS или SSL включены в версиях Windows, см. в статье Protocols in TLS/SSL (Schannel SSP) (Протоколы TLS и SSL (поставщик службы безопасности Schannel))
Требования для поддержки TLS 1.2 на платформе .NET Framework 3.5
В этой таблице указаны обновления операционной системы, которые требуются для включения поддержки TLS 1.2 для .NET Framework 3.5. Мы рекомендуем применить все обновления операционной системы.
Операционная система | Минимальные обновления, необходимые для включения поддержки TLS 1.2 для .NET Framework 3.5 |
---|---|
Windows 10Windows Server 2016 | Накопительный пакет обновления для Windows 10 версии 1511 и Windows Server 2016 Technical Preview 4 за 10 мая 2016 г. |
Windows 8.1Windows Server 2012 R2 | Включенная поддержка версий TLS по умолчанию для .NET Framework 3.5 в Windows 8.1 и Windows Server 2012 R2 |
Windows 8.0Windows Server 2012 | Включенная поддержка версий TLS по умолчанию для .NET Framework 3.5 в Windows Server 2012 |
Windows 7 SP1Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Включенная поддержка версий TLS по умолчанию для .NET Framework 3.5.1 в Windows 7 с пакетом обновления 1(SP1) и Server 2008 R2 с пакетом обновления 1(SP1) |
Windows Server 2008 | Включенная поддержка версий TLS по умолчанию для .NET Framework 2.0 с пакетом обновления SP2 в Windows Vista SP2 и Server 2008 SP2 |
Windows Vista | Не поддерживается |
IssuerCacheSize
Эта запись определяет размер кэша издателя и используется при сопоставлении издателя.
ПОСТАВЩИК удостоверений SChannel пытается сопоставлять всех издателей в цепочке сертификатов клиента, а не только непосредственного издателя сертификата клиента.
Если издатели не сопоставляются с учетной записью, что является типичным случаем, сервер может попытаться повторно сопоставлять одно и то же имя издателя несколько раз в секунду.
Чтобы избежать этого, сервер имеет негативный кэш, и если имя издателя не соответствует учетной записи, оно добавляется в кэш, и Schannel SSP не будет пытаться снова сопоставить это имя издателя, пока не истечет срок действия записи кэша.
Эта запись реестра указывает размер кэша.
Эта запись не существует в реестре по умолчанию.
Значение по умолчанию — 100.
применимые версии: все версии, начиная с Windows Server 2008 и Windows Vista.
Путь в реестре: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Проверка состояния SSL/TLS
Примечание: Выполните этот раздел на сервере MySQL.
Подключитесь к серверу MySQL и проверьте текущее состояние SSL/TLS.
Запустите сессию root-пользователя MySQL. Флаг –h позволяет указать локальный loopback-интерфейс IPv4, чтобы клиент подключался к TCP вместо локального сокета. Это позволит проверить статус SSL для TCP-соединений:
По запросу введите root-пароль MySQL, после чего откроется интерактивная сессия.
Запросите состояние переменных SSL/TLS:
Переменные have_openssl и have_ssl отключены (отмечены как DISABLED). Это значит, что сервер поддерживает функции SSL, но пока что шифрование не включено.
Проверьте состояние текущего соединения:
На данный момент подключение не использует SSL даже несмотря на то, что это TCP-подключение.
Закройте текущую сессию MySQL:
Проверка работоспособности
После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат
Если этого не произошло, стоит обратить внимание на:
- Отсутствие в правильной группе безопасности, которая указана в шаблоне;
- Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверить что сертификат был успешно выпущен можно в консоли ADCS:
Успешно выданный сертификат RDP
При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат
Проверка правильности сертификата в RDP подключении
На этом все. Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.
голоса
Рейтинг статьи
ClientCacheTime
Эта запись определяет время в миллисекундах, через которое в операционной системе истекает срок действия записей кэша на стороне клиента.
Значение 0 отключает кэширование безопасного подключения.
Эта запись не существует в реестре по умолчанию.
При первом подключении клиента к серверу через Schannel SSP выполняется полное подтверждение TLS/SSL.
После завершения главная копия секрета, комплект шифров и сертификаты хранятся в кэше сеанса на соответствующем клиенте и сервере.
начиная с Windows Server 2008 и Windows Vista, время кэширования клиента по умолчанию составляет 10 часов.
Путь в реестре: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Установите плагин OpenVPN Client, чтобы сгенерировать конфигурацию.
Хотя OpenVPN по умолчанию устанавливается в pfSense, либо в его серверном, либо в клиентском режиме, у нас нет предустановленного пакета, который позволяет нам автоматически генерировать конфигурацию для клиентов. Если мы перейдем в диспетчер пакетов в «Система / Диспетчер пакетов» и перейдем на вкладку «Доступные пакеты», мы сможем установить пакет «OpenVPN-client-export», который позволит нам выполнить именно это действие, что значительно облегчит конфигурация клиентов, импортирующая конфигурацию сервера с соответствующими цифровыми сертификатами.
После установки мы будем готовы перейти к следующему шагу — созданию цифровых сертификатов.
IssuerCacheTime
Эта запись определяет продолжительность интервала времени ожидания кэша в миллисекундах.
ПОСТАВЩИК удостоверений SChannel пытается сопоставлять всех издателей в цепочке сертификатов клиента, а не только непосредственного издателя сертификата клиента.
Если издатели не сопоставляются с учетной записью, что является типичным случаем, сервер может попытаться повторно сопоставлять одно и то же имя издателя несколько раз в секунду.
Чтобы избежать этого, сервер имеет отрицательный кэш, поэтому если имя издателя не сопоставляется с учетной записью, оно добавляется в кэш, и поставщик ключей SChannel не будет пытаться повторно сопоставлять имя издателя до истечения срока действия записи кэша.
Этот кэш сохраняется для повышения производительности, чтобы система не продолжала попытки сопоставить тех же издателей.
Эта запись не существует в реестре по умолчанию.
Значение по умолчанию — 10 минут.
применимые версии: все версии, начиная с Windows Server 2008 и Windows Vista.
Путь в реестре: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Включение SSL на сервере MySQL
Современные версии MySQL ищут файлы сертификатов в каталоге данных MySQL при запуске сервера. Потому для включения поддержки SSL не нужно изменять конфигурацию MySQL.
Достаточно просто перезапустить сервис MySQL:
После перезапуска откройте сессию MySQL. Клиент MySQL автоматически попытается подключиться по SSL, если сервер поддерживает такие изменения.
Попробуйте снова запросить состояние переменных SSL:
Теперь вместо DISABLED переменные have_openssl и have_ssl имеют значение YES. Кроме того, переменные ssl_ca, ssl_cert и ssl_key теперь содержат имена соответствующих файлов.
Снова введите команду:
На этот раз отображается специальный SSL-шифр, а это значит, что для защиты соединения используется SSL.
Вернитесь в оболочку:
Теперь сервер поддерживает шифрование данных.
Привязка TLS к резервированию URL-адресов служб Reporting Services
Следующие шаги не содержат инструкций для запроса формирования, загрузки или установки сертификата. Сертификат должен быть установлен и доступен для использования. Главное, что при этом требуется, — правильно задать свойства сертификата, получить его из центра сертификации и пользоваться средствами и программами для запроса и установки сертификата.
Привязку сертификата можно выполнить при помощи программы настройки служб Службы Reporting Services . Если сертификат установлен в хранилище локального компьютера правильно, программа настройки служб Службы Reporting Services обнаружит его и отобразит в списке Сертификаты SSL на страницах URL-адрес веб-службы и URL-адрес веб-портала.
Настройка URL-адреса сервера отчетов для TLS
-
Запустите программу настройки служб Reporting Services и подключитесь к серверу отчетов.
-
Щелкните URL-адрес веб-службы.
-
Разверните список TLS/SSL-сертификатов. Службы Reporting Services производят в локальном хранилище поиск сертификатов проверки подлинности сервера. Если сертификат установлен, но его нет в списке, то может понадобиться перезапустить службу. Это можно сделать с помощью кнопок Стоп и Пуск на странице Состояние сервера отчетов в программе настройки служб Reporting Services (верхняя страница).
-
Выберите сертификат.
-
Нажмите кнопку Применить.
-
Щелкните URL-адрес, чтобы проверить работоспособность.
Для тестирования URL-адреса необходима настройка базы данных сервера отчетов. Если база данных сервера отчетов еще не создана, то это необходимо сделать до начала тестирования URL-адреса.
Резервирования URL-адресов для веб-портала и веб-служб сервера отчетов настраиваются независимо. Вы также можете настроить доступ к веб-порталу через канал с TLS-шифрованием, сделав следующее.
-
Перейдите по URL-адресу веб-портала.
-
Выберите Дополнительно.
-
В разделе Несколько HTTPS-удостоверений для выбранного сейчас компонента Reporting Services выберите Добавить.
-
Выберите сертификат, а затем щелкните ОК и Применить.
-
Проверьте URL-адрес.
История
Java Edition Classic | ||
---|---|---|
server 1.5 | Добавлено , который ограничивает максимальное количество подключений с одного IP. | |
server 1.9.1 | Добавлено , который не будет выращивать деревья, если не задано значение true. | |
server 1.10 | Добавлено предупреждение, когда был отключен. | |
Добавлен , который не позволяет не администраторы, если количество игроков почти достигнуто. | ||
Java Edition Alpha | ||
server 0.2.0 | Добавлен параметр , если установлено значение true, будут включены монстры. | |
server 0.2.4 | Добавлена опция , если установлено значение true, животные отключатся. | |
server 0.2.5 | Добавлена опция для отключения или включения боя между игроком и игроком. | |
Переименовал в и установил значение по умолчанию на true | ||
переименован в . | ||
Java Edition. Бета | ||
1.6 | Добавлен , который, если установлен в false, запрещает вход в нижнее. | |
Добавлен параметр , который устанавливает максимальное расстояние обзора. | ||
Java Edition | ||
1.0.0 | Beta 1.9 Prerelease 4 | Добавлены , , , , и . |
1.1 | 11w49a | Добавлен . |
12w01a | Добавлен . | |
релиз | Добавлены . | |
1.2.1 | 12w07a | Добавлен . |
1.4.2 | 12w40a | Добавлен . |
1.5 | 13w05a | Установка для значения 0 теперь отключает защиту от появления, вместо защиты области 1 × 1 (MC-666). |
1.7.2 | 13w38a | Добавлена опция, позволяющая отключить объявления о достижениях в чате. |
1.8 | 14w17a | Добавлены . |
14w28a | Добавлена опция для настройки сжатия сети. | |
1.11 | 16w38a | Добавлено . |
1.12 | 17w18a | Удалена опция , поскольку она была заменена игровым правилом . |
1. 14 | 18w48a | и настройки теперь принимают строковые имена; целочисленные значения по-прежнему разрешены как устаревший вариант. |
1.14.4 | Pre-Release 4 | Добавлен параметр , который определяет, какие функции уровня разрешения имеют. |
1.15 | Pre-Release 5 | Увеличен лимит размера пакета ресурсов сервера до 100 МБ. |
1.16 | 20w14a | Добавлена опция для отключения новой синхронной записи фрагментов. |
20w16a | Добавлен параметр , который предоставляет компонент MBean, который показывает время тика в миллисекундах. | |
20w18a | Добавлены и параметры. | |
1.16.2 | 20w28a | Добавлено , чтобы установить ограничение скорости пакетов для пользователя. |
1.16.4 | Pre- выпуск 1 | Добавлен . |
Предстоящая версия Java Edition | ||
1.17 | 20w45a | Добавлен , который заставляет пользователей принимать пакет ресурсов. |
Bedrock Edition | ||
1.6.1 | Первоначальный выпуск выделенного сервера Bedrock. | |
Текущие параметры включают , , , , , , , , , , , , , , , , . | ||
1.7.0 | переименован в . | |
1.12.0.28 | Добавлен , который позволяет регистрировать ошибки содержимого в файл. | |
1.13.0 | Добавлен , , , , , . | |
1.16.100 | Изменено значение по умолчанию с «true» на «server-auth» (false теперь «client-auth») |
Клиентский сертификат
Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.
Как работает OpenVPN?
Протокол OpenVPN отвечает за поддержание коммуникации между клиентом и сервером. Как правило, он используется для создания защищённого “туннеля” между VPN-клиентом и VPN-сервером.
Для шифрования и аутентификации OpenVPN использует библиотеку OpenSSL. Кроме того, для передачи данных OpenVPN может использовать UDP (User Datagram Protocol) или TCP (Transmission Control Protocol).
Если вы не знакомы с TCP и UDP, то это протоколы транспортного уровня, которые используются для передачи данных в интернете. TCP считается более стабильным, так как предлагает функцию исправления ошибок (после отправки сетевого пакета TCP ожидает подтверждения перед его повторной отправкой или отправкой нового пакета). UDP исправляет ошибки, что делает его менее стабильным, но намного быстрее.
OpenVPN лучше всего работает по UDP (согласно данным OpenVPN.net), поэтому сервер доступа OpenVPN сначала пытается установить UDP-соединения. Если это не удаётся, только тогда сервер пробует создать соединение по протоколу TCP. Большинство VPN-Сервисов по умолчанию предоставляют OpenVPN через UDP.
Благодаря своей структуре кода (это кастомный протокол безопасности), протокол OpenVPN может легко обходить HTTP и NAT.
В отличие от большинства VPN-протоколов, OpenVPN — это протокол с открытым исходным кодом. Это означает, что код никому не принадлежит, и третьи стороны всегда могут его проверить или модернизировать (улучшить).
Создание клиентского сертификата
Клиентский сертификат создается примерно так же, как серверный.
$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) []:^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) []:Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) []:Engineering Common Name (e.g. server FQDN or YOUR name) []:Ivan Ivanov Email Address []:[email protected] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT
Если необходим клиентский сертификат в формате PKCS12, создаем его:
$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:
Теперь можно использовать клиентский сертификат для работы с нашим сервером.
Minecraft Свойства классического сервера
Ключ
Тип
Значение по умолчанию
Описание
verify-names
boolean
true
Если включено, сервер гарантирует, что клиент вошел в систему с тем же IP-адресом, что и на Minecraft.net. Это вызвало проблемы у людей, пытающихся играть на том же компьютере, на котором размещен сервер, поскольку сервер видит локальный IP-адрес (127.0.0.1), а Minecraft.net видит внешний IP-адрес. Рекомендуется включить это, если игрок не хочет играть на сервере игрока с того же компьютера, на котором он размещен.
true — Включено . Сервер проверяет все имена с помощью Minecraft.net
false — отключено. Сервер проверяет соответствие IP
admin-slot
boolean
false
Разрешить операциям присоединяться, даже если сервер заполнен.
public
boolean
Должен ли сервер отображаться в списке серверов или нет.
true — сервер отображается в списке серверов — его может видеть любой.
false — только люди с URL-адресом, который можно найти в externalurl.txt, и люди, которые знают IP и порт, могут присоединиться к серверу
server-name
строка
Имя сервера. Это отображается в списке серверов, и когда кто-то присоединяется к серверу
max-player
integer (0-256)
Максимальное количество игроков, которые могут играть на сервере одновременно
Обратите внимание, что если на сервере больше игроков, он использует больше ресурсов. Также обратите внимание, что административные соединения не учитываются в максимальном количестве игроков
max-connections
integer (1-3)
Максимальное количество подключений, которые сервер принимает с того же IP-адреса.
Примечание: Если установлено больше 3, оно меняется обратно на 3.
motd
строка
MOTD — это сокращение от «Сообщение дня», хотя игроку не нужно менять его каждый день. MOTD отображается, когда люди присоединяются к серверу.
grow-tree
boolean
Позволяет ли сервер вырасти посаженным саженцам в деревья.
true — сервер позволяет саженцам вырасти в деревья. деревья.
false — сервер не позволяет саженцам вырасти в деревья.
Причина
Входящий или исходящая репликация была автоматически отключена операционной системой из-за нескольких корневых причин.
Три события, которые отключают репликацию входящие или исходящие:
- Произошел откат USN (NTDS General Event 2103).
- Жесткий диск заполнен (общее событие NTDS 1393).
- Присутствует коррумпированный вектор UTD (Event 2881).
При одном из трех условий операционная система автоматически вносит четыре изменения конфигурации. Четыре изменения конфигурации:
- Репликация входящих active Directory отключена.
- Исходяние репликации Active Directory отключено.
- Значение DSA, не подаваемого в реестре, устанавливается значением nonzero.
- Состояние службы NETLOGON изменено с запущенного на приостановленное.
Доминирующей причиной этого условия ошибки является откат usN, обсуждаемый в журнале контроллера домена A Windows Server directory Services событий 2095,когда он сталкивается с откатом USN .
Не следует предполагать, что любое значение nonzero для DSA не является writable или что источник или сервер назначения в настоящее время отклоняет запросы репликации во время репликации DCPROMO / AD репликации окончательно означает, что откат USN произошел и что такие контроллеры домена неявно должны быть принудительно понижены или принудительной перепроизводства. Demotionmaybe правильный вариант. Однако она может быть чрезмерной, если ошибка вызвана недостаточным свободным пространством диска.
Установка SSL/TLS-сертификата на сервер с nginx
Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:
1) Скопировать файлы .key и .pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private
2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):
server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }
3) Перезапустить nginx
4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.