Народ подскажите плиз - скинули ssl сертификаты 3 штуки -

bundle, crt и p7b - что куда пихать в конфиг nginx ?

Напомни, что там в документации к nginx написано. А то лень перечитывать.

http://nginx.org/en/docs/http/configuring_https_servers.html

Глянь что в сертах, сделай fullchain цепочку, проверь что ключ подходит к серту и положи путь к сертификату + ключ в конфиг Nginx

а какой из них ключ ?

Смотри, чтобы получить сертификат - сначала делают приватный ключ, потом делают запрос на сертификат подписывая его приватным ключом. Далее запрос ты отправляешь в УЦ , в УЦ тебе выдают сертификат на твой запрос и CA root этого УЦ. Далее ты берешь свой приватный ключ .key и серт .crt, сравниваешь по хэш сумме (если не знаешь какой серт из того списка надо брать) openssl x509 -noout -modulus -in mycert.cer | openssl md5 openssl rsa -noout -modulus -in mykey.key | openssl md5 Хэшсумма ключа и серта должна совпадать

спс уже проверил они совпадают, вопрос в том что мне дали бандл и вот его уже nginx не может соотнести с ключом

наскока я понимаю бандл это fullchain и вот с этим проблемы

вот тут общая документация по настройке TLS: https://wiki.mozilla.org/Security/Server_Side_TLS а здесь - https://ssl-config.mozilla.org/ - генератор конфига nginx на основании рекомендаций из этой документации. =================================================== вариант настройки может быть, например, таким: # cat /etc/nginx/nginx.conf http { # ... ssl_protocols TLSv1.3 TLSv1.2; ssl_prefer_server_ciphers off; ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384; ssl_session_cache shared:SSL:32M; ssl_session_timeout 120m; ssl_stapling on; ssl_stapling_verify on; resolver 127.0.0.1 ipv6=off; # ... include /etc/nginx/conf.d/*.conf; } # cat /etc/nginx/conf.d/default.conf server { listen 443 bind default_server ssl http2; ssl_reject_handshake on; } server { listen 80 bind default_server; server_name default-server; location / { return 444; } } # cat /etc/nginx/conf.d/example.com.conf server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; if ($request_uri ~ "^[^?]*?//") { rewrite ^(.*) $scheme://$host$1 permanent; } if ($http_host ~ "\.$") { rewrite ^(.*) $scheme://$host$1 permanent; } add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; location / { return 200 "OK"; } } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; if ($request_uri ~ "^[^?]*?//") { rewrite ^(.*) $scheme://$host$1 permanent; } if ($http_host ~ "\.$") { rewrite ^(.*) $scheme://$host$1 permanent; } add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; location / { return 301 https://example.com$request_uri; } } server { listen 80; server_name example.com www.example.com; location / { return 301 https://example.com$request_uri; } } ================================================ в этом примере предполагается что на 127.0.0.1 слушает DNS ресолвер, например, unbound. Если его там нет - тогда надо или его поставить, или убрать эти три директивы из конфига: ssl_stapling on; ssl_stapling_verify on; resolver 127.0.0.1 ipv6=off; включение ssl_stapling приводит к тому, что сайт у пользователей будет открываться немного быстрее. вместо return 200 "OK"; в конфиге должны быть что-то другое, какие-то другие директивы, выполняющие полезную работу. доменные имена example.com www.example.com даны только для примера, в действительности там надо поставить те имена доменов, которые соответствуют Вашему сайту. вместо ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; надо будет указать пути к первому файлу fullchain.pem - это bundle с сертификатом сайта и промежуточными сертификатами и пути ко второму файлу - privkey.pem, который является приватным ключом в формате pem. Приватный ключ - это секретная информация, его нельзя никому постороннему показывать или пересылать. В файловой системе на файл с приватным ключом желательно поставить права доступа 0600 и владельца root:root. после того как nginx запустится и в логе не будет сообщений про ошибки - тогда имеет смысл проверить свой сайт через сервис https://www.ssllabs.com/ssltest/ если все будет настроено правильно - тогда у Вашего сайта будет показан Overall Rating А+

при этом тут совпадает

спасибо большое, но я уже уехал немного дальше, сертификаты не работают

Тебе дали ключ в другом формате Его надо преобразовать

Это да))

не в pem да ?

Не не, не в pem))

не надо портянки сюда кидать