Yandex Metrika
CIFTIX
sanches.free

Свой TLS в nginx при веб‑окружении «1С‑Битрикс»: один сертификат на домен

битрикс nginx ssl веб-окружение https

В чём задача

На сервере с CentOS и сценарием установки Bitrix Virtual Appliance есть отдельные файлы apache и nginx на каждый сайт в пуле. Сам подписанный сертификат из набора виртуальной машины не подходит для публичного доверия браузера: нужно подставить свой выпуск или купленный у УЦ материалы для конкретного FQDN.

Файлы, которые редактируют

На первом узле главный HTTPS‑ветвитель часто описан в блоке типа /etc/nginx/bx/site_available/ssl.s1.conf (точное имя каталога зависит от поколения образа и может отличаться на одну букву). Внутри включают общий чертёж include bx/conf/ssl.conf; — его и заменяют на собственный include либо переключают содержимое.

Объединение PEM

Создают директорию вроде /etc/nginx/ssl/example/, в файл cert.pem склеивают в одном тексте в указанном порядке приватный RSA‑ключ своего узла (если ключ хранится отдельным файлом вообще то лучше ssl_certificate_key на него, а не в один файл), серверный сертификат домена, промежуточный и корневой узел цепочки — строго в последовательности, которую задаёт ваш УЦ. В упрощённой схеме с общим файлом:

# ssl_certificate     /etc/nginx/ssl/example/fullchain.pem;
# ssl_certificate_key /etc/nginx/ssl/example/privkey.pem;

В комментированном примере показано предпочтительное разделение ключа и цепочки; при наследии из старой инструкции допускается один concatenated PEM, если так требует процедура миграции.

Несколько доменов

Для дополнительных сайтов ищут конфиг по шаблону вроде bx_ext_ssl_example.ru.conf в том же дереве: префикс bx_ext_ связывает узел с каталогом /home/bitrix/ext_www/. Там снова подменяют include на bx/conf/ssl.example.conf с путями только к этому домену, чтобы не перепутать цепочки при росте числа проектов.

После перезагрузки

Проверяют nginx -t, перезапускают сервис и валидируют цепочку внешним тестером TLS. Для «1С‑Битрикс» важно не выкладывать приватный ключ в репозиторий проекта и хранить резервную копию каталога с сертификатами отдельно от публичного бэкапа сайта.

Не хотите копаться сами?

Починю за 1-3 дня. Без предоплаты — оплата по результату.

Обсудить задачу Все услуги

15+ лет опыта с 1С-Битрикс · Без предоплаты · 7 дней гарантии