Установка SSL сертификата для сайта

• Создание и подписание ssl сертификата
• Как установить SSL сертификат через ISPmanager
• Ручная установка SSL сертификата на Apache
• Установка SSL сертификата на Nginx
• Установка SSL сертификата в Directadmin
• Проверка правильности установки SSL сертификата

Как установить SSL сертификат для сайта

Сертификат необходим для создания защищенного соединения клиента с вашим сайтом. При правильной установке сертификата все данные, которыми обменивается ваш клиент с сайтом, будут зашифрованы. Как клиент узнает что соединение защищено? Адрес вашего  сайта будет начинаться с https и рядом будет значок закрытого замка.

SSL сертификаты выпускаются такими сертификационными центрами как Comodo (Sectigo), Symantec, GeoTrust, а также другими. Сертификаты каждого из них могут использоваться для сайта на WordPress или на любом другом движке.

Вы осознаете важность использования SSL, но как это сделать на практике? Следуйте нашим рекомендациям, и вы сможете самостоятельно установить SSL сертификат!

Что нужно чтобы установить сертификат:

1. Ключ. При создании CSR запроса обязательно генерируется ключ, ещё его называют приватным или секретным ключом.
2. Сертификат. Файл ssl сертификата для вашего домена, и сертификаты центра сертификации, у которого вы купили SSL сертификат для вашего сайта.
3. Доступ к серверу. Сервер, на котором размещается ваш сайт, на него мы и будем устанавливать ssl сертификат.

Сама процедура установки сертификата не зависит от используемой CMS и будет одинаковой для сайта на WordPress, Opencart и любой другой CMS. Единственный ньюанс, который может возникнуть – это необходимость включить использование HTTPS в настройках вашей CMS.

Создание и подписание ssl сертификата

Чтобы получить ssl сертификат, нужно создать так называемый CSR запрос на выпуск сертификата. Это можно сделать вручную или через заказ в личном кабинете. Рассмотрим оба способа по порядку.

1) Создание запроса вручную.
Для создания CSR запроса воспользуемся утилитой OpenSSL, она уже есть в вашей OS X и в большинстве Linux. Если у вас Windows воспользуйтесь OpenSSL для Windows или Cygwin. Введите команду:

openssl req -nodes -newkey rsa:2048 -keyout vashdomen.key -out vashdomen.csr

Когда вы увидите запрос указать Common Name (FDQN) введите название вашего домена, без // и без www. Когда вы заполните все остальные данные у вас появится два новых файла:

vashdomen.key – приватный ключ;

vashdomen.csr – CSR запрос.

Приватный ключ нужно хранить в тайне и не выкладывать в общий доступ и не пересылать по электронной почте. Файл с расширением *.csr необходимо направить поставщику ssl сертификатов.

2) Создание заказа в личном кабинете.
Теперь давайте рассмотрим как создать CSR запрос через заказ в личном кабинете на нашем хостинге. Заходим в личный кабинет по адресу my.tuthost.ua. Если вы еще не зарегистрированы у нас в качестве клиента – это можно сделать перейдя по ссылкеРегистрация. Итак, мы в личном кабинете. Слева в вертикальном меню переходим в раздел “Товары/Услуги” – “SSL-сертификаты” и нажимаем кнопку “Заказать”.

Первым делом система предлагает нам заполнить Запрос на получение сертификата сгенерировав новый или воспользоваться существующим CSR запросом, если таковой имеется. Выбираем “Сгенерировать запрос” и указываем название домена, для которого будет выпущен сертификат, название организации, контактные данные и другую необходимую информацию.

Важно! Проверьте правильность указанных данных. Исправить ошибки в выпущенном сертификате нет возможности. Если сертификат выпущен с ошибкой, можно только выпустить его заново, создать новый CSR запрос, новый ключ и заново установить сертификат.

Нажимаем “Далее” и получаем секретный ключ, который выглядит примерно так:

-----BEGIN RSA PRIVATE KEY-----
ВаШсЕкРеТнЫйКлЮч

-----END RSA PRIVATE KEY-----

Без этого ключа невозможно использовать сертификат, поэтому сохраняем его в надежном месте.

Нажимаем “Далее”. На следующем шаге указываем контактную информацию администратора и технического специалиста.

Нажимаем кнопку “Далее”. На следующем шаге выбираем как нам удобнее пройти проверку домена. Самый быстрый и простой способ по Email-адресу. Также выбираем на какой из адресов мы хотим получить проверочное письмо.

Важно! Только на один из пяти предложенных адресов центр сертификации сможет выслать письмо для проверки домена. Адреса должны быть в домене для которого выпускается сертификат. Любые другие адреса не подойдут.

Нажимаем “Далее”, видим стоимость нашего заказа и можем выбрать на какой период включить автоматическое продление сертификата. Обратите внимание, для продления сертификата нужно будет пройти заново все этапы от создания CSR запроса до установки нового сертификата.

После нажатия кнопки “В корзину” наш заказ будет готов к оплате.

Чтобы выбрать способ оплаты нажимаем зеленую кнопку “Оплатить”, выбираем удобный способ оплаты и оплачиваем.

Проверяем заказ. Переходим в раздел “Товары/Услуги” – “SSL сертификаты” и видим наш заказ.

Если мы уже оплатили заказ, тогда в колонке Состояние будет указан статус Активен. До тех пор, пока сертификат не будет выпущен, в колонке “Действует до” отображается дата заказа. Как только ssl сертификат будет выпущен, значение изменится на дату окончания действия сертификата.

Если дважды кликнуть на заказанном сертификате, тогда в открывшемся окне увидим информацию по сертификату. В самом низу, в разделе “Файлы сертификата”, можно найти и скачать Секретный ключ и CSR запрос. После выпуска сертификата здесь же появится файл сертификата, который можно скачать и использовать. Также центр сертификации может выслать файлы сертификата вам на электронную почту.

После получения вы можете проверить ssl сертификат с помощью наших инструментов.

Как установить SSL сертификат через ISPmanager

Чтобы использовать ssl сертификат, его нужно установить на ваш сайт. Установка SSL сертификата через ISPmanager – это легко. Следующие рекомендации помогут вам быстро установить сертификат.

1. Заходим в ISPmanager с логином и паролем пользователя, которому принадлежит домен, и произведем установку ssl сертификата. Адрес входа: https://адрес_вашего_сервера_с_ISPменеджером.com:1500/ispmgr

Если вы вошли под root`ом, убедитесь, что пользователю разрешено использовать SSL, если нет – изменяем настройки. Переходим в раздел “Учётные записи” – “Пользователи” – выбираем пользователя и нажимаем кнопку “Изменить”.

В разделе “Доступ” ставим галочку “Может использовать SSL”. Нажимаем кнопку “Ok”.

Заходим в ISPmanager под пользователем, которому разрешили использовать SSL. Из-под root`а это легко сделать выделив пользователя и нажать кнопку “Войти”.

2. Установка. Переходим в раздел “Настройки web-сервера” – “SSL-сертификаты” и нажимаем кнопку “Создать”.

Выбираем Тип ssl сертификата “Существующий”. Нажимаем кнопку “Далее”.

В соответствующие поля вставляем содержимое файлов сертификата, ключа и сертификатов центра сертификации.

Открыть файлы сертификатов можно любым текстовым редактором.

Содержимое файла сертификата выглядит примерно так:

—–BEGIN CERTIFICATE—–

ВаШсЕрТиФиКаТ

—–END CERTIFICATE—–

Содержимое файла ключа так:

—–BEGIN RSA PRIVATE KEY—–

ВаШсЕкРеТнЫйКлЮч

—–END RSA PRIVATE KEY—–

В раздел Цепочка SSL сертификатов вставляем корневой и промежуточные сертификаты присланные центром сертификации. Нажимаем кнопку “Завершить”. Видим только что установленный сертификат.

3. Включаем сертификата для сайта. Открываем раздел “Домены”, “WWW домены”, выбираем наш сайт, нажимаем кнопку “Изменить”.

Включаем Защищенное соединение (SSL) и в поле “SSL-сертификат” выбираем наш сертификат. Нажимаем кнопку “Ok”.

Установка завершена.

Как установить SSl сертификат на Apache

Если вам нужно установить ssl сертификат на сервер Apache – данная инструкция поможет вам легко это сделать.

1. Для начала, сертификат, который вы получили от центра сертификации нужно скопировать на ваш сервер Apache.

Ssl сертификат и файл ключа размещаем в одной и той же директории, например /etc/ssl/certificates/.

2. Устанавливаем цепочку сертификатов. Но где взять эту цепочку? Все необходимое у вас наверняка уже есть. Вместе с сертификатом для вашего домена вы получили “дополнительные” корневой и промежуточные сертификаты. Промежуточных сертификатов может быть несколько или один. Для Apache нужно объединить файлы цепочки сертификатов в один файл с именем vashdomen.ca-bundle. Чтобы подготовить файл цепочки, открываем сертификаты текстовым редактором и выполняем копирование содержимого файлов в один текстовый файл. Порядок размещения содержимого сертификатов обратный: Intermediate 3 (Промежуточный), Intermediate 2, Intermediate 1, Root Certificate (Корневой сертификат). Примерно вот так:

—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ3
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ2
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ1
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
КоРнЕвОйСеРтИфИкАт
—–END CERTIFICATE—–

Проверьте, каждый следующий сертификат должен начинаться с новой строки.

Полученный файл vashdomen.ca-bundle помещаем в туже директорию, в которой у вас уже есть файлы ключа и сертификата для вашего домена.

3. Далее нужно внести изменения в файл конфигурации сервера Apache. Для этого открываем в текстовом редакторе файл “httpd.conf” и в блоке “Virtual Host” (Виртуальный хост) для вашего веб-сайта добавляем следующие строки:

SSLEngine on

SSLCertificateFile /etc/ssl/sertificates/vashdomen.crt  

SSLCertificateKeyFile /etc/ssl/sertificates/private.key

SSLCertificateChainFile /etc/ssl/sertificates/vashdomen.ca-bundle

Где:

SSLEngine on – разрешаем SSL,

SSLCertificateFile /etc/ssl/sertificates/vashdomen.crt – указываем место расположения файла сертификата для вашего домена,

SSLCertificateKeyFile /etc/ssl/sertificates/private.key – указываем место расположения файла секретного ключа,

SSLCertificateChainFile /etc/ssl/sertificates/vashdomen.ca-bundle – указываем где расположен файл цепочки сертификатов центра сертификации.

В случае если вы используете Apache 1.x замените “SSLCertificateChainFile” на “SSLCACertificateFile”. Тогда получится:

SSLCACertificateFile /etc/ssl/sertificates/vashdomen.ca-bundle

Если размещение файлов или имена файлов у вас другие, тогда подставьте ваши имена файлов и путь к ним.

4. Сохраните файл “httpd.conf” и перезапустите Apache.

Установка SSL сертификата на Nginx

Установка SSL сертификата на Nginx имеет свои особенности.

Наша инструкция поможет вам.

1. Полученные от центра сертификации файлы копируем на сервер, например в /etc/ssl/ и в эту же папку копируем файл ключа “vashdomen.key”.
2. Далее сертификаты нужно объединить в один файл. Соединяем файл сертификата “vashdomen.crt” с intermediate.crt (промежуточным сертификатом) или с ca-bundle.crt (цепочкой сертификатов). Это можно сделать разными способами:
   1. используя команду cat записываем в файл “vashdomen_bundle.crt” содержимое файлов:cat root.crt intermediate.crt vashdomen.crt > vashdomen_bundle.crt
   2. редактируя файл: создаем файл “vashdomen_bundle.crt”, копируем в него содержимое файла сертификата “vashdomen.crt” и содержимое файлов промежуточных и корневого сертификатов. Проверьте, что каждый следующий сертификат начинается с новой строки, примерно так:
      —–BEGIN CERTIFICATE—–
ВаШсЕрТиФиКаТ
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
КоРнЕвОйСеРтИфИкАт
—–END CERTIFICATE—–

3. Вносим изменения в файл виртуального хоста Nginx.
   Добавляем следующие строки в файл виртуального хоста Nginx для вашего сайта:
   ssl_certificate /etc/ssl/vashdomen_bundle.crt;
   ssl_certificate_key /etc/ssl/vashdomen.key;
   В результате файл должен выглядеть примерно так:

server {

listen 443;

ssl on;

ssl_certificate /etc/ssl/vashdomen_bundle.crt;

ssl_certificate_key /etc/ssl/vashdomen.key;

server_name vashdomen.com;

access_log /var/log/nginx/nginx.vhost.access.log;

error_log /var/log/nginx/nginx.vhost.error.log;

location / {

root /home/www/public_html/vashdomen.com/public/;

index index.html;

}

А если вы хотите, чтобы ваш сайт работал и с защищенным соединением по https протоколу, и с незащищенным по http? Тогда нужно до внесения изменений сделать копию существующего серверного модуля для незащищенного соединения и вставить ниже модуля, который будем изменять для работы с SSL. Чтобы внесенные изменения вступили в силу нужно перезагрузить Nginx, для этого выполним команду: sudo /etc/init.d/nginx restart
Все, установка на Nginx завершена.

Установка SSL сертификата в Directadmin

1. Переходим в панель управления хостингом Directadmin по адресу https://vashdomen.com:2222 и в дополнительных опциях кликнем по ссылке “SSL сертификаты”.
2. В открывшейся форме выбираем пункт: “Вставить предварительно сгенерированный сертификат и ключ”.
   Вставляем по очереди содержимое приватного ключа и сертификата. Должно получиться как на картинке и нажимаем кнопку “Сохранить”.

3. Дальше устанавливаем промежуточные сертификаты.
   Кликнем по ссылке, под формой: “Щелкните здесь для вставки основного CA Root Сертификата”.
   В открывшейся форме вставляем промежуточный сертификат, который получили от центра сертификации и отмечаем галочкой пункт “Использовать Сертификат CA”.
4. Включаем SSL для нашего домена. В панели управления кликнем на пункте меню “Настройки доменов” и выбираем наш домен.
   Ставим галочку напротив строки SSL.
   Рекомендуем выбрать в настройках внизу опцию: “Использовать ссылку с private_html на public_html для работы сайта по http и https”. Так наш сайт будет доступен и по http и по https протоколам.

Проверка правильности установки SSL сертификата

После того как мы установили ssl сертификат нужно проверить правильность его установки. Это можно сделать с помощью инструмента Проверка SSL сертификата:

1. Открываете ссылку https://tuthost.ua/ssl/ssl-checker/
2. В поле Хост сервера (домен) указываем ваш домен и нажимаем кнопку “Проверить”.
3. Если ваш ssl сертификат установлен правильно вы увидите примерно такой результат:

ВАЖНО!!! Если данная проверка выдаст какие-либо предупреждения, например как это:

Значит установка сертификата выполнена неверно, свяжитесь с нашей службой поддержки и мы поможем решить этот вопрос.