Сегодня я таки сделал то, о чем думал давно — сгенерировал себе SSL сертификат и настроил сервер, чтобы он использовал его для этого блога. Дело не совсем в безопасности, а скорее в том, чтобы информация, которую я тут пишу, не летала через сети моего провайдера, да и других российских провайдеров, которые, я знаю, не чисты на руку. Мне, конечно, нечего скрывать, иначе я бы это не писал тут, но мне не нравится мысль о том, что вся информация хранится где-то у людей в погонах и без.
Кстати, хочу тут записать команды, с помощью которых я создал wild-card сертификат для сайта.
1. Сначала редактируем значения по умолчанию:
nano /etc/ssl/openssl.cnf
Самое главное, это закомментировать строки со значениями, которые нам не нужны в сертификате.
2. Генерируем ключ
openssl genrsa 2048 > wildcard.hostname.key
3. Создаем сам сертификат
openssl req -new -x509 -nodes -sha1 -days 3652 -key wildcard.hostname.key > wildcard.hostname.crt
Создаем мы его не на вечность, а на 3652 дня, это 10 лет.
4. Ну а потом подставляем его в конфиг nginx, перезапускаем его и — вуаля! Сайт доступен (только) по HTTPS.