Sprintbox – Панель управления Vesta

Создание почтового ящика

Для создания почтового ящика переходим в раздел «MAIL», нажимаем на кнопку «ADD ACCOUNT» рядом с именем почтового домена, далее в полях формы указываем имя ящика и пароль. При необходимости данные для авторизации можно отправить на желаемый почтовый адрес.

После нажимаем на кнопку «ADD».

Что нам дает csr запрос:

Certificate Signing Request (CSR) – нужен для генерации/выпуска SSL-сертификата на сайте GoGetSSL

Private Server Key (RSA) – ключ SSL сертификата, который нужно установить на сервере вместе с сертификатом в панели VESTA

Итак, возвращаемся к #Step 1 и вводим там в поле Paste your CSR блок текста SCR от —–BEGIN до END—– включительно

Apache

Проблема кроется в SSLProtocol и SSLCipherSuite , это есть в настройках модуля SSL для Apache2, который мы с вами ранее включали, но не настраивали.Конфиги SSL-модуля в Debian 7 здесь /etc/apache2/mods-available/ssl.conf, добавил строки в конце файла.

Business validation ssl (ssl-сертификаты с проверкой компании)

Сертификаты (OV/BV) бизнес-уровня с подтверждением домена и организации, подтверждается домен и его владелец. Выдача сертификата займет около 2-3 рабочих дней, для получения такого сертификата доменное имя должно быть оформлено на организацию и принадлежать ей, а не на частное лицо. Данный сертификат подходит для корпоративных сайтов и каких-нибудь веб-сервисов.

Code signing ssl certificates (ssl-cертификаты для разработчиков по)

Обеспечивает защиту целостности программного обеспечения, позволяет подписывать код ваших программ и скриптов, которые распространяются в сети, т.е. подтверждает автора программы.Подписанное программное обеспечение нельзя изменить, не нарушив его целостности, тем самым вы гарантируете его пользователям, что его код не был изменен, что это не подделка содержащая вредоносный код после взлома хакерами, программа создана именно вами и имеет корректную цифровую подпись.

Cгенерировать csr запрос в vesta

Также можно в панели Vesta в настройках домена по ссылке сгенерировать тот самый запрос.

Перейдя по ней увидим такую форму заполненную демо-данными.

А т.к. наш сертификат проверяет только домен, можно прям оставить все как есть и сгенерировать запрос, далее полученные CSR и Private Key использовать как в статье выше для подтверждения домена, но это не желательно, лучше воспользуйтесь генератором сервиса GoGetSSL.

Domain validation ssl (ssl-сертификаты с проверкой домена)

Сертификаты (DV) самые популярные, с подтверждением только домена, защита распространяется и на поддомены, с www и без www. Данный сертификат не требует подтверждения организации и документов, оформляется на частное лицо или организацию всего за 5 минут.

Email & document signing (ssl-сертификаты личной аутентификации)

Позволяют подписывать ваши электронные письма или документы, такие как PDF. Рекомендуется использовать их для защиты личной корреспонденции и обеспечения того, чтобы ваши партнеры и конечные пользователи получали электронные письма оригинальные и подписанные вашей личной подписью.

Free ssl

Бесплатный SSL-сертификат выдается сроком на 90 дней, аналогичен платным сертификатам с проверкой домена и поддержкой SHA-2, полностью функциональный.Из сервисов, которые предоставляют рабочие бесплатные сертификаты, можно выделить Let’s Encrypt и Comodo Free SSL.

В панели управления сервером VESTA можно всего в пару кликов установить на домене бесплатный сертификат Let’s Encrypt, более подробно читайте в самом низу статьи в разделе Поддержка Lets Encrypt в Vesta

Gogetssl

Недорогие сертификаты я нашел в GoGetSSL, здесь очень удобно, можно купить на срок от 1 до 3 лет, а может и на 5 лет в будущем, есть необходимые сервисы CSR Generator, CSR Decoder, SSL Checker, можно здесь же сгенерировать CSR запрос, проверить SSL-сертификат, а еще CSR запрос можно сделать на своем сервере и в ПУ Vesta при редактировании домена.

Меня интересует конкретно SSL-сертификат с проверкой домена – Domain Validation SSL, с www и без www, обратите на это внимание, сертификатов сейчас богатый выбор, можно ошибиться с выбором, кратко рассмотрим их различия:

• Проверка домена (Никаких подтверждающих документов);
• Проверка компании (На данный момент внешне ничем не отличается от обычного);
• Особая проверка (Зелёная адресная строка с названием компании);
• Неограниченные субдомены (Это нам не подходит);
• и все остальное нам не нужно.

Idn (internationalized domain names)

Сертификаты с поддержкой доменов, в которых содержатся нелатинские символы, в том числе на кириллице, например у нас это все, что оканчивается на .рф

В сервисе GoGetSSL почти все сертификаты поддерживают IDN, проверить это можно здесь в таблице сравнения на вкладке Secondary Properties столбец IDN.

Mulit-domain ssl certificates (мультидоменные ucc/san ssl-сертификаты)

Сертификаты (MD) идеальны для защиты мультидоменных проектов, как внешних, так и внутренних (локальных). В сертификатах GoGetSSL можно защитить до 250 элементов Subject Alternative Name (SAN) с несколькими доменами. Каждый элемент SAN может использоваться как для домена, так и для поддоменов, с www и без www.

У некоторых центров сертификации число SAN разное, может быть максимум 4.Вы можете защитить все свои корпоративные сайты, почтовые серверы и другие системы всего одним SSL-сертификатом. Мультидоменные сертификаты сейчас более популярны и возможно вытеснят Wildcard сертификаты, компания Comodo уже предлагает Wildcard SAN сертификат, способный защищать домены и неограниченное количество субдоменов.

Nginx

Т.к. статику на нашем сервере отдает nginx, надеюсь это должно помочь, открываем его главный конфиг/etc/nginx/nginx.conf

Online csr generator

Заполняем все поля, нажимаем Generate CSR

Вот такой получился Certificate Signing Request (CSR), это первый блок текста от —–BEGIN до END—–  Он же и на почту придет, если поставили соответствующую галку выше на скрине, но лучше пока не закрывайте данное окно, оно ниже нам еще пригодится.

Qualys ssl server test

Я посмотрел вебинар и решил проверить SSL-сертификат этим сервисом SSL Server Test на своем сайте и сайты клиентов, и вот с чем я столкнулся.

На моем сайте, если я правильно сервис понял, все отлично, суммарная оценка отличная.

А вот у клиента несколько сайтов на сервере и у всех такая ужасная оценка оказалась, у всех одинаково.

Я так понял, данный сервис проверяет сертификат, шифрование на сервере и другие параметры самого сервера, не только сертификат.Читая дальше репорт увидим, на что он ругается, мне уже некогда было подробно разбираться в этом, короче какая-то проблема в безопасности шифрования на сервере, конкретно с RC4_128_SHA SSL3 INSECURE

Конфигурация сервера клиента Apache 2.2. Nginx 1.6,  у моего сервера php-fpm nginx 1.12

Недолго гуглив проблему я вышел на след обновления libssl, openssl, nginx на сервере, что и сделал такой командой, у меня Debian 7

apt-get install --only-upgrade libssl1.0.0 openssl
service nginx upgrade

После обновления ситуация изменилась и стала лучше, но все равно эта ошибка This server uses RC4 with modern protocols. Grade capped to C. сохранялась.

Перейдя по ссылке напротив ошибки я нашел вот эту статью, я так понял, что в Apache 2.2 данную проблему не решить, нужен Apache 2.4Configuring Apache, Nginx, and OpenSSL for Forward Secrecy

Self-signed ssl (самоподписанный сертификат)

Данные сертификаты можно создавать самостоятельно на сервере, никакой подлинности или доверия со стороны браузеров и поисковых систем они не имеют, современные браузеры заблокируют открытие сайта с недоверительным сертификатом, т.к. они про него ничего не знают, каким центром сертификации он выдавался и т.д.Подходит максимум для тестирования сайта.

Sgc ssl certificates (с принудительно высоким уровнем шифрования sgc)

Сертификаты (SGC) созданы для обеспечения максимальной защиты в 256-бит для устаревших 40-битных браузеров, таких как Microsoft Internet Explorer 5.0 / 6.0. Такие сертификаты обеспечивают высокий уровень безопасности и совместимости с каждым браузером.

Также есть варианты с поддержкой Single Domain, Wildcard и EV SSL с поддержкой SGC.Данный сертификат подходит для крупных компаний, государственных учреждений, банков и финансовых структур для которых важна наивысшая степень защиты данных, когда пользователи пользуются устаревшими браузерами.

Step 1

Здесь нам нужно:1) сначала Cгенерировать CSR запрос на получение сертификата, который представляет из себя закодированный текст с информацией об администраторе домена и открытый ключ;2) вставить текст в поле Paste your CSR;3) нажать кнопку Validate CSR.

Напоминаю, что  Cгенерировать CSR запрос можно здесь же по ссылке Online CSR Generator, можно на самом сервере в консоли, а можно и в ПУ Vesta.

Сразу возникает вопрос, что тут писать, форма просит контакты, адреса организации и т.д., но т.к. у нас SSL простой, без проверки организации, можно писать вообще любую дребедень, вот только важно все написать на латинском/английском и отправить SCR на e-mail, т.к. он обязательно нам понадобится для генерации и установки сертификата, ну а если даже что-то случится и вы потеряли этот SCR, то сможете в личном кабинете заново пересоздать сертификат с новым SCR запросом.

Step 2

Далее нужно пройти валидацию/подтверждение домена, на выбор несколько способов, ну все как в веб-мастере.

Step 3

Здесь будет итоговая цена с наценкой/налогом и выбор платежной системы.Я оплачиваю через PayPal, вы можете выбрать карту VISA или MasterCard, ну и любой другой способ, скорее всего тоже в PayPal отправит.

В PayPal у меня уже привязана карта, я вижу одну кнопку Продолжить, если у вас не привязана карта, то скорее всего попросит ввести данные карты.

После успешной оплаты PayPal видим вот такую страницу успешной оплаты уже в GoGetSSL

И на почту придет пачка писем с квитанциями

Далее жмем Manage SSL и переходим на страницу с сертификатами, который мы только что купили будет в статусе Incomplete Generate ViewНажимаем оранжевую кнопку Generate и переходим к странице, где нам нужно  Cгенерировать CSR запрос

Step 1

Здесь жмем Next Step

Step 2

Здесь попросит Войти или Зарегистрироваться, если вы ранее вошли на сайт, этот шаг автоматически система пропуститЕсли нужно регистрироваться, жмите Create new account и заполняйте все обязательные поля, возможно запросит подтверждения по ссылке из письма, я уже не помню и на почте не нашел, возможно не попросит.

Trusted ssl (доверительный сертификат)

Данные сертификаты выдаются специальными центрами сертификации, они имеют цифровую подпись и печать сертификационного центра, браузеры автоматически их распознают.В данном сертификате используется два ключа: открытый и секретный (приватный), открытый ключ будет доступен любому пользователю, а секретный только серверу, данная схема и позволяет сохранять секретность передачи/шифрования данных.Данный сертификат и будем покупать для защиты данных.

Vestacp меняем сертификат ssl на ssl от let’s encrypt

В сегодняшней статье рассмотрим как можно поменять SSL сертификат для админ панели VestaCP.
Как известно браузеры все беспощаднее относятся к незащищённым соединениям и самоподписным сертификатам. Если вы используете для управления хостингом панель управления VestaCP, то скорее всего обращали внимание, что подключение к ней в браузерах открывается как не доверительное, все это из-за самоподписного SSL сертификата.
Как же для админки панели управления VestaCP вместо самоподписанного сертификата использовать ssl сертификат от Lets Encrypt?

Используя VestaCP мы можем в автоматическом режиме получать и продлевать для доменов SSL сертификаты от Lets Encrypt.

Поэтому напрашивается решение, чтобы не добавлять самоподписной SSL сертификат панели управления VestaCP в исключения в браузере, нужно обращаться к панели по доменному имени, например https://mydomen.ru:8083. Но если вы сделаете это, то все равно получите сообщение об ошибке, что ваше соединение не защищено.

Причина в том, что панель работает как отдельный сервис на порту 8083. Если мы хотим запустить панель используя доменное имя, то для панели нужно прописать сертификат от домена.

Давайте заменим наши сертификаты выполнив следующие действия:

Сначала сохраните старые сертификаты панели под новым именем (на всякий случай):

sudo mv /usr/local/vesta/ssl/certificate.crt /usr/local/vesta/ssl/certificate.crt.bak sudo mv /usr/local/vesta/ssl/certificate.key /usr/local/vesta/ssl/certificate.key.bak

Далее создадим символьную ссылку на действующий SSL сертификат от нашего сайта.

sudo ln -s /home/admin/conf/web/ssl.mydomen.ru.crt /usr/local/vesta/ssl/certificate.crt
sudo ln -s /home/admin/conf/web/ssl.mydomen.ru.key /usr/local/vesta/ssl/certificate.key

После этого перезапустите панель VestaCP:

sudo service vesta restart

Теперь зайдите в панель по имени домена https://mydomen.ru:8083 и убедитесь, что все работает.

После данных манипуляций вам не придется каждые 90 дней вручную копировать сертификаты домена для панели, и уж тем более писать скрипт копирования и засовывать его в CRON. Этот способ заставляет панель считать сертификаты от нашего домена своими сертификатами.

Если есть вопросы, то пишем в комментариях.

Также можете вступить в Телеграм канал, ВК или подписаться на Twitter. Ссылки в шапки страницы.
Заранее всем спасибо!!!

Архив с сертификатами от startssl

После оформления сертификатов безопасности от StartSSL к вам на почту придет письмо с архивом следующего содержания:

Внутри находятся архивы с сертификатами для различных веб-серверов. Для панели управления VestaCP нам понадобятся сертификаты созданные для Apache.Откроем его, внутри будут два сертификата, один корневой с названием root_bundle и второй с названием домена для которого он создан:

Следующий рисунок покажет куда вставлять содержимое файлов сертификатов в панели управления VestaCP

В веб-интерфейсе

Заходим в раздел «WEB», нажимаем «EDIT» рядом с именем домена, прокручиваем вниз, отмечаем галочками «SSL support» → «Let’s Encrypt support» и сохраняем настройки(кнопка «SAVE»).

В актуальной версии панели это достаточно для автоматической установки SSL-сертификата.

Если панель не обновлена или автоматическая установка завершилась ошибкой, либо требуется задать специфические параметры сертификата, SSL-сертификат необходимо установить вручную из консоли.

Виды ssl-сертификатов

Сертификаты есть нескольких видов, вот общеизвестные, с которыми вы столкнетесь

Где взять приватный ssl ключ

Приватный SSL ключ нельзя восстановить, даже если у вас в наличии изготовленные с его помощью сертификаты. Приватный SSL ключ создается один раз в самом начале процесса генерации сертификатов и вам нужно заранее и самостоятельно позаботиться о его сохранности.

Если вы утеряли приватный ключ, то вам придется заново перевыпускать созданные на его основе сертификаты, так как они без ключа не работают.Так же при установке SSL сертификата на сайт с помощью панели управления VestaCP не стоит путать RCA запрос на генерацию ключа и сам приватный ключ.

Как заполнить поле ssl key

В поле SSL Key необходимо вставить незашифрованный ключ. В большинстве же случаев, когда вы создаете резервную копию ключа, он у вас хранится в зашифрованном виде. Не даром при сохранении ключа вас просят ввести пароль. По сути вы получаете такой же текстовый файл, но уже совершенно с другим содержимым.

Как расшифровать ssl ключ

Чтобы получить необходимые для вставки в панель VestaCP данные необходимо расшифровать приватный ключ. Сделать это можно прямо на сайте StartSSL

Когда вы нажмете кнопку [Decrypt] у вас появится еще одно текстовое поле с незашифрованным приватным ключом. Именно его и нужно вставлять во второе поле VestaCP.

Канонический url элемента

Еще в новой версии Битрикс есть возможность в настройках каждого инфоблока настроить канонический урл, это нужно, когда один товар/элемент может выводиться на сайте в нескольких разделах, а т.к.  это получается все дубли страниц, придумали вот такую настройку, если правильно ее настроить, то в каком бы разделе вы не открыли товар, канонический урл будет всегда указывать на один основной/исходный адрес товара, во всех разделах он будет один, поисковики про это знают и не помечают товар как дубль, увидеть его можно только в исходном коде страницы.

Конфигурационные файлы веб-серверов для сайта

Панель Vesta позволяет использовать разные настройки веб-сервера для каждого сайта.

Настройка open_basedir для nginx php-fpm

По умолчанию связка Nginx PHP-FPM в VestaCP не позволяет включить директиву open_basedir.

Сделать это можно с помощью шаблонов, которые для php-fpm хранятся в директории /usr/local/vesta/data/templates/web/.

Для включения open_basedir необходимо:

Вместе с панелью управления Vesta по умолчанию устанавливается PHP 7.0. Если требуется использовать более старую версию PHP, сделать это можно следующим образом.

В качестве примера установим версию PHP 5.4.

Создаем каталог для исходников:

mkdir /etc/php/src

Загружаем и распаковываем архив с исходниками:

Оформление заказа и покупка ssl-сертификата

Погнали, выбираем 3year и нажимаем Create New Order

Ошибка при отсутствии nginx

Читатель Александр прислал небольшую ремарку. Ему слово.

Поддержка lets encrypt в vesta

Еще обратите внимание, тут же в настройках домена есть возможность создать бесплатный сертификат на 90 дней = 3 месяца.Просто ставите галку и нажимаете внизу кнопку Сохранить, Vesta автоматически добавит такой сертификат и он будет работать, возможно вам пригодится такой сертификат также для тестирования чего-то, какой-то интеграции с каким-нибудь сервисом, это гораздо удобней создания самоподписанного сертификата вручную, тут все в два клика, но для бизнеса и серьезных сайтов такие сертификаты я конечно использовать не советую.

Продление сертификатов let’s encrypt

При продлении не обязательно указывать email:

Работа с заданиями cron

Редактирование заданий производится в разделе «CRON».

Добавить задание можно с помощью кнопки « » (ADD CRON JOB). Поля для времени выполнения задания могут быть заполнены автоматически, если выбрать периодичность в форме справа в нижней части раздела.

Для изменения уже добавленного задания нажимаем на кнопку «EDIT» рядом с ним.

Работа с резервными копиями

Для создания резервной копии переходим в раздел «BACKUP», нажимаем на « » (CREATE BACKUP). Когда операция будет завершена, на адрес администратора поступит уведомление.

Создание ftp-аккаунта

Для создания FTP-аккаунта переходим в раздел «WEB», нажимаем на кнопку «EDIT» рядом с именем домена, для которого требуется создать аккаунт, пролистываем открывшуюся страницу вниз, отмечаем галочкой «Additional FTP» и вводим данные для нового аккаунта.

После нажимаем на кнопку «SAVE».

Создание базы данных

Для создания базы данных переходим в раздел «DB», нажимаем на « » (ADD DATABASE), заполняем необходимые поля. Данные для авторизации можно отправить на желаемый почтовый адрес.

После нажимаем на кнопку «ADD».

Типы ssl-сертификатов

Рассмотрим основной список доверительных сертификатов от официальных центров сертификации, они отличаются помимо назначения, еще и по уровню шифрования и доверия.

Установка letsencrypt-vesta

Процесс описан для дистрибутивов на основе Debian (Ubuntu и подобные). Подключитесь к своему серверу по ssh и загрузите все необходимые файлы следующими командами:

Установка ssl в nginx

С nginx проблем не было, vesta хост корректно добавила, я только добавил два 301-редиректа, с www на без www и с index.php на /

Пример конфига хоста snginx.conf

Установка произвольного ssl-сертификата

В веб-интерфейсе Vesta заходим в раздел «WEB», нажимаем на кнопку «EDIT» рядом с именем домена, прокручиваем вниз, отмечаем галочками «SSL support» и вводим необходимые данные о сертификате:

SSL Certificate — поле для сертификата домена.
SSL Key — поле для приватного ключа сертификата.
SSL Certificate Authority/Intermediate — поле для bundle (корневого сертификата и промежуточной цепочки), не является обязательным.

Важно: Установка сертификата Let’s Encrypt возможна только при условии, если домен и его поддомен www резолвятся в IP-адрес бокса.

Итоги

Итак, подведем итоги проделанной работы:

Считаю наше очень большое дело завершенным!

Extended validation ssl (ssl-сертификаты с расширенной проверкой)

Самый престижный и единственный (EV) SSL-сертификат оснащенный зеленой адресной строкой Green Bar с подтвержденным именем организации и домена. Посетители мгновенно обращают внимание на “Зеленую адресную строку”. Это самые надежные сертификаты, статистика показывает, что EV сертификаты  могут увеличить продажи до 17,3%.