Установка SSL сертифіката для сайту

• Створення та підписання ssl сертифіката
• Як встановити SSL сертифікат через ISPmanager
• Ручне встановлення SSL сертифіката на Apache
• Установка SSL сертифіката на Nginx
• Установка SSL сертифіката в Directadmin
• Перевірка правильності встановлення SSL сертифіката

Як встановити SSL сертифікат для сайту

Сертифікат потрібний для створення захищеного з’єднання клієнта з вашим сайтом. При правильному встановленні сертифіката всі дані, якими обмінюється ваш клієнт із сайтом, будуть зашифровані. Як клієнт дізнається, що з’єднання захищене? Адреса вашого сайту буде починатися з https і поруч буде закритий значок замка.

SSL сертифікати випускаються такими сертифікаційними центрами, як Comodo (Sectigo), Symantec, GeoTrust, а також іншими. Сертифікати кожного з них можуть використовуватися для сайту на WordPress або будь-якому іншому движку.

Ви розумієте важливість використання SSL, але як це зробити на практиці? Дотримуйтесь наших рекомендацій, і ви зможете самостійно встановити SSL сертифікат!

Що потрібно, щоб встановити сертифікат:

1. Ключ . При створенні CSR запиту обов’язково генерується ключ, ще його називають приватним або секретним ключем.
2. Сертифікат . Файл ssl сертифіката для вашого домену, а також сертифікати центру сертифікації, у якого ви купили SSL сертифікат для вашого сайту.
3. Доступ до сервера. Сервер, на якому розміщується ваш сайт, на нього ми і будемо встановлювати сертифікат ssl.

Сама процедура встановлення сертифіката не залежить від використовуваної CMS і буде однаковою для сайту на WordPress, Opencart та будь-якій іншій CMS. Єдиний аспект, який може виникнути – це необхідність увімкнути використання HTTPS в налаштуваннях вашої CMS.

Створення та підписання ssl сертифіката

Щоб отримати SSL сертифікат, потрібно створити так званий CSR запит на випуск сертифіката. Це можна зробити вручну чи через замовлення в особистому кабінеті. Розглянемо обидва методи по порядку.

1) Створення запиту вручну.
Для створення CSR запиту скористаємося утилітою OpenSSL, вона вже є у вашій OS X і більшості Linux. Якщо у вас Windows скористайтесь OpenSSL для Windows або Cygwin. Введіть команду :

openssl req -nodes -newkey rsa:2048 -keyout vashdomen.key -out vashdomen.csr

Коли ви побачите запит вказати Common Name (FDQN), введіть назву вашого домену, без // і без www. Коли ви заповните всі інші дані у вас з’явиться два нових файли:

vashdomen.key – приватний ключ;

vashdomen.csr – CSR запит.

Приватний ключ потрібно зберігати в таємниці та не викладати у спільний доступ та не пересилати електронною поштою. Файл із розширенням *.csr необхідно надіслати постачальнику ssl сертифікатів.

2) Створення замовлення особистому кабінеті.
Тепер давайте розглянемо, як створити CSR запит через замовлення в особистому кабінеті на нашому хостингу. Заходимо до особистого кабінету за адресою my.tuthost.ua . Якщо ви ще не зареєстровані у нас як клієнт – це можна зробити перейшовши за посиланням Реєстрація. Тож ми в особистому кабінеті. Зліва у вертикальному меню переходимо до розділу “Товари/Послуги” – “SSL-сертифікати” та натискаємо кнопку “Замовити”.

Насамперед система пропонує нам заповнити Запит на отримання сертифіката згенерувавши новий або скористатися існуючим CSR запитом, якщо такий є. Вибираємо “Сгенерувати запит” та вказуємо назву домену, для якого буде випущено сертифікат, назву організації, контактні дані та іншу необхідну інформацію.

Важливо! Перевірте правильність даних. Виправити помилки у випущеному сертифікаті немає можливості. Якщо сертифікат випущено з помилкою, можна випустити його знову, створити новий CSR запит, новий ключ і знову встановити сертифікат.

Натискаємо “Далі” і отримуємо секретний ключ, який виглядає приблизно так:

-----BEGIN RSA PRIVATE KEY-----
ВаШсЕкРеТнЫйКлЮч

-----END RSA PRIVATE KEY-----

Без цього ключа неможливо використати сертифікат, тому зберігаємо його у надійному місці.

Натискаємо “Далі”. На наступному кроці вказуємо контактну інформацію адміністратора та технічного спеціаліста.

Натискаємо кнопку “Далі”. На наступному кроці вибираємо як нам зручніше пройти перевірку домену. Найшвидший і найпростіший спосіб за Email-адресою. Також вибираємо на якій з адрес ми хочемо отримати перевірочний лист.

Важливо! Тільки на одну з п’яти запропонованих адрес центр сертифікації зможе надіслати листа для перевірки домену. Адреси повинні бути в домені, для якого випускається сертифікат. Будь-які інші адреси не підійдуть.

Натискаємо “Далі”, бачимо вартість нашого замовлення та можемо вибрати на який період увімкнути автоматичне продовження сертифікату. Зверніть увагу, щоб продовжити сертифікат потрібно пройти наново всі етапи від створення CSR запиту до встановлення нового сертифіката.

Після натискання кнопки “В кошик” наше замовлення буде готове до оплати.

Щоб вибрати спосіб оплати, натискаємо зелену кнопку “Оплатити”, вибираємо зручний спосіб оплати та оплачуємо.

Перевіряємо замовлення. Переходимо до розділу “Товари/Послуги” – “SSL сертифікати” та бачимо наше замовлення.

Якщо ми вже оплатили замовлення, тоді в стовпці Стан буде вказано статус Активний. До того часу, доки сертифікат не буде випущений, у колонці “Діє до” відображається дата замовлення. Як тільки сертифікат ssl буде випущений, значення зміниться на дату закінчення дії сертифіката.

Якщо двічі клікнути на замовленому сертифікаті, тоді у вікні побачимо інформацію про сертифікат. У самому низу, у розділі “Файли сертифіката”, можна знайти та завантажити Секретний ключ та CSR запит. Після випуску сертифіката з’явиться файл сертифіката, який можна завантажити і використовувати. Також центр сертифікації може надіслати файли сертифіката вам на електронну пошту.

Після отримання ви можете перевірити сертифікат ssl за допомогою наших інструментів .

Як встановити SSL сертифікат через ISPmanager

Щоб використовувати сертифікат ssl, його потрібно встановити на ваш сайт. Установка сертифіката SSL через ISPmanager – це легко. Наведені нижче рекомендації допоможуть вам швидко встановити сертифікат.

1. Заходимо в ISPmanager з логіном та паролем користувача, якому належить домен, і зробимо установку ssl сертифіката. Адреса входу: https://адреса_вашого_сервера_з_ISPменеджером.com:1500/ispmgr

Якщо ви увійшли під root`ом, переконайтеся, що користувачеві дозволено використовувати SSL, якщо ні – змінюємо налаштування. Переходимо до розділу “Облікові записи” – “Користувачі” – вибираємо користувача та натискаємо кнопку “Змінити”.

У розділі “Доступ” ставимо галочку “Може використовувати SSL”. Натискаємо кнопку “OK”.

Заходимо до ISPmanager під користувачем, якому дозволили використовувати SSL. З-під root`а це легко зробити виділивши користувача та натиснути кнопку “Увійти”.

2. Встановлення. Переходимо до розділу “Налаштування web-сервера” – “SSL-сертифікати” та натискаємо кнопку “Створити”.

Вибираємо Тип ssl сертифіката “Існуючий”. Натискаємо кнопку “Далі”.

У відповідні поля вставляємо вміст файлів сертифіката, ключа та сертифікатів центру сертифікації.

Відкрити файли сертифікатів можна будь-яким текстовим редактором.

Вміст файлу сертифіката виглядає приблизно так:

–BEGIN CERTIFICATE–

ВАШСЕРТІФІКАТ

—–END CERTIFICATE––

Вміст файлу ключа так:

—–BEGIN RSA PRIVATE KEY––

ВАШСЕКРЕТНИЙ КЛЮЧ

—–END RSA PRIVATE KEY––

У розділ Ланцюжок SSL сертифікатів вставляємо кореневий та проміжні сертифікати надіслані центром сертифікації. Натискаємо кнопку “Завершити”. Бачимо щойно встановлений сертифікат.

3. Включаємо сертифікат для сайту. Відкриваємо розділ “Домени”, “WWW домени”, вибираємо наш сайт, натискаємо кнопку “Змінити”.

Включаємо Захищене з’єднання (SSL) та в полі “SSL-сертифікат” вибираємо наш сертифікат. Натискаємо кнопку “OK”.

Встановлення завершено.

Як встановити SSl сертифікат на Apache

Якщо вам потрібно встановити сертифікат ssl на сервер Apache – дана інструкція допоможе вам легко це зробити.

1. Для початку, сертифікат, який ви отримали від центру сертифікації, потрібно скопіювати на ваш сервер Apache.

Ssl сертифікат і файл ключа розміщуємо в одній директорії, наприклад /etc/ssl/certificates/.

2. Встановлюємо ланцюжок сертифікатів. Але де взяти цей ланцюжок? Все необхідне у вас, напевно, вже є. Разом із сертифікатом для вашого домену ви отримали “додаткові” кореневі та проміжні сертифікати. Проміжний сертифікат може бути кілька або один. Для Apache потрібно об’єднати файли ланцюжка сертифікатів на один файл з ім’ям vashdomen.ca-bundle. Щоб підготувати файл ланцюжка, відкриваємо сертифікати текстовим редактором та виконуємо копіювання вмісту файлів в один текстовий файл. Порядок розміщення вмісту сертифікатів зворотний: Intermediate 3 (Проміжний), Intermediate 2, Intermediate 1, Root Certificate (Корневий сертифікат). Приблизно так:

—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ3
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ2
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ1
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
КоРнЕвОйСеРтИфИкАт
—–END CERTIFICATE—–

Перевірте, кожен наступний сертифікат повинен починатися з нового рядка.

Отриманий файл vashdomen.ca-bundle поміщаємо в ту ж саму директорію, в якій у вас вже є файли ключа та сертифіката для вашого домену.

3. Далі потрібно змінити файл конфігурації сервера Apache. Для цього відкриваємо у текстовому редакторі файл “httpd.conf” та в блоці “Virtual Host” (Віртуальний хост) для вашого веб-сайту додаємо наступні рядки:

SSLEngine on

SSLCertificateFile /etc/ssl/sertificates/vashdomen.crt  

SSLCertificateKeyFile /etc/ssl/sertificates/private.key

SSLCertificateChainFile /etc/ssl/sertificates/vashdomen.ca-bundle

Де:

SSLEngine on – дозволяємо SSL,

SSLCertificateFile /etc/ssl/sertificates/vashdomen.crt – вказуємо місце розташування файлу сертифіката для вашого домену,

SSLCertificateKeyFile /etc/ssl/sertificates/private.key – вказуємо місце розташування файлу секретного ключа,

SSLCertificateChainFile /etc/ssl/sertificates/vashdomen.ca-bundle – вказуємо де розташований файл ланцюжка сертифікатів центру сертифікації.

Якщо ви використовуєте Apache 1.x, замініть “SSLCertificateChainFile” на “SSLCACertificateFile”. Тоді вийде:

SSLCACertificateFile /etc/ssl/sertificates/vashdomen.ca-bundle

Якщо розміщення файлів або імена файлів у вас інші, тоді підставте ваші імена файлів та шлях до них.

4. Збережіть файл “httpd.conf” та перезапустіть Apache.

Установка SSL сертифіката на Nginx

Установка SSL сертифіката Nginx має свої особливості.

Наша інструкція допоможе вам.

1. Отримані від центру сертифікації файли копіюємо на сервер, наприклад /etc/ssl/ і в цю ж папку копіюємо файл ключа “vashdomen.key”.
2. Далі потрібно об’єднати сертифікати в один файл. З’єднуємо файл сертифіката “vashdomen.crt” з intermediate.crt (проміжним сертифікатом) або з ca-bundle.crt (ланцюжком сертифікатів). Це можна зробити різними способами:
   1. використовуючи команду cat записуємо у файл “vashdomen_bundle.crt” вміст файлів: cat root.crt intermediate.crt vashdomen.crt > vashdomen_bundle.crt
   2. редагуючи файл: створюємо файл “vashdomen_bundle.crt”, копіюємо в нього вміст файлу сертифіката “vashdomen.crt” та вміст файлів проміжних та кореневого сертифікатів. Перевірте, що кожен наступний сертифікат починається з нового рядка приблизно так:
      —–BEGIN CERTIFICATE—–
ВаШсЕрТиФиКаТ
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ПрОмЕжУтОчНыЙсЕрТиФиКаТ
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
КоРнЕвОйСеРтИфИкАт
—–END CERTIFICATE—–

3. Вносимо зміни до файлу віртуального хоста Nginx.
   Додаємо наступні рядки у файл віртуального хоста Nginx для вашого сайту:
   ssl_certificate /etc/ssl/vashdomen_bundle.crt;
   ssl_certificate_key /etc/ssl/vashdomen.key;
   В результаті файл має виглядати приблизно так:

server {

listen 443;

ssl on;

ssl_certificate /etc/ssl/vashdomen_bundle.crt;

ssl_certificate_key /etc/ssl/vashdomen.key;

server_name vashdomen.com;

access_log /var/log/nginx/nginx.vhost.access.log;

error_log /var/log/nginx/nginx.vhost.error.log;

location / {

root /home/www/public_html/vashdomen.com/public/;

index index.html;

}

А якщо ви хочете, щоб ваш сайт працював із захищеним з’єднанням по https протоколу, і з незахищеним по http? Тоді потрібно до внесення змін зробити копію існуючого серверного модуля для незахищеного з’єднання і вставити нижче модуля, який змінюватимемо для роботи з SSL. Щоб внесені зміни набули чинності, потрібно перезавантажити Nginx, для цього виконаємо команду: sudo /etc/init.d/nginx restart
Все, встановлення на Nginx завершено.

Установка SSL сертифіката в Directadmin

1. Переходимо в панель керування хостингом Directadmin за адресою https://vashdomen.com:2222 і в додаткових опціях натисніть на посилання “SSL сертифікати”.
2. У формі, що відкрилася, вибираємо пункт: “Вставити попередньо згенерований сертифікат і ключ”.
   Вставляємо по черзі вміст приватного ключа та сертифіката. Повинно вийти як на картинці та натискаємо кнопку “Зберегти”.

3. Далі встановлюємо проміжні сертифікати.
   Натисніть на посилання, під формою: “Клацніть тут для вставки основного CA Root Сертифіката” .
   У формі, що відкрилася, вставляємо проміжний сертифікат, який отримали від центру сертифікації і відзначаємо галочкою пункт “Використовувати Сертифікат CA” .
4. Включаємо SSL для нашого домену. На панелі керування клацніть на пункті меню “Налаштування доменів” та вибираємо наш домен.
   Ставимо галочку навпроти рядка SSL.
   Рекомендуємо вибрати в налаштуваннях внизу опцію: “Використовувати посилання з private_html на public_html для роботи сайту http і https”. Так наш сайт буде доступний і за http і за https протоколами.

Перевірка правильності встановлення SSL сертифіката

Після того як ми встановили ssl сертифікат, потрібно перевірити правильність його установки. Це можна зробити за допомогою інструмента Перевірка SSL сертифіката :

1. Відкриваєте посилання https://tuthost.ua/ssl/ssl-checker/
2. У полі Хост сервера (домен) вказуємо ваш домен та натискаємо кнопку “Перевірити” .
3. Якщо ваш ssl сертифікат встановлено правильно, ви побачите приблизно такий результат:

ВАЖЛИВО! Якщо ця перевірка видасть будь-які попередження, наприклад:

Отже, встановлення сертифіката виконано неправильно, зв’яжіться з нашою службою підтримки і ми допоможемо вирішити це питання.