The certificate, private key, and certificate chain must all be PEM-encoded
/ssl/test1.bx.key.pem
/ssl/test1.bx.cert.pem
/ssl/test1.bx.ca-chain.cert.pem
Могу ошибаться (каждый раз вспонимаю как это делается), но:
1) COMODO вроде как уже сразу выдает сертификаты в PEM, только называются они .crt / .key Поэтому файлы сертификата и ключа получаются переименованием:
Сделал: 1) Просто переименовал файлы .key и .crt в domain.com.key.pem и domain_com..cert.pem соответственно. 2) Цепочку сертификатов создал из файлов COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt AddTrustExternalCARoot.crt > domain.com.ca-chain.cert.pem (https://support.comodo.com/index.php?/Knowledgebase/Article/View/1145/1/how-do-i-make-my-own-bundle-...) 2) В меню виртуальной машины указал пути к файлам, задача в итоге завершилась успешно.
Результат: 1) В браузере строка зеленая. 2) Проверка sslshopper.com ругается на цепочку сертификатов
The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate. Learn more about this error. You can fix this by following Comodo's Certificate Installation Instructions for your server platform (use these instructions for InstantSSL). Pay attention to the parts about Intermediate certificates.
Александр Ким, проверьте ссылкой симантека - он скажет какой лишний, а какие отсуствуют. Комодо иногда лишние поикладывает (не обязательно все сертификаты должны быть, там в цепочке дело)
Особое внимание к приватному ключу, обязательно должен быть без кодированной фразы\пароля обычно в ключе видно ENCRYPTED прямо в тексте, значит приватный ключ с пасскодом, nginx при рестарте будет его каждый раз запрашивать. Убираем пасскод:
Александр Фадеев, приватный ключ не обязательно должен быть в pem-файле. У nginx всего 2 параметра (насколько мне известно): ssl_certificate и ssl_certificate_key. Причем в ssl_certificate указывается именно полный pem-файл (от юдоменного до вышестоящего).
Однако тот факт, что битрикс требует отдельно файл сертификата и файл цепочки, наводит на мысль, что он сам это сделает (или должен сделать, но почему-то не сделал).