Установка ssl сертификата: Установка SSL-сертификата — SSL-сертификаты — FAQ — Помощь

Содержание

Как установить SSL-сертификат Let’s Encrypt для Ubuntu 20.04

Шифрование SSL / TLS является неотъемлемой частью сетевой инфраструктуры. Все web и почтовые сервера позволяют включить шифрование данных. В этой статье мы расскажем, как получить бесплатный SSL-сертификат Let’s Encrypt.

Как получить бесплатный сертификат Let’s Encrypt:

SSL-сертификатыЗащита сайтов любого уровняот504 руб/годПопробовать

В качестве начальных условий вам потребуется доменное имя. Его A-запись DNS должна содержать публичный адрес вашего сервера. Если брандмауэр включен, откройте доступ для трафика HTTP и HTTPS.

sudo ufw allow 80
sudo ufw allow 443

Шаг 1. Установка пакета «Let’s Encrypt»

Процесс установки пакета «Let’s Encrypt» со всеми его зависимостями предельно прост — достаточно ввести команду:

sudo apt install letsencrypt

Вместе с пакетом «Let’s Encrypt» эта команда также устанавливает утилиту «certbot.timer» для автоматического продления сертификата. Она проверяет действительность SSL-сертификатов в системе два раза в день и продлевает те, срок действия которых истекает в следующие 30 дней. Для проверки запуска утилиты введите:

sudo systemctl status certbot.timer
Существуют разные конфигурации и условия получения сертификата. Далее рассмотрим некоторые из них.

Step 2 – Автономный сервер для получения SSL-сертификата «Let’s Encrypt»

Самый простой способ получить SSL-сертификат — использовать отдельную опцию в Certbot. Замените domain-name.com на свое доменное имя, выполните команду и следуйте инструкциям:

sudo certbot certonly --standalone --agree-tos --preferred-challenges http -d domain-name.com

Параметр certonly означает, что сертификат будет получен только без установки на каком-либо web-сервере,

standalone позволяет запускать собственный web-сервер для аутентификации, agree-tos — принятие ACME соглашения о подписке на сервер, являющемся предварительным условием, а preferred-challenges http — выполнение авторизации с использованием HTTP.

Step 3 – Автоматическая установка SSL-сертификата на web-серверах nginx и Apache

Certbot может автоматически устанавливать сертификат на web-серверы nginx и Apache. Для этого вам необходимо установить и выбрать подходящий дополнительный пакет для вашего сервера.

apt install python3-certbot-nginx
apt install python3-certbot-apache

Команда для nginx:

sudo certbot --nginx --agree-tos --preferred-challenges http -d domain-name.com

sudo certbot --apache --agree-tos --preferred-challenges http -d domain-name.com

Следуйте инструкциям, и Certbot установит SSL-сертификат.

Step 4 – Wildcard-сертификат «Let’s Encrypt»

Единственный возможный метод создания Wildcard-сертификата — это DNS. В параметре d необходимо указать как пустой домен, так и wildcard.

sudo certbot certonly --manual --agree-tos --preferred-challenges dns -d domain-name.com -d *.domain-name.com

После этого поместите указанную запись TXT на свой DNS-сервер и нажмите «continue».

Если все в порядке, вы увидите путь хранения вашего нового Wildcard-сертификата и другую информацию.

Средняя оценка: 5.0 Оценили: 1

191028 Санкт-Петербург Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99 700 300 ООО «ИТГЛОБАЛКОМ ЛАБС»

191028 Санкт-Петербург Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99 700 300 ООО «ИТГЛОБАЛКОМ ЛАБС» 700 300

Как установить SSL сертификат

В данной статье немного рассмотрим SSL сертификат и как его приобрести.

 

Обратите внимание!

— При покупке SSL-сертификата обратите внимание, что SSL-сертификат приобретается на каждый домен отдельно: «test.ru» и, например, «shop.test.ru» — это разные адреса.

— Вы можете заказать покупку и установку SSL сертификата под ключ (на 1 или 2 года) — вот тут https://www.advantshop.net/services

 

Немного о Secure Sockets Layer (SSL)

SSL (англ. Secure Sockets Layer — уровень защищённых сокетов)

SSL — это криптографический протокол, который обеспечивает безопасность связи. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

SSL необходим для работы приложения ВКонтакте и Facebook. Совсем недавно требование наличия SSL сертификата стало обязательным условием работы магазина в соц сетях.

SSL сертификат необходимо приобретать отдельно, за отдельную стоимость. Сертификат, в зависимости от типа, присваивается только к конкретной А записи.

Пример:

Если магазин открывается как с www, по www.mysite.com, так и без www, по mysite.com, то чтобы корректно установить SSL сертификат, необходимо «покрыть» оба адреса, некоторые сертификаты могут покрывать только один из вариантов, в этом случае нужно приобрести 2 сертификата для каждого варианта. На страницы сайта, и всякого рода ссылки, данное правило не влияет, речь идет только о доменном имени, о А-записях. Рекомендуемые нами сертификаты покрывают как «с www», так и «без www» варианты.

При использовании SSL сертификата вы так же обращаетесь к странице не по http:// протоколу, а по https:// (добавляется буква s, secure)

Примеры сайтов с SSL сертификатом:

 

Необходимые данные для сертификата

Главное требование которое нужно сделать до покупки сертификата — это создать (или проверить наличие) почтового ящика вида [email protected]домен.ru. Если такого почтового ящика у вас нет, то стоит заняться его созданием, т.к. без него не получиться завершить процедуру регистрации SSL сертификата.

Вот инструкция по подключению почты на домене, в ряде случаев она может вам помочь.

Если данный email есть, то можно переходить к процедуре покупки сертификата.

 

Покупка SSL

Процедура покупки сертификата считается относительно сложным процессом, и требует четкого соблюдения ряда правил. Если Вам, как владельцу магазина «быстро и просто нужен сертификат», то для этого мы специально ввели услугу покупки и установки сертификата под ключ, т.е. наш специалист поддержки запросит все необходимые данные, создаст почту на домене, зарегистрирует SSL сертификат и корректно установит его на сайт (к магазину или воронки). Вы оплачиваете один раз, и далее дело за нами, услуга доступна в разделе услуги, вот тут — https://www.advantshop.net/services

Но, если, всё же, Вы по какой-то причине, решили сами пройти все этапы и самостоятельно зарегистрировать сертификат, то тут мы опишем шаги.

И так, чтобы зарегистрировать SSL, нам нужно приобрести сертификат через регистратора доменов, например https://www.reg.ru/

Сравнение сертификатов — https://www.reg.ru/ssl-certificate/

Перед покупкой, зарегистрируйтесь на сайте, авторизуйтесь (войдите в личный кабинет), в противном случае регистрироваться нужно будет прямо во время покупки сертификата.

Обратите внимание!

Браузер Chrome, а так же смежные проекты на его базе (Opera, Microsoft Edge, Yandex Browser) отказываются от поддержки сертификатов выданных центром Symantec®, так же, все суббренды (GeoTrust®, Equifax®, Thawte®, RapidSSL® и VeriSign® включая сам Symantec®)
с 1 декабря 2017 года не считаются доверенными — мы крайне не рекомендуем их приобретать.

Подробнее тут, и https://support.google.com/chrome/a/answer/7662561?hl=ru

На данный момент мы рекомендуем к выбору сертификата из брендов Comodo (Sectigo), GlobalSign или TrustWave.

Для интернет магазина вполне подойдет сертификат от Comodo, под названием “Comodo SSL” рассмотрим его как пример.


Рисунок 2. Выбор типа сертификата. Цены на скриншоте могут отличатся как вверх так и вниз.


Рисунок 2.1 Выбор срока действия для сертификата.

Нажимайте на “выбрать”

На следующем шаге нужно выбрать доменное имя для которого будет создаваться SSL сертификат


Рисунок 3. Выбор адреса для сертификата.

Далее, если вы не зарегистрированы, нужно зарегистрироваться либо авторизоваться для продолжения покупки.

Далее на следующей странице необходимо заполнить поля. Самое первое из них, это поле “Запрос на сертификат (CSR)”

Для получения CSR запроса, можно (рекомендуем) воспользоваться встроенной функцией генерации запроса прямо на сайте reg.ru.

Для этого нажимаем на кнопку «Получить CSR автоматически» и переходим на страницу генерации, где указываем данные, и, самое главное, сохраняем результат в 2 отдельных тестовых файла.

Это очень важно!

Сохраните (скопировать текст и вставить) коды приватного ключа и запроса.

Если вы пропустите сохранение, восстановить эти данные уже не получится, придется заново перевыпускать весь сертификат.

После генерации и обязательного сохранения кода приватного ключа в отдельный файл на вашем компьютере, нажимаем «Продолжить заказ».

Далее, на форме, наш код уже сам вставится в поле CSR запроса, нам останется заполнить оставшиеся поля.

Пример полученного запроса (рис 4)


Рисунок 4. Пример, сгенерированного CSR запроса. Анкетные данные.

Далее заполняйте оставшиеся поля.

Важно! Понадобиться создать почтовый ящик вида [email protected]мойдомен.ru, чтобы на него пришло уведомление о создании сертификата. Почтовый ящик у вас должен быть, в противном случае закончить регистрацию не удастся.

Далее необходимо заполнить все предлагаемые поля, в основном это контактные данные. В поле программное обеспечение сервера из списка выберите «Microsoft IIS 5.x» (возможно 6,7,8), либо если есть полное название, то выберите «Microsoft Internet Information Services» любой версии, роли не играет.

После того, как все поля заполнены, необходимо оплатить услугу и ждать уведомления на почтовый ящик [email protected]мойдомен.ru.

В письме будет ссылка, по которой необходимо перейти на нажать на “Утверждаю”, с этого момента начнется процедура выдачи сертификата (ответа). В среднем для «простого» SSL сертификата процедура может занять до 1 дня, но как правило, проходит быстрее, примерно за 10-20 минут.

По завершении выдачи, Вам придет ещё одно письмо с кодом ответа уже не на [email protected]мойдомен.ru, а на email который вы указали в анкете.

Если что-то в процессе совершили не верно, ничего страшного, сертификат можно перевыпустить повторно, сертификаты можно перевыпускать в рамках его срока жизни (1 или 2 года) сколько угодно раз, бесплатно. Тут стоит отметить, что «перевыпуск» это не «продление», перевыпуск не меняет дату окончания действия сертификата, если сертификат истёк, то нужно покупать новый.

И так, если вы используйте облако (магазин или воронка в облаке) или у Вас магазин на пробном периоде, то для установки SSL, данное письмо, с кодом вашего сертификата и файл с приватным ключом, необходимо переслать нам в поддержку. Далее установкой сертификата для домена займутся наши специалисты, вы получите уведомление об окончании установки.

Если вы используете лицензированную версию на хостинге, посмотрите инструкцию Установка SSL сертификата на Microsoft IIS 7.x, 8 либо воспользуйтесь услугой установки SSL ( вот тут https://www.advantshop.net/services )

Пример «ответа», т.е. самого сертификата который выдается если регистрация прошла успешно.


Рисунок 5. Пример сертификата.

После установки SSL на сайт можно обращаться по адресу https://сайт.ру

Используйте SSL, да и пребудет с Вами защита!

Все готово.

Тэги: https, SSL, sll, ccl, SSL Сертификат, Установка SSL сертификата, SSL, Secure Sockets Layer (SSL), reg, ssl-certificate, сертификат, ссл, http, https, защита, шифрование, безопасность, страница не является безопасной, https как подключить, https вместо http, hpps, соединение небезопасное, соединение безопасное, как исправить незащищенный протокол НТТР?, http на https, настройка https

Полезные статьи. Выпуск и установка SSL-сертификатов от Let’s Encrypt на VPS. LTD Beget.

Что такое SSL-сертификат и зачем он нужен?

SSL-сертификат (TLS-сертификат) — это специальный цифровой документ, который связывает между собой криптографический ключ и информацию о сайте, для которого он был выпущен. Наличие SSL-сертификата, выпущенного доверенным центром сертификации является обязательным условием для установления безопасного соединения между сервером и клиентами по протоколу HTTPS.

До недавнего времени, практически все центры сертификации выпускали SSL-сертификаты на платной основе. При этом существует несколько разновидностей таких сертификатов, различающихся степенью глубины проверки данных о владельце сайта. Из-за того, что такие SSL-сертификаты являлись платными, их достаточно редко использовали для небольших сайтов, домашних страниц, личных блогов и т.п. В результате, большая часть сайтов в интернете не использовала защищенные протоколы для связи с клиентами.

К счастью, на текущий момент, благодаря Let’s Encrypt, у владельцев сайтов появилась возможность совершенно бесплатно и автоматически выпускать SSL-сертификат для своего сайта и перейти на использование защищенного протокола HTTPS.

Let’s Encrypt — некоммерческий центр сертификации, у которого можно получить бесплатный SSL‑сертификат сроком действия в 90 дней. Для получения такого сертификата необходимо подтвердить факт владения доменом с использованием протокола аутентификации ACME (Automated Certificate Management Environment), согласно которому к веб-серверу, запросившему выпуск сертификата, производится серия запросов для валидации домена. После выполнения этой процедуры клиенту выдается SSL-сертификат и приватный ключ, которые необходимо передать своему веб-серверу для перехода на работу по протоколу HTTPS.

Мы подготовили простые инструкции, которые позволят вам выпустить бесплатный SSL-сертификат и настроить его автоматическое обновления для веб-серверов Nginx, Apache и панели управления VestaCP, в зависимости от того, что вы используете на своем виртуальном сервере.

Выпуск и настройка сертификата для панели управления VestaCP

Поддержка Let’s Encrypt доступна в VestaCP из коробки.

Обратите внимание!

Перед выпуском SSL сертификата LE убедитесь, что у добавляемого домена и поддомена www установлена корректная A-запись. A-запись должна указывать на IP-адрес текущего VPS сервера. Изменить A-запись можно в разделе DNS вашей панели управления.

Для выпуска и установки сертификата вы можете отметить дополнительные опции сразу при добавлении домена в разделе WEB панели VestaCP:

Или отредактировать настройки домена в разделе WEB, выбрав опции поддержки SSL уже после добавления:

Выпуск и автоматическая установка сертификата занимают до 5 минут. После этого данные SSL-сертификата будут доступны также в настройках домена.

Помимо этого, добавляется cron-задание для автоматического обновления сертификатов, истекающих через 30 и менее дней. Проверить это можно в разделе CRON панели VestaCP:

Решение возможных проблем

Error: Let’s Encrypt validation status 400
  • Убедитесь, что ваше доменное имя было введено правильно.
  • При использовании АААА записей убедитесь, что в DNS присутствуют также записи типа А.
  • Убедитесь, что записи DNS типа A для этого домена и www-поддомена содержат правильный IP-адрес (адрес текущего VPS сервера).
  • Убедитесь, что в конфигурационном файле NGINX отсутствует 301-й редирект на HTTPS (для выпуска или перевыпуска сертификата домен должен быть доступен по HTTP).
Error: LetsEncrypt challenge request 429
  • Попробуйте удалить домен из панели VestaCP и добавить его снова, после чего повторить попытку выпуска сертификата.
  • Повторите попытку выпуска сертификата через 1 час.

Выпуск и настройка сертификата для веб-серверов Apache и Nginx

В случае использования веб-сервера без панели управления выпуск, дальнейшее обновление сертификата и настройку веб-сервера удобно будет выполнять при помощи Certbot.

Certbot — это клиент протокола ACME, который устанавливается на конечном сервере и используется для запроса сертификата, валидации домена, установки сертификата и дальнейшего автоматического продления сертификатов от Let’s Encrypt. Для получения сертификатов у Certbot есть несколько плагинов, которые делятся на два типа — аутентификаторы и установщики.

Аутентификатор используется только для получения сертификатов — он проверяет, что вы имеете доступ к домену, для которого запрашиваете сертификат, получает сертификат для указанного домена и помещает файлы сертификата в каталог /etc/letsencrypt/ на вашем сервере. Аутентификатор не устанавливает сертификат и не редактирует конфигурацию вашего веб-сервера для настройки сертификата.

Установщик — это плагин, который помимо получения сертификатов устанавливает его путем изменения конфигурации вашего веб-сервера. На сегодняшний день установка сертификатов полностью автоматизирована и для Apache, и для Nginx.

Для веб-сервера Apache

Установка Certbot на Ubuntu 18.04 с веб-сервером Apache:

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache

CentOS 7 с веб-сервером Apache:

$ sudo yum install python2-certbot-apache

Debian 9 с веб-сервером Apache:

$ sudo apt-get install python-certbot-apache -t stretch-backports

Инструкция по установке Certbot на другие дистрибутивы доступна на официальном сайте Certbot.

После установки Certbot можно приступать к выпуску сертификата. Самый простой и быстрый способ — использовать плагин Apache для выпуска и автоматической установки сертификата:

Плагин получает сертификат для домена (доменов) и автоматически устанавливает его, конфигурируя соответствующим образом Apache.

Для установки Certbot должен иметь возможность найти корректный виртуальный хост в вашей конфигурации Apache. Для этого он будет искать директиву ServerName, соответствующую доменному имени, для которого вы запросите сертификат. Поэтому предварительно убедитесь, что конфигурация веб-сервера настроена верно.

Если вы запускаете Certbot впервые, вам будет предложено указать email для регистрации в Let’s Encrypt и получения важных уведомлений, а также ознакомиться с условиями использования и принять их.

После окончания установки сертификата Certbot предоставит вам дополнительную информацию, а также ссылку для проверки установленного сертификата:

Congratulations! You have successfully enabled https://wolfersen.ru
You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=wolfersen.ru

Самостоятельная установка для опытных пользователей

Плагин Webroot

Чтобы получить только SSL-сертификат для дальнейшей самостоятельной установки, используйте плагин apache с командой certonly:

$ sudo certbot --apache certonly

Плагин apache с командой certonly внесет временные изменения в конфигурацию веб-сервера (добавит новый виртуальный хост для проверки прав на домен согласно протоколу ACME) и откатит их назад после получения подтверждения, а также при необходимости активирует mod_ssl.

Если вы не хотите, чтобы Certbot каким-либо образом конфигурировал файлы Apache, используйте плагин webroot.

$ sudo certbot certonly --webroot

После запуска плагина вы сможете указать доменное имя (или имена) для запроса сертификата, а также путь к директории с файлами сайта.

По результатам работы Certbot уведомит вас и в случае успеха укажет путь к файлам сертификата. В нашем примере файлы размещены по пути:

/etc/letsencrypt/live/wolfersen.ru/fullchain.pem
/etc/letsencrypt/live/wolfersen.ru/privkey.pem

Путь к этим файлам необходимо указать в ssl конфигурации Apache. Если для домена нет отдельной конфигурации — скопируйте и переименуйте файл дефолтной конфигурации, например:

$ sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/wolfersen.ru-ssl.conf

Затем откройте файл для правки и исправьте значения следующих директив на соответствующие вашему домену пути:

ServerName wolfersen.ru
ServerAlias www.wolfersen.ru
DocumentRoot /var/www/wolfersen.ru
SSLCertificateFile /etc/letsencrypt/live/wolfersen.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/wolfersen.ru/privkey.pem

В том же файле в директиве <VirtualHost> необходимо вместо хоста по умолчанию указать «*» :

Теперь необходимо активировать mod_ssl и включить новую конфигурацию, после чего перезагрузить веб-сервер:

$ sudo a2enmod ssl
$ sudo a2ensite wolfersen.ru-ssl
$ sudo systemctl reload apache2
Обновление сертификатов

Сразу при установке Certbot добавляет cron-задание для автоматического обновления полученных им сертификатов. Задание будет запускаться дважды в день и обновлять те сертификаты, срок действия которых истекает через 30 дней и менее. Чтобы убедиться в этом, откройте файл /etc/cron.d/certbot и проверьте наличие задания.

Протестировать автоматическое обновление сертификатов вы можете, выполнив команду:

$ sudo certbot renew --dry-run

Для веб-сервера Nginx

Обратите внимание!

В случае, если используется связка Nginx+Apache, сертификат следует выпускать именно по инструкции ниже!

Установка Certbot на Ubuntu 18.04 с веб-сервером Nginx.

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx

CentOS 7 с веб-сервером Nginx:

$ sudo yum install python2-certbot-nginx

Debian 9 с веб-сервером Nginx:

$ sudo apt-get install python-certbot-nginx -t stretch-backports

Инструкция по установке Certbot на другие дистрибутивы доступна на официальном сайте Certbot.

После установки Certbot можно приступать к выпуску сертификата. Самый простой и быстрый способ — использовать плагин Nginx для выпуска и автоматической установки сертификата

Плагин получает сертификат для домена (доменов) и автоматически устанавливает его, конфигурируя соответствующим образом Nginx.

Для установки Certbot должен иметь возможность найти корректный блок server в вашей конфигурации. Для этого он будет искать директиву server_name, соответствующую доменному имени, для которого вы запрашиваете сертификат. Поэтому предварительно убедитесь, что конфигурация веб-сервера настроена верно.

Если вы запускаете Certbot впервые, вам будет предложено указать email для регистрации в Let’s Encrypt и получения важных уведомлений, а также ознакомиться с условиями использования и принять их.

После окончания установки сертификата Certbot предоставит вам дополнительную информацию, а также ссылку для проверки установленного сертификата:

Congratulations! You have successfully enabled https://wolfersen.ru
You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=wolfersen.ru

Самостоятельная установка для опытных пользователей

Плагин Webroot

Чтобы получить только SSL-сертификат для дальнейшей самостоятельной установки, используйте плагин nginx с командой certonly:

$ sudo certbot --nginx certonly

Плагин nginx с командой certonly внесет временные изменения в конфигурацию веб-сервера (добавит новый блок server для проверки прав на домен согласно протоколу ACME) и откатит их назад после получения подтверждения.

Если вы не хотите, чтобы Certbot каким-либо образом конфигурировал файлы Nginx, используйте плагин webroot.

$ sudo certbot certonly --webroot

После запуска плагина вы сможете указать доменное имя (или имена) для запроса сертификата, а также путь к директории с файлами сайта.

По результатам работы Certbot уведомит вас и в случае успеха укажет путь к файлам сертификата. В нашем примере файлы размещены по пути:

/etc/letsencrypt/live/wolfersen.ru/fullchain.pem
/etc/letsencrypt/live/wolfersen.ru/privkey.pem

Путь к этим файлам необходимо указать в блоке server конфигурации Nginx. Пример настроек SSL для Nginx в файле /etc/nginx/sites-available/default:

server {
  root /var/www/html;
  index index.html index.htm index.nginx-debian.html;
  server_name wolfersen.ru;

  location / {
    try_files $uri $uri/ =404;
  }
  listen [::]:443 ssl ipv6only=on;
  listen 443 ssl;
  ssl_certificate /etc/letsencrypt/live/wolfersen.ru/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/wolfersen.ru/privkey.pem;
}

После этого проверим корректность конфигурации:

После чего перезагрузим веб-сервер:

$ sudo systemctl reload nginx
Обновление сертификатов

Сразу при установке Certbot добавляет cron-задание для автоматического обновления полученных им сертификатов. Задание будет запускаться дважды в день и обновлять те сертификаты, срок действия которых истекает через 30 дней и менее. Чтобы убедиться в этом, откройте файл /etc/cron.d/certbot и проверьте наличие задания.

Протестировать автоматическое обновление сертификатов вы можете, выполнив команду:

$ sudo certbot renew --dry-run

Установка SSL-сертификата на сайт | Majordomo

Итак, вы приобрели SSL-сертификат для вашего домена. В процессе заказа вы должны были выбрать авторизационный email, расположенный на вашем домене: admin, administrator, hostmaster, postmaster, webmaster. На выбранный вами авторизационный email придет письмо содержащее ссылку, пройдя по которой, вы подтвердите ваши административные права домена. После этого на ваш контактный электронный почтовый ящик аккаунта поступит несколько писем.

Имеются следующие файлы:

— приватный ключ (для удобства сохраните его в виде простого текстового файла с именем ваш_домен.key)

— файл сертификата для вашего домена, ваш_домен.crt

— два файла цепочки сертификатов PositiveSSLCA2.crt и AddTrustExternalCARoot.crt

В этом руководстве пошагово описаны способы привязки SSL-сертификата к сайту для организации безопасного шифрованного соединения между веб-сервером и браузером клиента.

Обратите внимание, если письмо, содержащее приватный ключ, к вам не поступило, то в первую очередь проверьте, пожалуйста, каталог «Спам» в вашем почтовом ящике. В том случае, если в указанном каталоге письмо не обнаружено, напишите, пожалуйста, письмо с контактного электронного почтового ящика аккаунта на  [email protected]


Установка сертификата средствами ISPmanager


1. Войдите в ISPmanager под учетной записью «root». (Если вы заказали VPS сервер на тарифе с администрированием нашими специалистами, то данный шаг необходимо пропустить)

Войдите в меню «Учетные записи» → «Пользователи», выберите пользователя-владельца сайта, к которому требуется привязать SSL-сертификат, и нажмите кнопку «Изменить».


 


В появившемся установите галочку «Может использовать SSL», если она еще не установлена.
 


Сохраните изменения кнопкой «Ok».

Дальнейшие действия мы будем выполнять от имени созданного пользователя-владельца сайтов. Снова выберите вашего пользователя-владельца сайта и нажмите кнопку «Войти» в правом верхнем углу, ISPmanager автоматически понизит ваши привилегии до его уровня.


 


2. Перейдите в раздел «WWW» → «WWW-домены». В списке отображаются все добавленные в конфигурационные файлы веб-сервера домены, в колонке «Параметры» иконками отображается наличие или отсутствие тех или иных модулей веб-сервера, которые участвуют в обработке запросов к сайту. Необходимо подключить модуль для работы с SSL для сайта, для этого выберите домен и нажмите кнопку «Изменить» сверху.
 


Откроется новая вкладка, в которой нужно установить галочку «Защищённое соединение (SSL)» и «Перенаправлять HTTP-запросы в HTTPS» и сохранить изменения кнопкой «Ok». Обратите внимание, желательно чтобы этот домен был единственным доменом с SSL на этом IP-адресе.
 


3. Теперь перейдем в раздел «WWW» → «SSL сертификаты», здесь показаны все имеющиеся на сервере сертификаты безопасности, отсюда мы добавим наш. Обратите внимание на наличие самоподписанного сертификата для вашего домена — он был сгенерирован ISPmanager-ом автоматически на предыдущем шаге, в момент когда вы установили галочку «SSL» в настройках WWW-домена. Этот сертификат использоваться не будет, мы добавим наш, сделать это можно кнопкой «Создать» сверху. 
 


На первом шаге выберете тип сертификата «существующий».
 


На втором шаге вам необходимо будет ввести имя сертификата, сам сертификат, приватный ключ сертификата и подтверждающую цепочку. Откройте в «Блокноте» все имеющиеся у вас файлы: приватный ключ, который мы сохранили в файл ваш_домен.key, файл сертификата ваш_домен.crt и другие два. В форму ввода «SSL-сертификат» скопируйте содержимое файла ваш_домен.crt; в форму «Ключ SSL-сертификата» скопируйте текст из файла ваш_домен.key. В форму «Цепочка SSL-сертификатов» последовательно скопируйте содержимое файлов PositiveSSLCA2.crt и AddTrustExternalCARoot.crt, именно в этом порядке. Нажмите кнопку «Завершить» для сохранения введенных данных.
 


4. Далее перейдите во вкладку «WWW» → «WWW-домены» и нажмите кнопку «Изменить» сверху.
 


В открывшемся окне в поле «SSL-сертификат» выберете добавленный вами в предыдущем шаге сертификат и подтвердите изменения кнопкой «Ok».
 


5. Перейдите на ваш сайт, для работы по шифрованному соединению в адресной строке браузера впишите адрес наподобие «https://ваш_домен.ru/». Аббревиатура «https» означает работу по шифрованному протоколу HTTP, что нам и требуется. Если все сделано правильно, браузер не будет выдавать никаких предупреждений или сообщений о потенциальных угрозах, а сразу отобразит сайт. В адресной строке при этом тем или иным способом будет обозначен факт того, что передаваемые данные шифруются и сертификат подтвержден. 
 


Настройка закончена. Следует, однако, иметь в виду, что при каких-либо изменениях в ПО веб-сервера (его переконфигурирование, смена IP-адреса домена, установка nginx перед Apache например) эта схема работы может нарушиться. В этом случае возможно придется внести соответствующие коррективы в конфигурационные файлы веб-сервера вручную.
Если у вас возникнут какие-либо вопросы при добавлении сертификата к вашему сайту — техническая поддержка всегда будет рада помочь вам, напишите пожалуйста письмо на адрес [email protected] с контактного e-mail вашего сервера.

Установка сертификата утилитами из консоли: CentOS, Apache 2


Если на вашем сервере установлен и используется проксирующий веб-сервер nginx, вам следует организовать работу с сертификатами с его помощью. Инструкция по настройке nginx ниже, отдельным пунктом.

1. Поместите все 4 файла (приватный ключ, сохраненный в файле ваш_домен.key, и файлы сертификатов ваш_домен.crtPositiveSSLCA2.crt и AddTrustExternalCARoot.crt) в директорию /var/www/httpd-cert/.

2. Установите владельца и группу всех файлов в root:
# chown root:root /var/www/httpd-cert/ваш_домен.key /var/www/httpd-cert/ваш_домен.crt /var/www/httpd-cert/PositiveSSLCA2.crt /var/www/httpd-cert/AddTrustExternalCARoot.crt

3. Установите права на файл ключа «только для владельца, только для чтения»:
# chmod 400 /var/www/httpd-cert/ваш_домен.key

4. Создайте файл цепочки сертификатов:
# cat /var/www/httpd-cert/PositiveSSLCA2.crt /var/www/httpd-cert/AddTrustExternalCARoot.crt > /var/www/httpd-cert/ваш_домен.crt-bundle
Проверить подлинность цепочки сертификата можно так:
# openssl verify /var/www/httpd-cert/ваш_домен.crt-bundle
/var/www/httpd-cert/ваш_домен.bundle: OK
Посмотреть информацию об сертификате — например так:
# openssl x509 -text -in ваш_домен.crt

5. В конфигурационном файле Apache 2 (наиболее вероятно — /etc/httpd/conf/httpd.conf) создайте новый VirtualHost на 443м порту. Ниже приведены только директивы, отвечающие за работу с сертификатом, остальные можно скопировать по аналогии из имеющегося для 80-го порта:

SSLEngine on
SetEnvIf User-Agent «.*MSIE.*» nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
SSLCertificateFile /var/www/httpd-cert/ваш_домен.crt
SSLCertificateKeyFile /var/www/httpd-cert/ваш_домен.key
SSLCACertificateFile /var/www/httpd-cert/ваш_домен.crt-bundle
ServerName ваш_домен

Обратите внимание, что это должен быть первый, и желательно единственный VirtualHost на этом IP-адресе на 443 порту.

6. Проверьте корректность синтаксиса конфигурационного файла:
# /etc/init.d/httpd configtest
Syntax OK
Перезапустите Apache и проверьте работу сайта с https://, если все сделано правильно — в адресной строке при этом тем или иным способом будет обозначен факт того, что передаваемые данные шифруются и сертификат подтвержден.

Установка сертификата утилитами из консоли: CentOS, nginx

1. Поместите все 4 файла (приватный ключ, сохраненный в файле ваш_домен.key, и файлы сертификатов ваш_домен.crtPositiveSSLCA2.crt и AddTrustExternalCARoot.crt) в директорию /var/www/httpd-cert/.

2. Установите владельца и группу всех файлов в root:
# chown root:root /var/www/httpd-cert/ваш_домен.key /var/www/httpd-cert/ваш_домен.crt /var/www/httpd-cert/PositiveSSLCA2.crt /var/www/httpd-cert/AddTrustExternalCARoot.crt

3. Установите права на файл ключа «только для владельца, только для чтения»:
# chmod 400 /var/www/httpd-cert/ваш_домен.key

4. Создайте файл цепочки сертификатов:
# cat /var/www/httpd-cert/AddTrustExternalCARoot.crt >> /var/www/httpd-cert/ваш_домен.crt
# cat /var/www/httpd-cert/PositiveSSLCA2.crt >> /var/www/httpd-cert/ваш_домен.crt
Проверить подлинность цепочки сертификата можно так:
# openssl verify /var/www/httpd-cert/ваш_домен.crt
/var/www/httpd-cert/ваш_домен.bundle: OK
Посмотреть информацию об сертификате — например так:
# openssl x509 -text -in ваш_домен.crt

5. Внесите в конфигурационный файл nginx, в модуль server, следующие директивы:
server {

listen 443;

ssl on;
ssl_certificate /var/www/httpd-cert/ваш_домен.crt;
ssl_certificate_key /var/www/httpd-cert/ваш_домен.key;

server_name your.domain.com;

}
Обратите внимание, что это должен быть первый, и желательно единственный VirtualHost на этом IP-адресе на 443 порту.

6. Перезапустите nginx командой
# /etc/init.d/nginx restart
и проверьте работу сайта с https://, если все сделано правильно — в адресной строке при этом тем или иным способом будет обозначен факт того, что передаваемые данные шифруются и сертификат подтвержден.

Установка SSL-сертификата на веб-сервере Microsoft IIS

Для установки сертификата на виртуальной машине с Windows и веб-сервере Microsoft IIS нам потребуются файлы сертификата и его ключ. Для примера рассмотрим установку сертификата Sectigo Positive SSL:

Мы имеем 4 файла сертификата и сам ключ сертификата:

  • domain_name.key — ключ сертификата
  • domain_name.crt — SSL сертификат домена
  • AddTrustExternalCARoot.crt — корневой сертификат
  • COMODORSAAddTrustCA.crt — промежуточный сертификат
  • COMODORSADomainValidationSecureServerCA.crt — промежуточный сертификат

Нам нужно объединить корневой и промежуточные сертификаты, сделать это можно следующим образом:

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > CACert.crt

Далее приступим к конвертированию:

openssl pkcs12 -export -out domain_name.pfx -inkey domain_name.key -in domain_name.crt -certfile CACert.crt

Во время конвертирования, нужно будет указать пароль для сертификата, он нам понадобится во время установки сертификата в Windows.

Теперь файл domain_name.pfx, можно загружать на виртуальную машину с Windows. Для этого выполните на ней следующие действия:

Step 1 : Нажимаем «Start» и выбираем «Run».

Step 2 : В «Run» вводим «MMC» и нажимаем «OK». Откроется MMC.

Step 3 : Нажимаем на окно File и выбираем «Add / Remove Snap-In».

Step 4 : Находим «Certificates» и нажимаем «Add».

Step 5 : Выбираем «Computer Account» и нажимаем «Next».

Step 6 : Выбираем «Local Computer» и нажимаем «Finish».

Step 7 : Нажимаем «OK» для того что бы закрыть окно «Add / Remove Snap-In».

Step 8 : Двойной клик на «Certificates (Local Computer)» в центре окна.

Step 9 : Правый клик на папку «Personal Certificates Store».

Step 10 : Выбираем «ALL TASKS» затем «Import».

Step 11 : Следуем «Certificate Import Wizard» для импортирования «Primary Certificate» из .PFX файла.

Step 12 : Выбираем .PFX и вводим пароль, который мы задавали во время конвертации сертификата.

Step 13 : При появлений запроса выберите automatically place the Certificates in the Certificate Stores based on the type of the Certificate.

Step 14 : Нажимаем «Finish» для закрытия Certificate Import Wizard.

Step 15 : Закрываем MMC, сохранять изменения не обязательно.

Далее нам нужно произвести привязку сертификата к самому домену:

Открываем IIS и выбираем нужный сайт (иногда название может быть не указано и будет «Default Web Site») выбираем «Bindings»:

Нажимает Add:

В поле Type выбираем https, в поле SSL certificate, сертификат который мы добавили ранее:

Нажимаем Ок, после чего должен добавиться 443 порт:

Сертификат установелен. Теперь можно произвести проверку домена на наличие SSL.

Заказ и установка SSL сертификата | Link-Host.net

Заказ SSL сертификата

Для успешного заказа сертификата необходимо заполнить профайл, создать email на своем домене, а также сгенерировать CSR (на втором шаге оформления заказ).

После переходе на страницу заказа необходимо указать следующие данные:
Срок заказа — при заказе сертификата на 2 года предоставляется скидка 5%.
Тип заказа — Новый.
Запрос на подпись сертификата (CSR код) — ваш сгенерированный CSR код.
Административный Контакт и Технический контакт — ваш профайл.

Сгенерированные данные сохраните в безопасном месте. CSR код необходим для заказа сертификата, а Private Key для установки сертификата на сервер.

На последнем шаге оформления заказа выберите:

Тип веб-сервера — Другой.
E-mail для подтверждения запроса (DCV) — Email адрес из списка. Это необходимо для подтверждения запроса на сертификат. Вы должны убедиться, что E-mail создан и доступен, прежде чем выбрать его, в противном случае Вы не сможете получить проверочное сообщение. Важно! Только адреса из списка могут быть использованы!

После оформления и оплаты заказа, на указанный Email(E-mail для подтверждения запроса (DCV)) придет письмо с ссылкой для подтверждения владения доменом.
Это важный пункт, который многие пользователи игнорируют. Обязательно подтвердите перейдя по ссылке в письме.
Файлы сертификата будут отправлены на Email адрес технического контакта.

Установка SSL сертификата

Сертификат устанавливается в панели ISPmanager в разделе «SSL сертификаты».
После нажатия на кнопку «Создать», в появившемся окне, введите следующие данные:

Имя — любое название.
Тип сертификата — существующий.
Приватный ключ(Ключ SSL-сертификата) — Ваш Private Key, полученный в «Online CSR генератор».
Сертификат(SSL-сертификат) — код основного сертификата( Web Server CERTIFICATE).
Цепочка сертификатов(Цепочка SSL-сертификатов) — код промежуточного сертификата( INTERMEDIATE CA).

ISPmanager 4
ISPmanager 5

Если промежуточных сертификатов несколько, то их нужно объединить в один. Для популярного сертификата от COMODO промежуточные сертификаты расположены в файлах COMODORSAAddTrustCA.crt и COMODORSADomainValidationSecureServerCA.crt.
Обязательно проверьте, чтобы не было пробела или символа переноса строки в конце кода сертификата.
Уже объединенные Intermediate сертификаты для COMODO можно скачать по ссылке COMODO-Intermediate.zip

Для привязки сертификата к домену, в настройках вашего WWW домена отметьте пункт SSL и выберите в выпадающем списке ваш сертификат.

При возникновении вопросов обращайтесь в службу поддержки.

Установка SSL-сертификата — документация по настройке. Инструкция с иллюстрациями. Платформа 1С-Битрикс.

Для установки SSL-сертификата потребуются файл сертификата (.crt), промежуточный сертификат (.ca-bundle) и ключ (.key).

Войдите в вашу панель управления ISPmanager

В левой панели перейдите в раздел Настройки web-сервера > SSL-сертификаты в правой части экрана нажмите Создать


Выберите тип сертификата «Существующий» и нажмите «Далее«

Заполните поля на открывшейся странице:

  1. Имя SSL-сертификата — имя вводиться латиницей, оно будет отображаться в панели управления;
  2. SSL-сертификат — вставьте данные SSL-сертификата;
  3. Ключ SSL-сертификата — вставьте приватный ключ сертификата;
  4. Цепочка SSL-сертификатов — вставьте сначала промежуточный сертификат, а затем с новой строки без пробела — корневой.

Нажмите Завершить

Теперь необходимо созданный сертификат подключить к домену. Для этого:

  1. перейдите в Домены > WWW-домены
  2. выберите доменное имя сайта, для которого подключается сертификат
  3. нажмите «Изменить»


Поставьте галочку в чекбокс «Защищенное соединение SSL«, далее в открывшемся поле поставьте сделайте активным чекбокс «Перенаправлять HTTP-запросы в HTTPS«

Выберите имя сертификата установленного ранее в поле «SSL-сертификат«. Нажмите ОК.

SSL-сертификат установлен. Теперь в браузерах будет отображаться безопасное соединение.



 Начать курс обучения Учебное пособие по установке SSL-сертификата

— пошаговые инструкции

Как установить сертификат SSL

SSL-сертификат — это текстовый файл с зашифрованными данными, который вы устанавливаете на свой сервер, чтобы вы могли защищать/зашифровывать конфиденциальные сообщения между вашим сайтом и вашими клиентами. Узнайте больше о SSL-сертификатах.

После того, как вы создадите CSR (запрос на подпись сертификата) и приобретете сертификат, наша группа проверки проверит и обработает ваш запрос на сертификат.(Узнайте больше о процессе проверки сертификата.) После проверки мы выдаем ваш SSL-сертификат и отправляем его вам по электронной почте. Вы также можете загрузить сертификат SSL в своей учетной записи DigiCert.

Промежуточный сертификат

Когда вы устанавливаете сертификат SSL на сервер или в приложение с поддержкой SSL, вам также необходимо установить промежуточный сертификат. Этот промежуточный сертификат устанавливает доверие к вашему SSL-сертификату, связывая его с корневым сертификатом вашего центра сертификации (ваш SSL-сертификат, выпущенный DigiCert → промежуточный сертификат → корневой сертификат DigiCert).Чтобы завершить цепочку доверия сертификатов, браузеру требуется наличие промежуточного сертификата. Узнайте больше о роли промежуточных и корневых сертификатов.

Примечание: Для некоторых серверов (например, Microsoft) промежуточные сертификаты поставляются в комплекте с сертификатом SSL.

Нужно создать свой CSR? »
Необходимо приобрести SSL-сертификат? »

Общие платформы и операционные системы

Microsoft IIS

Инструкции:

Узнать больше:

Сервер Microsoft Exchange

Инструкции:

Узнать больше:

Сервер Apache (OpenSSL)

Инструкции:

Узнать больше:

Сервер Tomcat (Keytool)

Инструкции:

Узнать больше:

Microsoft Lync

Инструкции:

Узнать больше:

Проверьте установку сертификата

После того, как вы установили свой сертификат, мы рекомендуем вам проверить, все ли работает правильно.Используйте наш бесплатный инструмент диагностики установки SSL, чтобы проверить установку сертификата. Кроме того, для простого поиска и управления всеми сертификатами в вашей сети используйте наш бесплатный инструмент Discovery Cloud.

Не забудьте сделать резервную копию

После установки SSL-сертификата мы рекомендуем вам сделать резервную копию сертификата и сохранить ее в надежном месте. Если сервер выходит из строя или его необходимо заменить, гораздо проще обеспечить безопасность нового сервера.

Инструкции по установке сертификата

для платформы/ОС

Получите необходимую поддержку, когда вам это нужно

У DigiCert есть отмеченная наградами собственная команда технической поддержки, которая готова помочь вам с любыми проблемами с цифровыми сертификатами, которые у вас есть. Наше стремление к беспрецедентной поддержке клиентов отражено в многочисленных наградах за услуги, которые мы получили. Нигде это не продемонстрировано лучше, чем в сотнях 5-звездочных отзывов клиентов, которые мы имеем на SSLShopper.ком. На самом деле, DigiCert — единственный центр сертификации с идеальным 5-звездочным рейтингом!


Профессиональная поддержка доступна в любое время!

Мы стараемся поддерживать нашу онлайн-документацию как можно более актуальной. Однако, если у вас есть конкретная статья или платформа, для которой вы хотели бы увидеть документацию, напишите нам.

Бесплатный номер службы поддержки: 1-800-896-7973 (США и Канада)
Прямая служба поддержки: 1-801-701-9600
Бесплатный факс: 1-866-842-0223 (США и Канада)
Электронная почта : [email protected]ком

Установить SSL-сертификат —

Установить SSL-сертификат

Последнее обновление: 2021-04-28

Автор: Кэт Лукабо


После создания запроса на подпись сертификата (CSR) и приобрести или обновить сертификат Secure Socket Layer (SSL), вам нужно будет установить его.В этой статье показано, как установить SSL сертификат на различных серверах и операционных системах.

Если вы хотите установить SSL-сертификат на балансировщике нагрузки, см. Настройте SSL-сертификаты в облачных балансировщиках нагрузки.

В следующих разделах приведены инструкции по процессу установки:

После установки сертификата необходимо перезагрузить веб-сервер. услуга.

Предпосылки

Перед установкой сертификата убедитесь, что у вас есть следующие элементы:

  • Сертификат предпочтительного поставщика SSL, хранящийся на вашем сервере.если ты у вас еще нет сертификата, см. Создайте CSR и Приобрести или обновить SSL-сертификат для инструкций.
  • Комплект центра сертификации (ЦС) с корневым и промежуточным сертификаты, предоставленные поставщиком SSL.
  • Файл .key , созданный при создании CSR.
  • Установленный веб-сервер, такой как Apache и mod_ssl .
  • Адрес интернет-протокола (IP) для вашего SSL-сертификата.
Скопируйте файлы в расположение по умолчанию на вашем сервере

Сертификат SSL, предоставленный поставщиком, содержит три компонента: сертификат SSL, файл CA и ключ SSL.Когда вы получите свой SSL сертификат из вашего ЦС, загрузите его на свой сервер, используя следующую шагов:

  1. Скопируйте все содержимое сертификата, включая BEGIN CERTIFICATE и СЕРТИФИКАТ КОНЦА строк. Сохраните скопированный текст как domain.com.crt .

  2. Скопируйте сертификат и закрытый ключ в каталог сервера в котором вы планируете хранить свои сертификаты. Например, Apache по умолчанию каталоги: /usr/local/apache/conf/ssl.крт/ или /etc/httpd/conf/ssl.crt/ .

Установить сертификат на серверы Windows

В следующих разделах показано, как установить и привязать сертификат SSL к Серверы Windows с помощью диспетчера информационных служб Интернета (IIS).

Установить сертификат

Необходимое условие: у вас уже должен быть сертификат, предоставленный вашим предпочтительный поставщик SSL.

Если вы получили свой CSR с помощью чего-либо, кроме IIS, перейдите к Импортируйте SSL-сертификат с другого сервера.

Выполните следующие действия, если вы получили свой CSR с помощью IIS, который связывает общедоступный ключ от вашего поставщика с закрытым ключом, сгенерированным IIS.

  1. В диспетчере IIS выберите сервер и дважды щелкните Сертификаты сервера .
  2. В разделе Действия щелкните Завершить запрос сертификата .
  3. В мастере выберите расположение файла сертификата, предоставленного вашим Поставщик SSL.
  4. Только для Windows Server® 2012 , назовите файл и выберите хранилище место нахождения.
  5. Нажмите OK .
Импорт сертификата SSL с другого сервера
  1. В диспетчере IIS дважды щелкните Сертификаты сервера .
  2. В разделе Действия щелкните Импорт .
  3. Выберите расположение файла сертификата, введите пароль (если вы установили one) и выберите место хранения сертификата ( только для Windows Server 2012 ).
  4. Нажмите OK .
Установка креплений
  1. В диспетчере IIS щелкните правой кнопкой мыши свой сайт и выберите Изменить привязки .
  2. В окне Site Bindings нажмите Добавить .
  3. В диалоговом окне Добавить привязку сайта выполните следующие действия: а. Установите значение Введите на https . б. Для Windows Server 2012 только , при необходимости укажите имя хоста. в. Из списка сертификатов SSL выберите свой сертификат. д. Нажмите OK .

После настройки привязок окно Site Bindings показывает привязку для HTTPS.

Установить сертификат на сервер Linux с помощью Apache

В следующих разделах показано, как сохранить сертификат на сервере Linux. и настройте Apache для использования сертификата, измените таблицы IP и проверьте настройки. После установки сертификата перезагрузите или перезапустите веб-сервер.

Сохраните сертификат и файл ключа

Сохраните сертификат, предоставленный поставщиком SSL, и файл .key , который вы генерируется при создании CSR в соответствующих каталогах.Мы рекомендуем следующие каталоги:

Распределения на основе RPM

  • Сертификаты и CA-сертификаты : /etc/pki/tls/certs/domain.com.crt или domain.com.ca-crt
  • Ключи : /etc/pki/tls/private/domain.com.key

OpenSSL (или Debian®)

  • Сертификаты : /etc/ssl/certs/ssl.crt
  • Ключи : /etc/ssl/private/ssl.ключ
Настройка httpd.conf

Откройте файл Apache httpd.conf в текстовом редакторе и добавьте следующее строки для VirtualHost , изменив IP-адрес и пути к файлы сертификатов, чтобы отразить расположение вашего сертификата:

  <Виртуальный хост 123.45.67.89:443>
Имя сервера www.domain.com
DocumentRoot /путь/к/вашему/документу/root/htdocs

SSLEngine включен
SSLCertificateFile /etc/httpd/conf/ssl.crt/domain.com.ЭЛТ
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/domain.com.key

Журналы ErrorLog/ssl.domain.com.error_log
Журналы CustomLog/ssl.domain.com.access_log объединены

  

Сохраните изменения и выйдите из редактора.

Примечание : Если вы хотите, чтобы все IP-адреса на общедоступном интерфейсе использовали виртуального хоста, вместо этого вы можете указать в конфигурации указания конкретного IP-адреса.

iptables

Возможно, вам потребуется открыть порт в брандмауэре, чтобы разрешить SSL-соединения для порт 443 .Чтобы проверить, нужно ли вам это делать, получите список своего брандмауэра. правила, выполнив следующую команду:

  судо /sbin/iptables -L
  

Если у вас активен iptables, но без исключений для порта 443 , вы нужно добавить немного, как показано на следующем образце:

  sudo /sbin/iptables -I INPUT -p tcp --dport 443 -m state --state NEW, ESTABLISHED -j ACCEPT
sudo /sbin/iptables -I ВЫВОД -p tcp --sport 443 -m состояние --state УСТАНОВЛЕНО -j ПРИНЯТЬ
  

Не забудьте добавить правила в файл конфигурации iptables или запустить следующий код в дистрибутивах на основе Red Hat®:

  sudo /sbin/service iptables сохранить
  
Проверить синтаксис конфигурации

Используйте следующие команды для проверки вашей конфигурации для различных операционных систем. систем:

Большинство дистрибутивов :

Чтобы проверить синтаксис файла конфигурации, выполните следующую команду, убедившись, что у вас нет орфографических ошибок и вы не добавили неправильные имена файлов:

  # apachectl -t
  

Если файл в порядке, команда возвращает Синтаксис OK .Если есть ошибки, команда возвращает неверные строки.

Распределения на основе RPM :

Чтобы проверить синтаксис файла конфигурации, выполните следующую команду, убедившись, что у вас нет орфографических ошибок и вы не добавили неправильные имена файлов:

  # httpd -t
  

Если файл в порядке, команда возвращает Синтаксис OK . Если есть ошибки, команда возвращает неверные строки.

Дистрибутивы на основе Debian :

Чтобы проверить синтаксис файла конфигурации, выполните следующую команду, убедившись, что у вас нет орфографических ошибок и вы не добавили неправильные имена файлов:

  # апач2 -т
  

Если файл в порядке, команда возвращает Синтаксис OK .Если есть ошибки, команда возвращает неверные строки.

Установить сертификат на сервер Linux с Nginx

В следующих разделах показано, как сохранить сертификат на сервере Linux. с помощью Nginx™ и настройте файл виртуальных хостов. После того, как у вас есть установил сертификат, перезагрузите или перезапустите веб-сервер.

Сохраните сертификаты и файл ключей

Сохраните первичный и промежуточный сертификаты, которые должны быть в domain_name.pem , который вы получили от поставщика SSL, на сервер, вместе с .key , созданный вами при создании CSR.

Если у вас еще нет файла пакета сертификатов, объедините основной сертификат (например, my_domain.crt ) и промежуточный сертификат (например, Intermediate.crt ) в один файл, выполнив следующую команду: команда:

  cat my_domain.crt промежуточный.crt >> bundle.crt
  
Настройте файл виртуальных хостов Nginx

Используйте следующие инструкции для редактирования файла виртуальных хостов Nginx:

  1. Отредактируйте файл виртуального хоста Nginx на своем сервере.

  2. Скопируйте существующий незащищенный серверный модуль (из строки server { через закрывающую фигурную скобку для раздела сервера) и вставьте код непосредственно под серверным модулем.

  3. В вставленный раздел добавьте следующие строки между сервером {строка и строка имени сервера :

      слушать 443;
    
     SSL включен;
     ssl_certificate /etc/ssl/имя_вашего_домена.pem; (или пакет.crt)
     ssl_certificate_key /etc/ssl/ваше_домен_имя.ключ;
      
  4. Убедитесь, что файл ssl_certificate соответствует файлу пакета и что файл ssl_certificate_key соответствует вашему ключевому файлу.

Установите сертификат на решения для управляемого хостинга

Если вы запросили SSL-сертификат для управляемого Rackspace сервера, отправив билет Rackspace, Rackspace установит сертификат для тебя. Вы должны предоставить подробную информацию, в том числе, где вы хотите сертификат установлен и ваш файл закрытого ключа.

Установите сертификат в пользовательский домен Microsoft Azure

По умолчанию Azure защищает подстановочный домен .azurewebsites.net с помощью единый SSL-сертификат, поэтому вы уже можете получить доступ к своему приложению, используя URL-адрес https://<имя приложения>.azurewebsites.net .

Однако сертификат Azure SSL по умолчанию не работает, если вы используете домен для вашего приложения. Пользовательский домен с собственным SSL-сертификатом более безопасным, чем по умолчанию.В следующих разделах описано, как добавить SSL-сертификат для приложения с собственным доменом.

Обязательное условие

Вам нужны учетные данные для входа на портал Azure. Для получения информации о как войти на портал Azure, см. Облачные порталы Sitecore и управление учетными записями.

Получить сертификат SSL

Если у вас еще нет SSL-сертификата, вам необходимо получить его у доверенного Калифорния. Сертификат должен соответствовать всем следующим требованиям:

  • Подписано доверенным центром сертификации (без частных серверов центра сертификации).

  • Содержит закрытый ключ.

  • Создан для обмена ключами и экспортирован в файл .pfx .

  • Использует как минимум 2048-битное шифрование.

  • Имеет имя субъекта, соответствующее личному домену, который необходимо защитить. К защитить несколько доменов с помощью одного сертификата, вам необходимо использовать подстановочное имя (например, .contoso.com ) или укажите значения subjectAltName .

  • Объединен со всеми промежуточными сертификатами, используемыми вашим ЦС.В противном случае вы могут возникнуть невоспроизводимые проблемы совместимости на некоторых клиентах.

Для получения дополнительной информации о получении сертификата см. создать запрос на подпись сертификата (CSR) и приобретите или обновите Secure Socket Layer (сертификат SSL.

).
Добавьте сертификат SSL в Microsoft Azure
  1. Войдите на портал Azure.

  2. В левой панели навигации щелкните Службы приложений .

  3. Выберите приложение, которому вы хотите назначить сертификат.

  4. Перейдите к Настройки и нажмите Сертификат SSL .

  5. Щелкните Загрузить сертификат .

  6. Выберите файл .pfx , содержащий сертификат SSL, и введите пароль, который вы хотите использовать для этой сертификации.

  7. Нажмите Загрузить .

    Теперь вы можете перейти к сертификату SSL через панель приложений.

  8. В разделе привязок SSL панели сертификатов SSL щелкните Добавить привязки .

    Появится новая панель с надписью Привязки SSL .

  9. Используйте раскрывающиеся меню, чтобы выбрать URL-адрес личного домена, который вы хотите защитить с помощью SSL, за которым следует имя SSL-сертификата. Вы также можете выбрать следует ли использовать Server Name Indication (SNI) SSL или SSL на основе IP .

  10. Щелкните Добавить привязку .

    SSL теперь включен для вашего личного домена.

Перезагрузите или перезапустите веб-сервер

После установки SSL-сертификата необходимо перезагрузить веб-сервер. услуга.В этом разделе описываются шаги по перезапуску Apache и Nginx.

Когда вы вносите изменения в Apache, у вас есть два разных варианта изменения в работе: перезапустить службу или перезагрузить службу. Перезапуск необходимо, только если вы добавляете или удаляете модули (например, ssl_module ). Потому что перезапуск службы занимает некоторое время, чтобы вернуться up, мы рекомендуем использовать опцию перезагрузки.

Перезагрузить Apache

Чтобы перезагрузить Apache, выполните следующую команду:

ЦенОС 7.x и выше

  # systemctl перезагрузить httpd
  

CentOS 6.x и более ранние версии

  # служба httpd перезагрузить
  

Операционная система Ubuntu

  # /etc/init.d/apache2 перезагрузить
  
Перезапустите Apache

Чтобы перезапустить веб-сервер Apache, выполните следующую команду:

  # /etc/init.d/httpd перезапуск
или
# /etc/init.d/apache2 перезапустить
  
Перезапустите Nginx

Чтобы перезапустить Nginx, выполните следующую команду:

  судо /etc/инит.d/nginx перезапустить
  

Проверка сертификата

Лучший способ проверить сертификат — использовать сторонний инструмент, например Сканер Qualys® SSLLabs. Если тебе надо помощь в улучшении конфигурации безопасности вашего сертификата, обращайтесь Поддержка рэкспейса.

Примечание : Если вы переходите на свой веб-сайт с помощью протокола передачи гипертекста Директива безопасного протокола (HTTPS), отображается значок замка в вашем браузере в заблокированном положении, если ваши сертификаты установлены правильно и сервер правильно настроен для SSL.

Другой способ проверить сертификат — зайти на сайт Whynopadlock.com. Введите свой URL-адрес в поле Secure Address , и он покажет все несоответствия, которые могут сделать сайт небезопасным, например проблемы со смешанным содержимым.

Установка SSL-сертификата на Windows Server

Шаг 1

Войдите на свой сервер с помощью удаленного рабочего стола.

Шаг 2

Откройте Диспетчер IIS, нажав Пуск > Администрирование > Диспетчер информационных служб Интернета (IIS)

Шаг 3

Дважды щелкните имя компьютера в левом верхнем углу окна.

Шаг 4

С правой стороны прокрутите вниз и дважды щелкните значок Сертификаты сервера .

Шаг 5

В правом верхнем углу панели Действия щелкните ссылку Импорт .

Шаг 6

В новом окне нажмите кнопку с многоточием (…) , чтобы найти файл .pfx на сервере. Введите пароль, который вы выбрали при создании файла PFX, в текстовое поле. Кроме того, установите флажок Разрешить экспорт этого сертификата. По завершении нажмите кнопку OK .

Шаг 7

С правой стороны вы увидите сертификат, добавленный в IIS. Затем нажмите Sites слева.

Шаг 8

Дважды щелкните веб-сайт, для которого предназначен SSL.

Шаг 9

С правой стороны щелкните ссылку Bindings .

Шаг 10

Нажмите кнопку Добавить .

Шаг 11

Выберите https из раскрывающегося списка Введите .

Шаг 12

Выберите IP-адрес из раскрывающегося списка, который используется доменом, если вы планируете установить более одного сертификата SSL.

Шаг 13

В раскрывающемся списке SSL-сертификат выберите только что добавленный сертификат. При желании вы можете изменить номер порта для привязки, однако рекомендуется оставить значение по умолчанию 443.

Шаг 14

Когда закончите, нажмите кнопку OK .

Установка сертификата SSL из коммерческого центра сертификации

Введение
SSL-сертификаты

— это инструменты, которые позволяют сделать ваш сервер более безопасным. Эти файлы данных делают соединение между сервером и браузером более безопасным. Это разница между веб-сайтом HTTP и HTTPS. Принцип работы SSL-сертификата заключается в том, что он шифрует ваш поток данных, проверяет трафик и проверяет личность пользователя.Это также указывает посетителю, что ваш сайт безопасен для посещения.

Существует два способа получения SSL-сертификата. Первый вариант — использовать самоподписанный сертификат. Однако при этом вы должны иметь в виду, что пользователи будут получать предупреждающее сообщение. В сообщении будет указано, что система не может подтвердить подлинность вашего веб-сайта. Вот почему другой путь является предпочтительным методом. Вам потребуется приобрести SSL-сертификат в доверенном центре сертификации или ЦС.

В этом подробном руководстве мы рассмотрим, как получить сертификат SSL от центров сертификации, таких как GoDaddy и RapidSSL. Кроме того, мы увидим, как вы можете выбрать оптимальный ЦС в соответствии с вашими требованиями и ожиданиями. Наконец, в руководстве объясняется, как установить сертификат SSL на веб-серверы HTTP, в частности на Nginx и Apache.

Если у вас не установлен веб-сервер, вы можете сначала ознакомиться с этими руководствами, которые помогут вам:

Предпосылки

Прежде чем приступить к выбору и установке сертификата на сервер, необходимо выполнить некоторые предварительные условия.Давайте взглянем на все, о чем вам нужно позаботиться заранее:

Прежде всего, важно помнить, что вам придется приобрести сертификат. Вы не можете получить подлинные SSL-сертификаты бесплатно от большинства коммерческих ЦС. Однако существует новый ЦС под названием Let’s Encrypt, который предлагает пользователям бесплатные сертификаты SSL/TLS. Эти сертификаты эффективно работают в большинстве браузеров. Вот руководство о том, как защитить Apache с помощью Let’s Encrypt.

  • Регистрация доменного имени

Второе, о чем вам нужно позаботиться, это организация доменного имени.Вам понадобится зарегистрированный домен для использования сертификата. В Интернете доступно множество сервисов, которые позволяют вам зарегистрировать доменное имя по вашему выбору. Мы будем работать с такими компаниями, как Namecheap и GoDaddy.

  • Проверка прав на домен

Если у вас есть доменное имя, вам необходимо получить права проверки домена. Для этого вам нужно иметь доступ к одной из двух вещей. Либо адрес электронной почты «admin type» в домене, либо один из адресов электронной почты в записи WHOIS вашего домена.Это важно, потому что центры сертификации обычно отправляют электронные письма с подтверждением вашего SSL-сертификата на один из этих адресов электронной почты.

В других случаях ваш ЦС может предоставить вам возможность использовать альтернативный метод проверки. Например, они могут позволить вам выполнять проверку на основе DNS или HTTP. В любом случае, цель состоит в том, чтобы получить SSL-сертификат с проверкой организации (OV) или расширенной проверкой (EV). Таким образом, вам нужно будет подтвердить свой статус законного владельца веб-сайта в УЦ с соответствующими документами.

Наконец, вам нужно подготовить свой веб-сервер, так как вам нужно будет установить на него сертификат. Вы можете использовать такие серверы, как Nginx, Apache HTTP, Varnish и HAProxy. Убедитесь, что выбранный вами сервер настроен на использование вашего зарегистрированного доменного имени. Вам также потребуется настроить домен для использования соответствующих серверов имен. Наконец, не забудьте добавить записи DNS для сервера на серверы имен.

Какой центр сертификации выбрать?

Теперь, когда вы готовы, пришло время выбрать идеальный центр сертификации.Проще говоря, вы захотите выбрать вариант, который лучше всего соответствует вашим требованиям. Он должен не только предоставлять необходимые вам функции, но и соответствовать вашему бюджету. Кроме того, вы также можете обратить внимание на дополнительные функции, которые принесут вам пользу и склонят чашу весов в пользу ЦС. Например, вы должны предпочесть центр сертификации, который предлагает бесплатные повторные выпуски SSL-сертификатов, а не тот, который этого не делает.

Давайте рассмотрим некоторые из этих критических параметров более подробно.

Какие типы сертификатов они предлагают?

Одна из самых важных вещей, которую следует учитывать, это то, что выбранный вами ЦС действительно выдает тип сертификата, который вам нужен.Давайте ознакомимся с некоторыми вариантами сертификата:

На основе доменов
  • ОДИН ДОМЕН: Как следует из названия, эти сертификаты используются для одного единственного домена. Допустим, наш сертифицированный домен — example.com . Сертификация не будет включать поддомен, такой как www.example.com .
  • ПОДСТАВНОЙ КАРТА: Хотя подстановочный сертификат также предназначен для одного домена, он также включает все субдомены.Таким образом, если бы мы получили подстановочный сертификат для веб-сайта *.example.com , он также распространялся бы на его поддомены, такие как example.com,
    www.example.com
    и example.net .
  • НЕСКОЛЬКО ДОМЕНОВ: Их также называют сертификатами SAN или UC. Вы можете использовать их с несколькими доменами и поддоменами, такими как example.com,
    www.example.com
    и example.net . Они добавляются в поле Альтернативное имя субъекта.
На основе уровня проверки
  • ПРОВЕРКА ДОМЕНА (DV): Прежде чем центр сертификации выдаст сертификат DV, он должен убедиться, что вы являетесь владельцем домена.
  • ПОДТВЕРЖДЕНИЕ ОРГАНИЗАЦИИ (OV): Прежде чем центр сертификации выдаст сертификат DV, он должен подтвердить вашу юридическую личность.
  • РАСШИРЕННАЯ ПРОВЕРКА (EV): Перед тем, как центр сертификации выдаст сертификат EV, он должен подтвердить вашу юридическую личность и другие вещи в соответствии со строгим набором правил.Это связано с тем, что сертификат EV придает легитимность вашему веб-сайту в дополнение к безопасности. С расширенной проверкой у вас есть один домен и несколько вариантов домена. Подстановочного сертификата EV не существует.
Как сгенерировать CSR и закрытый ключ?

Теперь, когда вы решили, какой сертификат получить, давайте перейдем к следующему шагу. Пришло время сгенерировать CSR и закрытый ключ. CSR означает запрос на подпись сертификата.

Для этого вам нужно будет использовать openss1 на вашем сервере Apache или Nginx.Мы покажем вам, как использовать его для создания вашего CSR и закрытого ключа. Для целей этого примера мы будем хранить все файлы в домашнем каталоге. Тем не менее, вы можете надежно хранить их в любом месте.

Допустим, мы хотим сгенерировать CSR с именем example.com.csr и закрытый ключ с именем example.com.key . Вот команда, которую вы будете использовать:

openssl req -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr

openssl req -newkey rsa:2048 -nodes -keyout пример.com.key -out пример.com.csr

Вы можете заменить example.com на имя вашего домена. После запуска этой команды вам нужно будет ввести некоторую информацию для вашего CSR. Наиболее важным полем для заполнения является Общее имя. Оно должно совпадать с именем домена, с которым вы хотите использовать сертификат, например example.com , www.example.com или *.example.com . Если вы получаете сертификат OV или EV, убедитесь, что все данные заполнены правильно.Вот пример:

Название страны (двухбуквенный код) [AU]:US Название штата или провинции (полное название) [Some-State]:Нью-Йорк Название местности (например, город) []:Нью-Йорк Название организации (например, компания) [Internet Widgits Pty Ltd]:Моя компания Название организационного подразделения (например, раздел) []: Обычное имя (например, полное доменное имя сервера или ВАШЕ имя) []:example.com Адрес электронной почты []:[email protected]

Название страны (двухбуквенный код) [AU]:US

Название штата или провинции (полное название) [Some-State]:Нью-Йорк

Название населенного пункта (например, город) []:Нью-Йорк

Название организации (например, компания) [Internet Widgits Pty Ltd]:Моя компания

Название организационного подразделения (например, раздел) []:

Общее название (например,грамм. полное доменное имя сервера или ВАШЕ имя) []:example.com

Адрес электронной почты []:[email protected]

Отправив эту информацию, вы получите CSR и ключ в виде файлов .csr и .key . Сохраните файл .key в безопасном месте и отправьте файл .csr в выбранный ЦС, скопировав и вставив его в запрос сертификата. Вы можете распечатать свой CSR с помощью этой команды:

Сертификаты RapidSSL через Namecheap

Теперь можно заняться покупкой сертификата.В этом руководстве мы рассмотрим два ЦС: RapidSSL через Namecheap и GoDaddy. Начнем с первого.

Выбор сертификата

Во-первых, вам нужно решить, какой тип сертификата вы хотите получить. Чтобы определить это, просмотрите параметры, доступные на странице SSL-сертификата в Namecheap прямо здесь. Затем вам нужно выбрать уровень проверки, тип сертификата или ЦС.

Приобретение сертификата

Сделав выбор, нажмите «Сравнить продукты» в разделе «Проверка домена».Затем найдите «RapidSSL». Нажмите «Добавить в корзину» и зарегистрируйтесь или войдите, чтобы совершить покупку.

Запрос сертификата

После совершения покупки нажмите на свое имя пользователя в верхней части страницы. В раскрывающемся меню нажмите «Управление сертификатами SSL:

».

Это покажет вам все SSL-сертификаты, которые вы приобрели с помощью Namecheap. Найдите нужный сертификат и нажмите Активировать сейчас:

.

Затем выберите программное обеспечение веб-сервера.Некоторые примеры вариантов включают «Apache + MOD SSL», «nginx» или «Tomcat». Это решает, каким будет формат сертификата. Теперь вставьте свой CSR в поле и нажмите «Далее». На следующем шаге вам необходимо выбрать адрес, на который вы хотите получить ссылку для подтверждения. Вы можете выбрать между адресом типа администратора в вашем домене или адресом в записи WHOIS домена.

Теперь введите «Административную контактную информацию» и нажмите «Отправить заказ».

Проверка домена

Далее вам нужно дождаться получения письма с подтверждением на указанный вами адрес утверждающего.Затем подтвердите запрос на сертификат в электронном письме.

Загрузка сертификатов

После утверждения сертификат будет передан техническому контактному лицу. Сертификат для вашего домена вы найдете внизу этого письма. Скопируйте этот сертификат и промежуточный сертификат ЦС. Сохраните их на своем сервере в том же месте, что и ваш CSR и закрытый ключ.

Необходимо сохранить сертификат домена с именем домена и расширением .crt . Например, имя сертификата домена будет пример.com.crt , а промежуточный сертификат будет Intermediate.crt . Теперь ваш сертификат готов к установке на веб-сервере.

Сертификаты от GoDaddy

Теперь давайте посмотрим, как вы можете приобрести сертификат у GoDaddy. Хотя он предлагает все типы сертификатов, в нашем примере мы получим сертификат одного домена.

Выбор сертификата

Просмотрите страницу SSL-сертификата GoDaddy прямо здесь. Нажмите кнопку «Начать»:

.

Далее вам нужно выбрать нужный тип сертификата.Просмотрите раскрывающееся меню. В нашем примере мы выберем один домен:

.

Затем выберите уровень проверки и определите срок действия.

Приобретение сертификата

Наконец, нажмите «Добавить в корзину», перейдите к оформлению заказа, зарегистрируйте учетную запись и завершите платеж.

Запрос сертификата

Теперь, когда вы сделали покупку, вы должны запросить сертификат. Нажмите «Моя учетная запись» и перейдите к «Управление SSL-сертификатами».Найдите сертификат, который вы только что приобрели, и нажмите «Настроить». Если вы впервые используете GoDaddy, вам будет предложено настроить продукт. Подождите несколько минут, затем обновите браузер.

Теперь вы должны увидеть «Новый сертификат» и опцию «Запуск» в своей учетной записи GoDaddy. Нажмите «Запустить» рядом с нужным сертификатом. Скопируйте и вставьте свой CSR в пустое место, установите флажок I Agree , а затем нажмите Запросить сертификат.

Проверка домена

GoDaddy потребует некоторые документы и информацию для подтверждения вашего права собственности на домен.Вы получите электронное письмо на адрес, указанный в записи WHOIS вашего домена. Следуйте инструкциям, чтобы получить сертификат.

Загрузка сертификата

Затем вы получите электронное письмо на адрес электронной почты, связанный с GoDaddy, с подтверждением выдачи вашего сертификата. Либо щелкните ссылку для загрузки сертификата, либо щелкните Запустить рядом с вашим сертификатом на панели управления GoDaddy. Далее нажмите Скачать.

Как и в случае с Namecheap, вам нужно будет указать серверное программное обеспечение в раскрывающемся меню «Тип сервера».Щелкните Apache, если вы используете Apache HTTP или Nginx. Затем нажмите «Загрузить Zip-файл». При распаковке ZIP-архива вы найдете два файла .crt , один из которых является сертификатом SSL, а другой — промежуточным сертификатом. У первого будет случайное имя, а у второго будет имя gd_bundle-g2-1.crt . Скопируйте и вставьте их на свой веб-сервер. Переименуйте сертификат с доменным именем, например, , например, .com.crt, , а промежуточный пакет — как , промежуточный.крт .

Ваш сертификат готов к установке на веб-сервере.

Как установить сертификат на веб-сервер?

Теперь, когда вы получили свой сертификат, вам необходимо установить его на свой веб-сервер. Для этого вам нужно выполнить некоторые настройки в вашем серверном программном обеспечении. Цель состоит в том, чтобы добавить несколько строк, связанных с SSL. Далее мы увидим, как внести эти изменения в конфигурацию Apache HTTP и Nginx в Ubuntu 14.04.

Прежде чем мы начнем, мы должны сделать следующие предположения для нашего примера:

  • Закрытый ключ и промежуточные сертификаты SSL и CA находятся в домашнем каталоге с именем /home/sammy .
  • Имя закрытого ключа: example.com.key .
  • Имя сертификата SSL: example.com.crt .
  • Промежуточные сертификаты находятся в файле с именем intermediate.crt .

Убедитесь, что соединения через порт 443 (HTTPS) разрешены, если ваш брандмауэр включен. Мы рассмотрим, как настроить серверы Nginx и Apache для вашего сертификата.

Nginx

Если у вас есть промежуточный сертификат ЦС, вам необходимо создать файл сертификата, который будет «сцеплен».Файл должен содержать сертификат SSL и промежуточный сертификат. Затем перейдите в каталог, содержащий закрытый ключ, сертификат SSL и промежуточный сертификат. Допустим, они находятся в домашнем каталоге:

.

Мы будем использовать следующую команду для создания комбинированного файла. Он будет называться example.com.chained.crt :

.

cat example.com.crt Intermediate.crt > example.com.chained.crt

пример кота.com.crt промежуточный.crt > example.com.chained.crt

Затем откройте каталог конфигурации блока сервера Nginx. Предположим, что он присутствует по адресу /etc/nginx/sites-enabled . Выполните следующую команду:

cd /etc/nginx/sites-enabled

cd /etc/nginx/sites-enabled

Откройте его для редактирования с помощью этой команды, чтобы добавить строки SSL в файл блока сервера по умолчанию :

Затем измените директиву listen на следующую:

Убедитесь, что значение директивы server_name совпадает с общим именем в вашем сертификате.Затем добавьте директивы ssl_certificate и ssl_certificate_key . Они помогают указать пути к сертификату и файлам закрытого ключа:

имя_сервера пример.com; ssl_certificate /home/sammy/example.com.chained.crt; ssl_certificate_key /home/sammy/example.com.key;

имя_сервера example.com;

ssl_certificate /home/sammy/example.com.chained.crt;

ssl_certificate_key /home/sammy/example.ком.ключ;

Добавление этих строк сделает ваш сервер открытым только для самых безопасных протоколов и шифров SSL:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers включен; ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers включено;

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

У вас также есть возможность добавить этот блок сервера, если вы хотите, чтобы HTTP-трафик перенаправлялся на HTTPS:

.

сервер { слушать 80; пример имя_сервера./(.*) https://example.com/$1 постоянный;

}

Теперь вы можете сохранить и выйти из сеанса. Наконец, перезапустите Nginx. Это загрузит новую конфигурацию:

перезагрузка службы sudo nginx

перезапуск службы sudo nginx

Чтобы проверить, сработало ли это, попробуйте открыть свой веб-сайт с помощью HTTPS, например: https://example.com .

Апач

Вот сведения о конфигурации Apache в Ubuntu 14.04. Предположим, что сервер работает с файлом конфигурации виртуального хоста по умолчанию, который имеет вид /etc/apache2/sites-available/000-default.conf . Сделайте копию файла конфигурации с помощью этой команды:

cd /etc/apache2/сайты-доступны cp 000-default.conf 000-default.conf.orig

cd /etc/apache2/sites-available

cp 000-default.conf 000-default.conf.orig

После этого откройте его для редактирования с помощью этого:

Разрешите подключения к порту 443, отредактировав запись :

.

Затем добавьте свое доменное имя с помощью директивы ServerName :

.

Добавьте эти строки, чтобы указать пути для сертификата и ключа:

SSLEngine включен SSLCertificateFile /home/sammy/example.com.crt SSLCertificateKeyFile /home/sammy/example.com.key

SSLEngine на

SSLCertificateFile /home/sammy/example.com.crt

SSLCertificateKeyFile /home/sammy/example.com.key

Чтобы указать промежуточный пакет ЦС в Apache 2.4.8 или выше, используйте следующее:

SSLCACertificateFile /home/sammy/intermediate.crt

SSLCACertificateFile /home/sammy/intermediate.ЭЛТ

Используйте следующее, если вы используете более старую версию Apache:

SSLCertificateChainFile /home/sammy/intermediate.crt

SSLCertificateChainFile /home/sammy/intermediate.crt

Как видите, мы настроили сервер на прослушивание порта 443 для HTTPS. Это означает, что он не будет прослушивать HTTP при мощности 80. Итак, чтобы перенаправить, добавьте эти строки:

<Виртуальный хост *:80> Пример имени сервера.ком Редирект постоянный / https://example.com/

ServerName example.com

Постоянное перенаправление / https://example.com/

Затем сохраните и выйдите из сеанса. Запустите эту команду, чтобы включить модуль Apache SSL:

Наконец, перезапустите Apache. Это загрузит новую конфигурацию:

перезагрузка службы sudo apache2

перезапуск службы sudo apache2

Чтобы проверить, сработало ли это, попробуйте открыть свой веб-сайт с помощью HTTPS, например: https://example.ком . Вы также можете проверить перенаправление, подключившись через HTTP по адресу http://example.com .

Заключение

Это руководство охватывает все основы, когда дело доходит до понимания того, что такое SSL-сертификаты. Мы также показали вам, как их приобрести и как установить на ваш веб-сервер. SSL-сертификат помогает сделать ваш веб-сервер намного более безопасным и защищенным. С помощью небольшого руководства вы сможете выбрать лучший центр сертификации для себя и своего сервера.

Счастливых вычислений!

О Hark Labs
Инженер-программист и энтузиаст о новых технологиях

Полная инструкция по установке SSL-сертификата Comodo на ваш сайт

Пошаговое руководство по установке SSL-сертификата Comodo на ваш сайт?

Защита веб-сайта путем установки SSL-сертификата Comodo помогает завоевать доверие посетителей и помогает веб-сайту получить более широкое признание в качестве безопасного и аутентичного домена.Установку SSL-сертификата Comodo на веб-сервер можно выполнить, выполнив следующие короткие и простые шаги.

Шаг 1: покупка

Первым шагом в процессе включения HTTPS на веб-сайте является размещение заказа. Во-первых, вам нужно войти в систему, используя свои учетные данные, или, если у вас нет учетной записи, зарегистрируйтесь, используя свои настоящие учетные данные. После этого выберите SSL-сертификат, которым вы хотите защитить свой сайт, и добавьте его в корзину.Наконец, сделайте заказ.

Шаг 2. Создание запроса на подпись сертификата (CSR)

Перед выдачей сертификата SSL центр сертификации (ЦС) требует, чтобы пользователи отправили запрос, известный как запрос на подпись сертификата (CSR). ЦС просит пользователя сгенерировать и отправить CSR, чтобы подтвердить подлинность пользователя и его/ее организации. Покупатель должен указать данные своего домена при подаче CSR.

Шаг 3. Процесс проверки

Проверка и шифрование — две основные цели SSL-сертификата.Перед выдачей SSL-сертификата центр сертификации (ЦС) должен проверить данные владельца домена, а также его/ее организации. Процесс проверки зависит от типа сертификата, который требуется, а также от центра сертификации (CA). Это самый важный шаг с точки зрения CA.

Шаг 4. Установка сертификата

После выдачи сертификата SSL пользователю необходимо активировать этот сертификат на веб-сервере. Необходимо установить два других сертификата вместе с основным SSL-сертификатом.Эти два сертификата состоят из промежуточного сертификата и корневого сертификата. Процесс установки отличается от одного сервера к другому. На нашем сайте вы можете найти подробное руководство по установке сертификата SSL на различных веб-серверах.

Шаг 5. Проверка установки SSL

После установки SSL-сертификата на веб-сервере последним шагом является проверка того, был ли ваш веб-сайт перенесен на HTTPS или нет. Используя наш инструмент SSL Checker , вы можете убедиться, что сертификат SSL установлен правильно.

Вот некоторые из наиболее часто задаваемых вопросов об установке SSL-сертификата.

Какие документы нужны для проверки?

Характер процесса проверки, а также требуемые документы различаются от одного сертификата к другому. Узнайте больше на нашей странице поддержки

Как повторно выпустить сертификат SSL?

Процедура перевыпуска сертификата аналогична выдаче нового.У нас вы получаете неограниченное количество перевыпусков.

Какой у меня веб-сервер?

Рекомендуем обратиться за этим к вашему хостинг-провайдеру.

Что делать, если я хочу вернуть свои деньги после использования SSL-сертификата в течение некоторого времени?

Мы предоставляем 30-дневную политику возврата без риска для всех наших клиентов.

Сэкономьте до 75% на

Сертификаты Comodo SSL

Совет: Как правило, вы можете сэкономить значительную сумму, покупая сертификат SSL напрямую, а не через вашу веб-хостинговую компанию.Мы продаем все SSL-сертификаты Comodo со скидкой до 75%.

Родственные

Установить сертификат SSL Microsoft IIS 10

Загрузите и разархивируйте файлы сертификатов

Загрузите и разархивируйте файлы сертификатов, щелкнув ссылку для скачивания в электронном письме о выполнении или в своей учетной записи GeoCerts SSL Manager. Вы найдете один файл .cer, который содержит сертификат SSL-сервера вашего домена и все необходимые промежуточные сертификаты ЦС в формате PKCS#7 (P7B).Скопируйте файл и сохраните его на том же сервере, который вы использовали для создания CSR.

Установите файл сертификата сервера SSL PKCS#7

  1. Откройте диспетчер информационных служб Интернета (IIS). На начальном экране щелкните или найдите диспетчер информационных служб Интернета (IIS) и откройте его.
  2. IВ диспетчере IIS выберите узел сервера в левом верхнем углу под Подключения .
  3. Нажмите на имя сервера.
  4. В центральном меню дважды щелкните кнопку Сертификаты сервера в разделе IIS (она находится в середине меню).

  5. На панели Действия в правом верхнем углу выберите Завершить запрос сертификата .

  6. Перейдите к файлу your_domain_name.cer , который был загружен. Затем вам потребуется ввести понятное имя . Понятное имя не является частью самого сертификата, но используется администратором сервера, чтобы легко отличить сертификат. Выберите размещение нового сертификата в хранилище сертификатов Personal .

  7. Щелкните OK , чтобы установить сертификат.
    ПРЕДУПРЕЖДЕНИЕ ОБ ОШИБКЕ! В IIS есть известная проблема, которая приводит к следующей ошибке: Не удалось удалить сертификат Если это тот же сервер, на котором вы создали CSR, то в большинстве случаев сертификат действительно установлен. Просто закройте диалоговое окно и нажмите F5 , чтобы обновить список сертификатов сервера. Если новый сертификат теперь есть в списке, значит, он был установлен на сервер. Если его нет в списке, вам нужно будет перевыпустить сертификат, используя новый CSR.
  8. После успешной установки SSL-сертификата на сервер вам потребуется назначить этот сертификат соответствующему веб-сайту с помощью IIS.
  9. В меню Connections главного окна диспетчера информационных служб Интернета (IIS) выберите имя сервера, на который был установлен сертификат.
  10. В разделе Sites выберите сайт для защиты с помощью SSL.
  11. В меню Действия (справа) щелкните Привязки... Откроется окно Site Bindings .

  12. В окне Привязки сайта нажмите Добавить... Откроется окно Добавить привязку сайта .

     

  13. Под Введите выберите https . IP-адрес должен быть IP-адресом сайта или All Unassigned, а порт, через который трафик будет защищен SSL, обычно равен 443. В поле SSL Certificate должен быть указан сертификат, который был установлен на шаге 7.Если в настоящее время ваш сайт защищен, вы увидите тип HTTPS, указанный в окне «Привязки сайта». В этом случае выберите тип HTTPS и нажмите кнопку Изменить... .
  14. В окне «Добавить привязку сайта» или «Редактировать привязку сайта» выберите новый сертификат в раскрывающемся списке «Сертификаты SSL». Если вы добавляете новую привязку, вы также выберете тип: HTTPS, IP-адрес: все неназначенные и порт: 443.
  15. Нажмите OK , затем закройте окно привязки сайта.
  16. Если ваш сертификат содержит несколько имен сайтов (SANS), вам потребуется повторно заполнить раздел «Привязки» для каждого сайта.

Проверка установки

  • Чтобы убедиться, что ваш сертификат установлен правильно, используйте нашу программу проверки установки сертификата.
  • Проверьте свой SSL-сертификат, используя браузер для подключения к серверу. Используйте директиву протокола https . Например, если ваш SSL был выпущен для secure.mysite.com, введите https://secure.mysite.com в свой браузер.
  • Значок замка вашего браузера будет отображаться в закрытом положении, если ваш сертификат установлен правильно и сервер правильно настроен для SSL.

Дополнительные ресурсы

Пожалуйста, свяжитесь с нашей службой поддержки, если у вас возникнут дополнительные проблемы или вопросы.

Распространенные ошибки, связанные с выпуском и установкой SSL-сертификатов

Установка SSL-сертификата не всегда может проходить гладко.Довольно часто пользователь не готов к возникновению непредвиденных проблем, которые могут возникнуть в процессе установки. Чтобы уберечь себя от лишней и трудоемкой работы, рекомендуем ознакомиться с нашим руководством, которое поможет предотвратить самые распространенные ошибки и упростить установку SSL-сертификата без обращения к специалистам по SSL.

Вы выбрали неверный центр сертификации

В настоящее время на рынке представлено множество центров сертификации, каждый из которых предоставляет услуги по выпуску SSL-сертификатов.Однако не все удостоверяющие центры имеют надежную репутацию и широкую поддержку со стороны производителей популярных настольных браузеров и мобильных устройств. При выборе удостоверяющего центра обратите особое внимание на наличие необходимого вам типа SSL-сертификатов. Это связано с тем, что существуют определенные центры сертификации, которые ограничены выпуском только SSL-сертификатов OV и EV. Некоторые центры сертификации ограничены только сертификатами с проверкой домена (DV).

Выбор доверенного и авторитетного ЦС гарантирует, что SSL-сертификаты этого ЦС всегда будут приниматься всеми устройствами и браузерами.Вы не столкнетесь с такими проблемами, с которыми сталкивались пользователи SSL-сертификатов от центров сертификации WoSign и StartCom.

Вы решили использовать самоподписанные сертификаты для коммерческих сайтов

Самоподписанные SSL-сертификаты бесплатны, поэтому они привлекательны и часто выбираются владельцами веб-сайтов. Однако обратите внимание, что для целей коммерческого сайта такие сертификаты не подойдут. Всякий раз, когда посетитель заходит на сайт, он увидит предупреждающее уведомление.В результате будет значительная потеря трафика, т. к. посетители будут воздерживаться от использования такого ресурса — уровень доверия к нему будет очень низким. Коммерческий ресурс должен быть защищен доверенным SSL-сертификатом.

Вы допустили ошибку при создании запроса CSR

Для того, чтобы SSL-сертификат был сгенерирован, центр сертификации должен получить правильно сформированный запрос CSR, т. е. не содержащий ошибок. Очень важно тщательно проверять каждое поле при создании запроса CSR.Все входные данные должны быть корректными и соответствовать требованиям к представлению CSR. Настоятельно рекомендуется всегда дважды проверять правильность всех данных перед отправкой CSR. Это сэкономит вам много времени и усилий по сравнению с перевыпуском сертификата из-за проблем с каким-либо полем в запросе CSR.

Вы не готовы к процессу проверки

Центр сертификации всегда выполняет проверку личности и/или организации перед выдачей SSL-сертификата.Проверка домена (DV) включает в себя проверку того, что домен, для которого запрашивается сертификат SSL, принадлежит лицу, запрашивающему сертификат. Для прохождения DV-верификации используйте адрес электронной почты администратора, связанный с доменом (admin/admin/postmaster/hostmaster/webmaster), или указанный в WHOIS. Это простая процедура проверки, которая не требует каких-либо специальных мер.

Однако, если вы хотите получить OV (с проверкой организации) или EV (с расширенной проверкой) SSL-сертификат, в этом случае вам потребуется предоставить дополнительную информацию о вашей компании.Довольно часто организации допускают ошибки при предоставлении необходимых данных, что приводит к проблемам с проверкой достоверности. Информация, содержащаяся в CSR, может быть устаревшей и не отражать текущее положение дел в компании. В некоторых случаях у компании может не быть общедоступного номера телефона. Крайне важно предоставить всю необходимую информацию перед подачей заявки на получение SSL-сертификата - в противном случае возможны задержки с выдачей SSL-сертификата или он не будет выдан вообще.

Вы потеряли свой закрытый ключ

В процессе формирования CSR-запроса на вашем компьютере создается уникальный файл, который называется Private Key. Этот ключ позволяет вам читать зашифрованные сообщения, которые отправляются на ваш сервер из браузера посетителя. Если вы случайно поделитесь приватным ключом с кем-либо (например, с мошенниками), то ваш сайт больше не будет защищен. Если вы потеряете приватный ключ, вы не сможете установить SSL-сертификат на сайт — вам нужно будет перевыпустить SSL-сертификат.Защитите свой закрытый ключ — будьте осторожны и храните его только в надежных местах!

Вы решили установить SSL-сертификат самостоятельно, проигнорировав инструкции

Если вы не являетесь ИТ-специалистом, настоятельно рекомендуется воздержаться от попыток установить SSL-сертификат самостоятельно. Скорее всего, вы потерпите неудачу и вам придется обращаться к услугам платных специалистов, что займет много времени и повлечет за собой дополнительные расходы.

Просто следуйте инструкциям по установке.Многие из них предоставляют пошаговые советы по установке SSL-сертификатов. Вы ознакомитесь со всеми необходимыми действиями: какие команды вводить, как настроить сервер, с чего начать установку SSL-сертификата и т.д. На нашем сайте вы можете найти следующие инструкции:

Вы забыли проверить правильность установки сертификата SSL

Завершающим этапом любого процесса является определение того, все ли было сделано правильно. Убедитесь, что вы посетили свой сайт после установки SSL, чтобы убедиться, что сертификат был установлен правильно.Это поможет избежать нежелательного сценария, когда вы считаете, что все работает как положено, а на самом деле пользователи сталкиваются с ошибками при посещении вашего ресурса.

У нас есть исчерпывающие руководства о том, что именно нужно сделать для правильного перехода на HTTPS.

Также вы можете использовать наш инструмент для проверки установленного SSL-сертификата.

Вы забыли о сроке действия сертификата

SSL-сертификаты необходимо обновить.Срок их действия ограничен 1-3 годами (с 2018 года трехлетние сертификаты больше не выдаются). Пользователи часто забывают о сроке действия сертификатов, что негативно сказывается на бизнесе в целом — ваш сайт выводит посетителям сообщение об ошибке о том, что срок действия сертификата истек.

Чтобы напомнить клиентам о необходимости обновить свои SSL-сертификаты, мы отправляем уведомления по электронной почте о том, что срок действия сертификата истекает и требуется завершить процедуру обновления сертификата.

Выбирая ЛидерТелеком Б.В., вы можете быть уверены, что избежите самых распространенных ошибок и получите безупречный сервис.


.

Leave a Reply