Как самостоятельно перенести домен на другой хостинг 🏠

Что такое сертификат ssl? как работает ssl?

Сертификат Secure Socket Layer (SSL) – это протокол безопасности, который защищает данные между двумя компьютерами с использованием шифрования.

Проще говоря, сертификат SSL – это файл данных, который в цифровом виде связывает криптографический ключ с сервером или доменом, а также с названием и местонахождением организации.

Как правило, сертификаты SSL используются на веб-страницах, которые передают и получают конфиденциальные данные конечного пользователя, такие как номер социального страхования, данные кредитной карты, домашний адрес или пароль. Онлайн формы оплаты являются хорошим примером и обычно шифруют вышеупомянутую деликатную информацию с использованием 128 или 256-битной технологии SSL.

Сертификаты SSL обеспечивают идентификацию удаленного компьютера, чаще всего сервера, но также подтверждают идентификацию вашего компьютера с удаленным компьютером для установления безопасного соединения. Обеспечение безопасности в Интернете всегда было улицей с двусторонним движением, и благодаря SSL-шифрованию сервер «пожимает руку» вашему персональному компьютеру, и обе стороны знают, с кем они общаются.

Что такое запрос на подпись сертификата (csr)?

Запрос на подпись сертификата (CSR – Certificate Signing Request) содержит наиболее важную информацию о вашей организации и домене. Это зашифрованный блок текста, который включает информацию о вашей организации, такую как страна, адрес электронной почты, полное доменное имя и так далее Он отправляется в центр сертификации при подаче заявки на сертификат SSL.

Обычно вы генерируете пару CSR и ключ локально на сервере, где будет установлен сертификат SSL. Однако это не строгое правило. Вы можете сгенерировать пару CSR и ключ на одном сервере и установить сертификат на другом. Однако это усложняет ситуацию. Мы рассмотрим и этот сценарий.

SSL использует две длинные строки случайно сгенерированных чисел, которые известны как закрытые и открытые ключи. Открытый ключ доступен для публичного домена, так как он является частью вашего SSL-сертификата и сообщается вашему серверу.

Закрытый ключ должен соответствовать CSR, с которым он был создан, и, в конечном счете, он должен соответствовать сертификату, созданному из CSR. Если закрытый ключ отсутствует, это может означать, что сертификат SSL не установлен на том же сервере, который сгенерировал запрос на подпись сертификата.

CSR обычно содержит следующую информацию:

Почему?

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Основные функции управления доменом

• Продление срока регистрации.
• Изменение контактных данных.
• Передача прав на домен.
• Заказ SSL-сертификата.
• Редактирование DNS-серверов и ресурсных записей.

Apache

При использовании библиотеки OpenSSL в Apache закрытый ключ по умолчанию сохраняется в /usr/local/ssl. Запустите openssl version –a, команду OpenSSL, которая определяет, какую версию OpenSSL вы используете.

Выходные данные будут отображать каталог, который содержит закрытый ключ. Смотрите пример выходных данных ниже:

OpenSSL 1.0.2g  1 Dec 2021

built on: reproducible build, date unspecified

platform: debian-amd64

options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)

compiler: cc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -

D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -g -O2 -fstack-protector-

strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-

Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -

DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -

DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -

DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM

OPENSSLDIR: "/usr/lib/ssl"

Последняя строка OPENSSLDIR определяет путь к файлу. В приведенном примере это местоположение по умолчанию /usr/lib/ssl.

Nginx

Вы сможете найти местоположение личного ключа вашего сервера в файле виртуального хоста вашего домена.

Перейдите к местоположению корневого сервера сайта (обычно это каталог /var/www/) и откройте основной файл конфигурации сайта. Найдите директиву ssl_certificate_key, которая предоставит путь к файлу закрытого ключа.

Если вы не можете найти директиву ssl_certificate_key, возможно, существует отдельный файл конфигурации для деталей SSL. Ищите что-нибудь вроде ssl.conf.

Ssl сертификат

Когда вам нужно проверить сертификат, дату его истечения и кто его подписал, используйте следующую команду OpenSSL:

openssl x509 -in server.crt -text –noout

Алгоритм делегирования

На Eternalhost не осуществляется переноса домена, только его делегирование.

Для делегирования нужно связаться с техподдержкой регистратора и попросить сменить существующие NS-серверы на:

• ns1.eternalhost.net
• ns2.eternalhost.net

Делегированные на Eternalhost доменыне будут отображаться в соответствующем разделе биллинг-панели («Домены»).

Обратное делегирование домена — с Eternalhost можно сделать самостоятельно. Для это нужно:

1. Зайти в биллинг-панель.
2. Перейти в раздел «Товары/Услуги» → «Домены».
   
3. Выделить кликом нужный домен и нажать «NS» в верхнем меню.
   
4. В открывшемся меню «Серверы имен» нужно вписать в 2 графы «NS» (с красной звездочкой) новые значения, вместо ns1/ns2.eternalhost.net и нажать «Изменить». Значения серверов имен нужно предварительно узнать у техподдержки хостинга, на который происходит делегирование домена с Eternalhost.

Процесс делегирования может занять до 24 часов. В этот период сайт на домене будет не доступен.

В чем разница между tls и ssl?

Её нет! Transport Layer Security (TLS) – это обновленная версия Secure Socket Layer (SSL). Даже при том, что большинство безопасных соединений через протоколы TLS, люди продолжают называть это SSL.

Вариант 1: создать csr

Первое, что нужно сделать, – это создать 2048-битную пару ключей RSA локально. Эта пара будет содержать как ваш закрытый, так и открытый ключ. Вы можете использовать инструмент Java key или другой инструмент, но мы будем работать с OpenSSL.

Чтобы создать открытый и закрытый ключ с запросом на подпись сертификата (CSR), выполните следующую команду OpenSSL:

openssl req –out certificatesigningrequest.csr -new -newkey rsa:2048 -nodes -keyout privatekey.key

Что эта команда означает:

• openssl – активирует программное обеспечение OpenSSL
• req – указывает, что мы хотим CSR
• –out – указывает имя файла, в котором будет сохранен ваш CSR. У нас в примере это certificatesigningrequest.csr
• –new –newkey – создать новый ключ
• rsa:2048 – cгенерировать 2048-битный математический ключ RSA
• –nodes – нет DES, то есть не шифровать закрытый ключ в PKCS#12 файл
• –keyout – указывает домен, для которого вы генерируете ключ

Далее ваша система должна запустить текстовую анкету для заполнения, которую мы описывали в таблице выше:

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

После завершения работы программы вы сможете найти файл CSR в вашем рабочем каталоге. Запрос на подпись сертификата, сгенерированный с помощью OpenSSL, всегда будет иметь формат файла .csr. Чтобы найти в папке все файлы этого формата используйте команду

ls *.csr

Тут будет список всех сертификатов, останется только найти тот, что мы только что сгенерировали.

Также вы можете открыть файл .csr в текстовом редакторе, например nano, чтобы просмотреть сгенерированный буквенно-цифровой код.

sudo nano your_domain.csr

После того, как вы сгенерировали CSR с парой ключей, сложно увидеть, какую информацию она содержит, поскольку она не будет в удобочитаемом формате. Вы можете легко декодировать CSR на своем сервере, используя следующую команду OpenSSL:

openssl req -in server.csr -noout -text

Далее можно декодировать CSR и убедиться, что он содержит правильную информацию о вашей организации, прежде чем он будет отправлен в центр сертификации. В Интернете существует множество CSR-декодеров, которые могут помочь вам сделать то же самое, просто скопировав содержимое файла CSR, например sslshopper.

Вариант 2. создание csr для существующего закрытого ключа

Рекомендуется выдавать новый закрытый ключ всякий раз, когда вы генерируете CSR. Если по какой-либо причине вам необходимо сгенерировать запрос на подпись сертификата для существующего закрытого ключа, используйте следующую команду OpenSSL:

openssl req -out CSR.csr -key privateKey.key -new

Вариант 3. создание csr для существующего сертификата и закрытого ключа

openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key

Один маловероятный сценарий, в котором это может пригодиться, – это если вам нужно обновить существующий сертификат, но ни у вас, ни у вашего центра сертификации нет первоначального CSR. Это позволит извлечь информацию о вашем домене и организации из сертификата SSL и использовать его для создания нового CSR, что позволит вам сэкономить время. Параметр -x509toreq преобразует сертификат в запрос сертификата.

Вариант 4: генерация самоподписанного(self-signed) сертификата

Самозаверяющий сертификат обычно используется для сред тестирования и разработки, а также в интрасети. Давайте создадим самозаверяющий сертификат, используя следующую команду OpenSSL:

openssl req -newkey rsa:2048 -nodes -keyout domain.key-x509 -days 365 -out domain.crt

Параметр –days установлен на 365, что означает, что сертификат действителен в течение следующих 365 дней. Параметр x509 указывает, что это будет самозаверяющий сертификат. Временный CSR генерируется, и он используется только для сбора необходимой информации. Если вы не хотите защищать свой закрытый ключ паролем, вы можете добавить параметр –nodes.

Центры сертификации не проверяют самоподписанные сертификаты. Таким образом, они не так безопасны, как проверенные сертификаты. Если ЦС не подписал сертификат, каждый основной браузер отобразит сообщение об ошибке «Ненадежный сертификат», как показано на рисунке ниже.

Вариант 5: генерация самоподписанного сертификата из существующего закрытого ключа и csr

Если у вас уже есть CSR и закрытый ключ и вам нужно создать самозаверяющий сертификат, используйте следующую команду:

openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

Параметр –days установлен на 365, что означает, что сертификат действителен в течение следующих 365 дней.

Веб-сервер apache

Если ssl-запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. 

Ubuntu / Debian – /etc/apache2/apache2.conf. 

Веб-сервер nginx

Если ssl-запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

Откройте конфигурационный файл Nginx – /etc/nginx/nginx.conf

Создайте серверный модуль для SSL-соединения. Пример:

Выпуск бесплатного ssl сертификата let’s encrypt

Для выпуска доступны два типа бесплатных SSL сертификатов:

• Стандартный — обеспечивает защиту домена и до 39 поддоменов;
• Wildcard — обеспечивает защиту домена и всех поддоменов.

Бесплатные SSL cертификаты выпускается в течение 20-30 минут.

Бесплатные SSL сертификаты Let’s Encrypt выпускаются сроком действия на 90 дней. Вам не потребуется беспокоиться об их перевыпуске: мы берем эту задачу на себя.

Где получить сертификат ssl?

Сертификаты SSL проверяются и выдаются Центром сертификации (CA – Certificate Authorities). Вы подаете заявку, генерируя CSR (Certificate Signing Request – запрос на получение сертификата) с парой ключей на вашем сервере, которая в идеале будет содержать сертификат SSL. CSR содержит важные организационные детали, которые CA проверяет.

Делегирование домена

Часть хостинг-провайдеров поддерживает не полный, а лишь частичный перенос домена, называемый делегированием. Ключевое отличие делегирования от переноса в том, что в этом случае не требуется проходить процедуру смены регистратора, управляющего доменом. Чтобы делегировать домен на хостинг, нужно лишь прописать у текущего регистратора новые NS-серверы.

Эта несложная процедура дает важное преимущество — ускорение загрузки сайта. Еще одна причина делегировать домен к текущему хостинг-провайдеру — повышение контроля. Когда домен делегирован, за техническую сторону работы размещенного сайта и его доменного имени отвечает одна организация.

Ниже разберем процедуру делегирования домена на примере хостинга Eternalhost.

Добавление уже зарегистрированного домена

Для того чтобы Ваш сайт открывался по домену, который зарегистрирован не у нас, Вам необходимо добавить домен в данном разделе, а также изменить у своего регистратора NS-серверы на наши:

Для добавления домена необходимо перейти во вкладку Добавить или зарегистрировать домен, ввести имя домена в соответствующем поле и указать, к какому сайту будет прилинкован домен.

При добавлении домена можно:

Заказ платного ssl сертификата

Вы также можете заказать платный SSl сертификат Sectigio. Для заказа доступны  5 типов SSL сертификатов: Positive SSL, SSL, Premium SSL, SSL EV, SSL Wildcard. Их отличия приведены на скриншоте:

После выпуска сертификата он будет автоматически установлен на Ваш домен.

Закрытый ключ

Закрытый ключ кодируется и создается в формате PEM на основе Base-64, который не читается человеком. Вы можете открыть его в любом текстовом редакторе, но все, что вы увидите, это несколько десятков строк, которые кажутся случайными символами, заключенными в открывающие и закрывающие заголовки. Ниже приведен пример закрытого ключа:

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQCVqGpH2S7F0CbEmQBgmbiDiOOGxhVwlG yY/6OBQoPKcx4Jv2h
vLz7r54ngjaIqnqRNP7ljKjFLp5zhnAu9GsdwXbgLPtrmMSB MVFHTJvKjQ eY9p
dWA3NbQusM9uf8dArm 3VrZxNHQbVGXOIAPNHTO08cZHMSqIDQ6OvLma7wIDAQAB
AoGAbxKPzsNh826JV2A253svdnAibeSWBPgl7kBIrR8QWDCtkH9fvqpVmHa 6pO5
5bShQyQSCkxa9f2jnBorKK4 0K412TBM/SG6Zjw DsZd6VuoZ7P027msTWQrMBxg
Hjgs7FSFtj76HQ0OZxFeZ8BkIYq0w 7VQYAPBWEPSqCRQAECQQDv09M4PyRVWSQM
S8Rmf/jBWmRnY1gPPEOZDOiSWJqIBZUBznvOPOOQSH6B vee/q5edQA2OIaDgNmn
AurEtUaRAkEAn7/65w Tewr89mOM0RKMVpFpwNfGYAj3kT1mFEYDq iNWdcSE6xE
2H0w3YEbDsSayxc36efFnmr//4ljt4iJfwJAa1pOeicJhIracAaaa6dtGl/0AbOe
f3NibugwUxIGWkzlXmGnWbI3yyYoOta0cR9fvjhxV9QFomfTBcdwf40FgQJAH3MG
DBMO77w8DK2QfWBvbGN4NFTGYwWg52D1Bay68E759OPYVTMm4o/S3Oib0Q53gt/x
TAUq7IMYHtCHZwxkNQJBAORwE 6qVIv/ZSP2tHLYf8DGOhEBJtQcVjE7PfUjAbH5
lr  9qUfv0S13gXj5weio5dzgEXwWdX2YSL/asz5DhU=
-----END RSA PRIVATE KEY-----

В большинстве случаев вам не нужно импортировать код закрытого ключа в файловую систему сервера, так как он будет создан в фоновом режиме, пока вы создаете CSR, а затем автоматически сохраняется на сервере. Во время установки SSL-сертификата система извлекает ключ.

Зашифровать незашифрованный закрытый ключ

Следующая команда OpenSSL возьмет незашифрованный закрытый ключ и зашифрует его с помощью определенной вами парольной фразы.

openssl rsa -des3 -in unencrypted.key -out encrypted.key

Определите ключевую фразу для шифрования закрытого ключа.

Инструкция для международных доменов

При смене обслуживающей компании владелец домена (domain owner) не меняется. Изменить администратора можно после окончания процедуры. Это можно сделать, если:

• отключена услуга «Private Person»;
• прошло более двух месяцев с момента регистрации.

Чтобы получить Authinfo-код, необходимо оформить заявку. После этого перенос станет возможным.

Например, чтобы сменить Wix на любой другой вариант, понадобится через настройки аккаунта создать заявку с помощью опции «Перенос с Wix», а затем «Выслать код».

Как найти свой ранее установленный закрытый ключ?

Если дело в том, что ваш сертификат уже установлен, выполните следующие действия, которые помогут вам найти свой закрытый ключ в популярных операционных системах.

Как переместить ssl-сертификат с сервера windows на сервер, отличный от windows?

Чтобы переместить сертификат с сервера Windows на сервер, отличный от Windows, необходимо извлечь закрытый ключ из файла .pfx с помощью OpenSSL.

Как правильно перенести ssl сертификаты с одного vps на другой?

Как правильно перенести сертификат ssl на другой сервер?

Как проверить свой csr, ssl-сертификат и ключ

Как мы уже упоминали, было бы разумно проверить информацию, представленную в CSR, прежде чем подавать заявку на сертификат. Используйте следующие команды для проверки вашего запроса на подпись сертификата, SSL-сертификата и ключа:

Как скопировать содержимое файла csr

Откройте каталог, в котором находится ваш CSR-файл. Введите следующую команду:

sudo cat domain.csr

Замените domain параметром FQDN вашего CSR. Эта команда отобразит содержимое файла CSR. Скопируйте весь контент, начиная с BEGIN CERTIFICATE REQUEST и заканчивая END CERTIFICATE REQUEST.

Как создать csr

Запросы на подпись сертификата (CSR) создаются с помощью пары ключей – открытого и закрытого ключа. Только открытый ключ отправляется в центр сертификации и включается в сертификат SSL, и он работает вместе с вашим личным ключом для шифрования соединения. Любой может иметь доступ к вашему открытому ключу, и он проверяет подлинность SSL-сертификата.

Закрытый ключ – это блок закодированного текста, который вместе с сертификатом проверяет безопасное соединение между двумя компьютерами. Он не должен быть общедоступным, и его не следует отправлять в ЦС.

Целостность сертификата зависит от того, что только вы знаете закрытый ключ. Если вы когда-либо скомпрометированы или утеряны, как можно скорее введите новый сертификат с новым закрытым ключом. Большинство ЦС не взимают плату за эту услугу.

Большинство пар ключей состоят из 2048 битов. Хотя пары ключей длиной 4096 бит более безопасны, они замедляют SSL-рукопожатия и создают нагрузку на серверные процессоры. Из-за этого большинство сайтов по-прежнему используют 2048-битные пары ключей.

Как создать сертификат ssl

То, как сгенерировать запрос на подпись сертификата (CSR), зависит исключительно от платформы, которую вы используете, и конкретного выбранного вами инструмента.

Мы будем генерировать CSR с использованием OpenSSL.

OpenSSL – это широко используемый инструмент для работы с CSR-файлами и SSL-сертификатами, который можно загрузить с официального сайта OpenSSL. Это инструмент реализации с открытым исходным кодом для SSL/TLS, который используется примерно на 65% всех активных интернет-серверов, что делает его неофициальным отраслевым стандартом.

Когда нельзя перенести домен

• Срок регистрации истекает в ближайшую неделю или уже истек.
• В течение месяца с момента предыдущей смены.
• Были нарушены правила предоставления документов и сведений, необходимых для регистрации.

Команды openssl для конвертации csr

Если вы работаете с серверами Apache, запросы на подпись сертификатов (CSR) и ключи хранятся в формате PEM. Но что, если вы хотите перенести CSR на сервер Tomcat или Windows IIS? Вам придется конвертировать стандартный файл PEM в файл PFX. Следующие команды помогут вам сделать это.

Примечание: Используйте параметр -nodes, если вы не хотите шифровать файл .key. Если вы не используете этот параметр, вам нужно будет указать пароль.

Конвертировать der в pem

Если вам нужно преобразовать файл .der в PEM, используйте следующую команду OpenSSL:

openssl x509 -inform der -in domain.der -out domain.crt

Конвертировать pem в der

DER – это двоичный формат, обычно используемый с Java. Чтобы преобразовать файл ASCII PEM в DER, используйте следующую команду OpenSSL:

openssl x509 -in domain.crt -outform der -out domain.der

Можно ли перенести ssl-сертификат с договора на договор? – ru-center

Настройка веб-сервера apache на использование ssl-сертификата

После копирования файлов сертификата сайта и Центра Сертификации необходимо отредактировать параметры вашего веб-сервера Apache. Для этого подключитесь к вашему серверу по SSH от имени пользователя root и выполните следующие операции:

Общая информация

Аккредитованный регистратор доменных имен — организация, имеющая право создавать новые домены, продлевать срок существующих, для которого предусмотрена регистрация. В сферу полномочий регистраторов входят доменные имена в доменах второго (реже — третьего) уровня.

Официальное разрешение (аккредитацию) на регистрацию доменов на международном уровне регистраторы получают у корпорации ICANN. Эта организация является единственным администратором доменов верхнего уровня (доменов первого уровня) — самого верхнего уровня доменов в системе DNS, после нулевого (корневого). Именно ICANN отвечает за добавление записей о каждом домене в центральный реестр доменных имен Интернета.

Перенос домена означает обращение к другой компании-регистратору, поэтому требует предварительного отказа от услуг предыдущей. После открепления пользователь должен обратиться к своему новому регистратору, чтобы тот принял доменное имя на обслуживание.

Для смены регистратора нужно отправить службе поддержки новой компании AuthInfo-код (код переноса домена), без которого невозможно инициировать процедуру. Это сделает процесс проще, поскольку в таком случае присутствие администратора уже не требуется. Безопасность операции обеспечивается подтверждением через электронную почту.

Чаще всего достаточно обратиться к технической поддержке нового регистратора с заявкой на перенос домена. Все вопросы будут улажены организацией, принимающей на себя обязанности по обслуживанию и поддержке доменного имени.

Передача домена и смена регистратора

В подменю «Управление доменами и поддоменами» находятся опции управления доменами, среди которых: передача домена на другой аккаунт «Управление доменами и поддоменами» находятся опции управления доменами, среди которых: передача домена на другой аккаунт

Перенос домена на обслуживание в beget

Также в текущем разделе вы можете добавить уже зарегистрированный вами ранее домен у другого регистратора. Для этого добавьте его в таблицу управления доменами/поддоменами и нажмите на кнопку

В появившемся окне вам необходимо указать Auth-code, выданный вашим регистратором. 

Перенос сертификатов с компьютера linux/mac os:

Самый простой способ загрузки сертификатов на сервер – опция SCP, встроенная в возможность терминала вашего компьютера:

Полезные команды openssl

• Создание ключа для SSL-сертификата:

openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key

openssl req -new -key cert.key -out cert.csr

openssl rsa -in cert.key -out cert.key

openssl req -noout -text -in cert.csr

• Данные сертификата (проверить кем выдан, например):

openssl x509 -noout -text -in cert.crt

• Проверить, что ключ соответствует сертификату:

openssl x509 -noout -modulus -in cert.crt | openssl md5

openssl rsa -noout -modulus -in cert.key | openssl md5

Два последних значения должны совпадать, в нашем случае это md5.

Порядок действий по переносу международного домена

1. Авторизоваться на сайте своего регистратора.
2. Использовать форму переноса, доступную в настройках личного кабинета.
3. Ввести имя домена и подтвердить действие.
4. На следующей странице нажать «Подать заявку на перенос».
5. Ввести AuthInfo-код и указать информацию о регистранте.
6. На новой странице появится возможность изменить DNS-серверы для домена или выбрать текущие.
7. Перейти в корзину покупок и продлить домен на следующий год. Оплатить выставленный счет.

Заявка на перенос домена будет принята. В личном кабинете появится домен со статусом «Неактивна».

На почту придет уведомление с просьбой подтвердить перенос по ссылке. После этого в личном кабинете изменится статус услуги на «PENDING_TRANSFER». Это значит, что процедура переноса началась.

Она может длиться 5-10 дней. Например, перенос на конструкторе Тильда занимает от 3 до 24 часов.

Пояснения к отдельным этапам переноса сайта

Пункт 1Работать лучше с архивами файлов, так как они скачиваются и загружаются быстрее. На локальном компьютере скачанный со старого хостинга архив необходимо распаковать и перейти в каталог с папками и файлами WordPress.

Далее следует выделить все папки и файлы и снова запаковать их в ZIP-архив. Это необходимо для того, чтобы при распаковке архива на новом хостинге все файлы и папки оказались в том же каталоге, что и загруженный архив.

Пункт 3Загружаем созданный нами ZIP-архив в каталог с названием сайта (Евробайт) или в папку public_html (Beget и Timeweb), которая расположена внутри каталога с названием сайта.

Пункт 4Копируем через FTP клиент FileZilla с нового хостинга файл wp-config.php на локальный компьютер. Открываем его с помощью Notepad и находим следующие строки:

Заменяем в файле wp-config.php параметры, которые обозначены в примере выражениями: имя_базы_данных, имя_пользователя и пароль, новыми значениями. Сохраняем изменения и загружаем файл обратно на сервер с перезаписью исходного.

Имя базы данных для WordPress и имя пользователя MySQL могут как отличаться друг от друга, так и быть одинаковыми.

Преобразовать pem csr и закрытый ключ в pkcs12 (.pfx .p12)

Файлы FKCS12 используются для экспорта или импорта сертификатов в Windows IIS.

openssl pkcs12 -inkey domain.key -in domain.crt -export -out domain.pfx

Эта команда возьмет закрытый ключ и CSR и преобразует его в один файл .pfx. Вы можете настроить экспортную фразу-пароль, но также можете оставить это поле пустым. Обратите внимание, что, объединив строки символов сертификата в конец одного файла PEM, вы можете экспортировать цепочку сертификатов в формат файла .pfx.

Проверить версию openssl

Эта команда отображает версию OpenSSL, и ее параметры, с которыми она была скомпилирована:

openssl version -a

Получим примерно такой вывод:

OpenSSL 1.0.1f 6 Jan 2021
built on: Mon Apr  7 21:22:23 UTC 2021
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Проверка домена (dv ssl – domain validation)

Этот тип сертификата SSL идеально подходит для защиты блогов, приложений социальных сетей и личных веб-сайтов. Центр сертификации не гарантирует идентичность организации, и проверяется только владение доменом.

Проверка порта

По умолчанию ssl использует 443 порт, поэтому будем проверять именно его. Какой веб-сервис отвечает на 443 порту, можно проверить командой:

• Для Ubuntu / Debian / Centos

# netstat -napt | grep 443

либо

# ss -tlpn | grep 443

Вывод будет примерно следующим:

tcp        0      0 188.120.233.16:443      0.0.0.0:*               LISTEN      731/apache2

# sockstat | grep 443

Вывод будет примерно следующим:

Продление и автопродление домена

Кликнув по кнопкебонусные домены, автопродление происходит за счет бонусов.

В случае если на момент автопродления на аккаунте нет бонусных доменов и недостаточно средств, домен продлен не будет, а на административный email будет выслано предупреждение. Повторная попытка автопродления будет произведена через сутки.

Продление сертификата – не используйте старые csr повторно

То, что некоторые веб-серверы позволяют использовать старые CSR для обновления сертификатов, не означает, что вы должны их использовать. В качестве меры безопасности всегда генерируйте новый CSR и закрытый ключ при обновлении сертификата. Привязка к одному и тому же секретному ключу – это дорога, вымощенная уязвимостями безопасности.

Также рекомендуется обновить SSL-сертификат до истечения срока его действия. В противном случае потребуется покупать новый сертификат.

Расшифровать зашифрованный закрытый ключ

Следующая команда OpenSSL возьмет зашифрованный закрытый ключ и расшифрует его.

openssl rsa -in encrypted.key -out decrypted.key

При появлении запроса введите кодовую фразу для расшифровки закрытого ключа.

Регистрация нового домена

Заказ домена состоит из трёх шагов: выбор доменного имени, регистрация домена, проверка корректности данных и создание сайта.

Система не извлекает закрытый ключ автоматически

Некоторые системы не автоматизируют процедуру извлечения закрытого ключа. Кроме того, если вам нужно установить существующий сертификат на другом сервере, вы, очевидно, не можете ожидать, что он получит закрытый ключ. Основная сложность здесь заключается в том, как найти точное местоположение ключа.

Управление данными администратора домена

В разделе Администраторы вы можете просмотреть персону, на которую домен зарегистрирован, и, при необходимости, подкорректировать данные администратора домена, которые не относятся к идентификационным, или же сформировать в автоматическом режиме заявление для смены администратора домена.

Для редактирования данных администратора домена нажмите на кнопку

Для изменения контактных данных администратора не требует специальных разрешений. После внесения нужных изменений нажмите на кнопку “Изменить” и данные сохранятся. А вот изменение паспортных данных требует специального разрешения и письменного заявления владельца домена.

Управление доменами

В таблице управление доменами и поддоменами отображаются все домены на вашем аккаунте, а также некоторая информация о них: срок окончания делегирования, регистратор, поддомены. 

Для всех доменов (кроме технических) вы можете:

Управление доменами под обслуживанием регистратора beget

Для доменов, находящихся под обслуживанием Beget, доступны расширенные возможности управления.

Уровни проверки ssl-сертификатов

Центры сертификации имеют различные уровни проверки сертификатов в ответ на растущий спрос на сертификаты. Некоторые организации используют SSL только для шифрования, в то время как другие хотят показать своим клиентам, что они являются доверенной компанией. Различные потребности привели к различным уровням проверки сертификата.

Установка openssl в debian и ubuntu

Сначала проверим, установлена ли у нас утилита OpenSSL при помощи команды:

dpkg -l |grep openssl

Если пакет OpenSSL установлен, мы получим следующий результат:

ii libgnutls-openssl27:amd64   2.12.23-12ubuntu2.4   amd64   GNU TLS library - OpenSSL wrapper

ii openssl   1.0.1f-1ubuntu2.16   amd64   Secure Sockets Layer toolkit - cryptographic utility

Если вы не видите такого результата, выполните следующую команду для установки OpenSSL:

apt-get install openssl

Установка openssl в red hat и centos

Red Hat (версия 7.0 и более поздние) должна поставляться с предустановленной ограниченной версией OpenSSL. Он предлагает только ограниченную поддержку для IDEA, RC5 и MDC2, поэтому вы можете установить недостающие функции.

Чтобы проверить, установлен ли OpenSSL на сервере yum (например, Red Hat или CentOS), выполните следующую команду:

rpm -qa | grep -i openssl

Эта команда должна вернуть следующий результат:

openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

Если ваш формат вывода отличается, это означает, что OpenSSL не установлен на вашем сервере. Выполните следующую команду для установки OpenSSL:

yum install openssl openssl-devel

Установка ssl-сертификата на домен средствами панели ispmanager 6

1. Зайдите в ISPmanager 6 под пользователем, которому принадлежит домен. Это можно сделать так: войдите в панель под пользователем root, найдите раздел Пользователи — выберите пользователя — нажмите Войти под пользователем (справа вверху кнопка с изображением стрелочки и двери).

Примечание: не забудьте для пользователя включить возможность добавления SSL (ISPmanager — Пользователи — двойной клик по пользователю — поставьте галочку в пункте Может использовать SSL).

2. В разделе SSL-сертификаты — справа вверху кнопка Добавить сертификат.

Укажите Тип сертификата — Существующий. И заполните все поля:

Имя сертификата — Начиная с версии панели 6.19, данного пункта нет, имя будет формироваться из информации о сертификате “_customX”

Примечание: Если у вас панель ниже версии 6.19, то нужно указать имя сертификата. Оно может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и –

SSL-Сертификат — укажите содержимое файла SSL-сертификата, обычно имеет расширение .crt

Ключ SSL-сертификата — укажите содержимое файла приватного ключа, обычно имеет расширение .key

Цепочка SSL-сертификатов — Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат, обычно файл имеет расширение .ca или .ctrca

Чтобы указать содержимое файлов — сертификата, ключа и цепочки, необходимо просто скопировать содержимое каждого и вставить в соответствующие поля. 

3. После того, как сертификат успешно добавлен, перейдите в раздел Сайты и включите его. Двойной клик по нужному сайту — установить галочку Защищённое соединение (SSL) — выбрать из списка нужный сертификат:

Шаг 1: выбор доменного имени

Выберите свободное доменное имя. Выбрав доменное имя стоит убедиться, что схожего имени нет в других доменных зонах. Это поможет избежать ошибочных переходов посетителей вашего сайта на ресурс не принадлежащий вам.

Если имя занято, вам будет выведено предупреждение об этом.

Шаг 2:  регистрация домена

При регистрации домена необходимо указать персону, на которую будет зарегистрирован домен. Если вы регистрировали домены через нас ранее, то вы можете выбрать сохраненную персону из списка. Все поля обязательны для заполнения.

При установке галочки на Private Person, указанные ФИО не будут отображаться при проверке домена по общедоступной базе WHOIS.

Если вы уже регистрировали домены через нас, то можно выбрать персону с заполненными ранее данными. При регистрации персона сохраняется автоматически.

Расширенная проверка (ev ssl – extended validation)

Центр сертификации проверяет право собственности на домен и проводит тщательное расследование организации, связанной с сертификатом EV. При рассмотрении расширенного запроса проверки соблюдаются строгие правила, и центр сертификации должен проверить следующее:

1. Информация об организации соответствует официальным данным
2. Физическое, юридическое и эксплуатационное существование субъекта
3. Организация имеет исключительные права на использование домена, указанного в сертификате SSL
4. Организация надлежащим образом санкционировала выдачу сертификата EV SSL

Заключение

Теперь вы знаете, как сгенерировать запрос на подпись сертификата с помощью OpenSSL, а также устранить наиболее распространенные ошибки.