- Что нужно сделать чтобы установить ssl-сертификат
- Получаем сертификат
- Устанавливаем сертификат
- Веб-сервер apache
- Веб-сервер nginx
- Выпуск ssl-сертификата
- Генератор конфигурационных файлов ssl
- Генерация csr запроса на сертификат
- Генерация csr запроса на собственном сервере
- Как установить ssl-сертификат на 1c-bitrix
- Как установить ssl-сертификат на сервер с apache
- Как установить ssl-сертификат на сервер с nginx
- Как установить ssl-сертификат на хостинг
- Как установить бесплатный сертификат lets encrypt в ispmanager 6? — личный кабинет hostiman
- Полезные команды openssl
- Полезные ссылки
- Сертификат устанавливается за 6 шагов
- Создание csr запроса для microsoft iis
- Типы ssl-сертификатов
- Установка ssl сертификата
- Установка ssl-сертификата
- Установка ssl-сертификата в ispmanager
- Установка ssl-сертификата через панель управления ispmanager
Что нужно сделать чтобы установить ssl-сертификат
В зависимости от используемого хостинга или сервера часть шагов может отличаться или отсутствовать, но в целом классический процесс получения и установки сертификата сводится к следующим шагам:
- приобрести SSL-сертификат;
- сгенерировать CSR запрос на сертификат;
- выпустить SSL-сертификат;
- установить SSL-сертификат на хостинг или сервер;
- внести изменения в настройки сайта.
Получаем сертификат
Указываем домен с www и без www:
Устанавливаем сертификат
Устанавливаем сертификаты в нужную директорию с нужными именами. Тут главное — не перепутать ключ и сам сертификат! Так как у нас nginx, выглядит это следующим образом:
Веб-сервер apache
Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:
# netstat -napt | grep 443 tcp 0 0 188.120.233.16:443 0.0.0.0:* LISTEN 731/apache2
Веб-сервер nginx
Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.
Откройте конфигурационный файл Nginx. На Linux — /etc/nginx/nginx.conf
Создайте серверный модуль для SSL соединения. Пример:
Выпуск ssl-сертификата
Теперь, когда есть запрос, на основании него можно выпустить сертификат.
В зависимости от того, где приобретался сертификат, либо в личном кабинете хостинга или удостоверяющего центра, либо по ссылке из письма подтверждающего покупку, станет доступна страница, на которой нужно ввести ранее сгенерированный CSR запрос на выпуск сертификата, например, как в примере на скриншоте ниже.
После отправки запроса подтвердите владение доменом. Может быть доступно от одного до четырех способов подтверждения:
Генератор конфигурационных файлов ssl
У Mozilla есть инструмент , он позволяет генерировать конфигурационные файлы для подключения SSL под большинство популярных серверов. Можно взять за основу рекомендуемые настройки или сверить текущим конфиг.
Генерация csr запроса на сертификат
CSR (Certificate Signing Request) – это зашифрованный запрос на получение сертификата, включает в себя информацию о домене и организации.
CSR может быть сгенерирован одним из способов:
- Автоматически в процессе заказа SSL-сертификата.
- Онлайн, через CSR генератор, например у или .
- Самостоятельно на собственном веб-сервере.
В независимости от способа, в результате вы должны получить 2 файла (или их текстовое содержание) — файл запроса (domain.csr) и файл приватного ключа (private.key). Файл запроса потребуется для генерации сертификата. А приватный ключ понадобится в дальнейшем, его вместе с сертификатом нужно будет установить на хостинг или сервер.
Первые два способа не должны вызвать трудностей, генерация на собственном сервере описана ниже, но для начала несколько важных замечаний:
Все данные запроса должны заполняться на английском языке.
Генерация csr запроса на собственном сервере
Потребуется криптографический пакет с открытым исходным кодом – . Он входит в состав большинства UNIX-подобных операционных систем.
Во многих инструкциях рекомендуется генерировать закрытый ключ и CSR запрос на том же сервере, для которого выпускается сертификат. Однако, на самом деле, это не обязательно должен быть один и тот же сервер.
Подключитесь к серверу по SSH и перейдите в домашнюю директорию.
cd ~
Сгенерируйте закрытый ключ.
openssl genrsa -out private.key 4096
В команде выше:
- private.key – выходной файл, который будет содержать ключ;
- 4096 – размер ключа, резже 2048.
На запрос «Enter pass phrase for private.key» укажите пароль для защиты закрытого ключа, а затем «Verifying – Enter pass phrase for private.key» – подтвердите его, повторив ввод пароля еще раз.
Закрытый ключ будет создан и сохранен в файл под именем private.key.
Сохраните копию закрытого ключа на своем компьютере. При компрометации ключа или утрате пароля сертификат придется перевыпустить.
Далее сгенерируйте CSR запрос.
openssl req -new -key private.key -out domain.csr -sha256
В команде выше:
- private.key – созданный на предыдущем этапе закрытый ключ;
- domaine.csr – выходной файл с CSR запросом.
На запрос «Enter pass phrase for private.key» введите пароль от закрытого ключа.
Далее последовательно латинскими символами укажите следующие данные:
CSR запрос на сертификат будет сохранен в файле domain.csr в виде закодированного текста.
Проверить корректность введенных данных можно, выполнив следующую команду.
openssl req -noout -text -in domain.csr
Файлы закрытого ключа и CSR запроса или их содержимое потребуются далее. Вывести (чтобы затем скопировать) содержимое файла можно командой cat.
less private.key
или
less domain.csr
Для выхода нажмите клавишу Q.
Как установить ssl-сертификат на 1c-bitrix
Воспользуйтесь официальными инструкциями от 1С-Битрикс:
Как установить ssl-сертификат на сервер с apache
Понадобится файл SSL-сертификата, назовите его domain.crt и приватный ключ, который был получен на этапе генерации CSR запроса на сертификат, переименуйте его в domain.key.
Так же, создайте текстовый документ, например с именем chain.crt и поместите в него цепочку сертификатов — поочередно добавьте в него содержимое промежуточного сертификата и следом за ним корневого (без лишних пробелов и пустых строк).
Все 3 файла загрузите на сервер в директорию /etc/ssl/
Откройте конфигурационный файл Apache сайта, для которого устанавливается сертификат. Если сайт один, конфигурационный файл скорее всего будет одним из указанных ниже:
Как установить ssl-сертификат на сервер с nginx
Объедините три сертификата (SSL-сертификат, корневой и промежуточный) в один файл. Для этого с помощью блокнота или другого редактора создайте текстовый документ с именем domain.crt и поочередно поместите в него содержимое каждого из сертификатов (без лишних пробелов и пустых строк).
-----BEGIN CERTIFICATE-----
#SSL-сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Корневой сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Промежуточный сертификат (один или несколько)#
-----END CERTIFICATE-----Так же понадобится приватный ключ, который был получен на этапе генерации CSR запроса на сертификат. Переименуйте его в domain.key.
Оба файла загрузите на сервер в директорию /etc/ssl/ или /etc/nginx/ssl/
Отредактируйте виртуальный хост сайта, для которого устанавливается сертификат. Файл /etc/nginx/sites-available/site.conf или или другой, в зависимости от особенностей сервера.
Как установить ssl-сертификат на хостинг
Найдите раздел SSL панели управления хостингом.
Если сертификат куплен у того же хостинг-провайдера где размещен ваш сайт, скорее всего нужно будет лишь связать сертификат с доменом (хостингом), например как на скриншоте ниже для хостинг-провайдера .
Если сертификат приобретался в другом месте, вручную загрузите файлы сертификата, файл приватного ключа и укажите домен (хостинг).
Аналогичным образом процедура выглядит для других хостеров. На скриншоте ниже скриншот с примером для Hostland.
Подробные инструкции можно найти у своего хостинг провайдера.
Как установить бесплатный сертификат lets encrypt в ispmanager 6? — личный кабинет hostiman
Для того, чтобы установить бесплатный SSL сертификат Let’s Encrypt, необходимо:
1) Авторизоваться в панели управления ISPManager под своим логином и паролем, полученными ранее.
2) Перейдите в раздел SSL-сертификаты и нажмите «Lets Encrypt»
3) В появивишемся окне введите необходимые данные для получения сертификата, рекомендуем указывать реальные данные.
4) Перед началом процесса убедитесь, что домен, на который вы получаете сертификат, работает на наших серверах и отвечает по нашим IP, иначе процесс может не пройти.
Если у вас возникли трудности в получении бесплатного SSL-сертификата, обратитесь в техническую поддержку.
Данный функционал доступен только для клиентов платного хостинга и клиентов бесплатного хостинга, прошедших платную активацию.
На бесплатном хостинге необходимо приобрести данную услугу для активации функционала.
Полезные команды openssl
- Создание ключа для SSL-сертификата.
openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key
openssl req -new -key cert.key -out cert.csr
openssl rsa -in cert.key -out cert.key
openssl req -noout -text -in cert.csr
- Данные сертификата (проверить кем выдан, например):
openssl x509 -noout -text -in cert.crt
- Проверить, что ключ соответствует сертификату:
openssl x509 -noout -modulus -in cert.crt | openssl md5 openssl rsa -noout -modulus -in cert.key | openssl md5
Два значения должны совпадать.
Полезные ссылки
На этом всё. Но вы можете поддержать проект. Даже небольшая сумма поможет нам писать больше полезных статей.
Если статья помогла или понравилась, пожалуйста поделитесь ей в соцсетях.
Сертификат устанавливается за 6 шагов
1. Зайдите в панель ISPmanager как root-пользователь.
2. В разделе Интеграция –> Модули установите плагин Let’s Encrypt Encrypt.
3. В разделе Настройки web-сервера –> SSL-сертификаты выберите Let’s Encrypt.
4. Заполните поля формы, выбрав пользователя и домен, на который хотите установить сертификат. Обратите внимание, что по домену должен открываться сайт, в противном случае домен не пройдет проверку и сертификат выдан не будет.
5. После нажатия кнопки “Ок” на сайт установится самоподписанный сертификат. После завершения процесса проверки домена тип изменится на “Существующий”.
6. Готово. Перейдите по вашему домену, слева от него появится зеленый замок, который означает, что соединение защищено.
Создание csr запроса для microsoft iis
- В разделе IIS откройте Server Certificates.
- Затем справа из меню Actions выберите Create Certificate Request. Откроется окно мастера создания запроса.
- Введите всю необходимую информацию.
Нажмите Next.
- В следующем окне можно все оставить без изменений. Нажмите Next.
- Введите имя вашего CSR файла.
- Откройте файл, используя текстовый редактор. Для оформления сертификата передайте свой CSR вместе с тэгами BEGIN и END.
Типы ssl-сертификатов
Существует несколько типов SSL-сертификатов.
Сертификат с проверкой домена (Domain Validation), например, DomainSSL или AlphaSSL. Самый простой и дешевый тип SSL-сертификатов. Подтверждает только домен. Не содержит информации о владельце, поэтому не предназначен для оказания коммерческих услуг на сайте. Физические лица могут использовать только этот тип сертификатов, но он доступен и для юридических лиц.
Сертификат с проверкой домена и организации (Organization Validation), например, OrganizationSSL. Подтверждает не только домен, но и его принадлежность компании. Центр авторизации проверит ее существование, а пользователь сможет увидеть ее название на сайте в информации о сертификате, кликнув на «замок» рядом с адресной строкой браузера.
Сертификат с расширенной проверкой организации (Extended Validation) – например, ExtendedSSL. Считается самым надёжным и предназначен для крупных организаций. При его оформлении центр сертификации проведет расширенную проверку налоговой и коммерческой деятельности компании.
Еще один термин, который встретится при выборе сертификата – WildCard. Он означает поддержку поддоменов. Один SSL-сертификат с WildCard сможет работать и на основном домене, и на поддоменах без ограничений на их количество.
При заказе сертификатов Extended Validation или Organization Validation, центр сертификации может запросить следующие виды документов:
- Свидетельство ИНН / КПП;
- Свидетельство ОГРН;
- Приказ о назначении директора;
- Свидетельство о регистрации доменного имени;
- Устав организации (первые 3 и последние 3 страницы);
- Счета на оплату телефонных разговоров с номера компании за последние 3 месяца, с обязательным указанием в счетах названия и номера телефона организации и названия организации-поставщика услуг.
Документы нужно будет отправить по факсу или электронной почте. Заверять скан-копии не требуется. Центр сертификации может запросить и другие документы, не указанные в списке. Кроме того, с вами могут связаться по телефону для подтверждения телефонного номера организации и заказа сертификата.
Установка ssl сертификата
Для установки сертификата потребуется:
- Файл сертификата и цепочка сертификата. Центр сертификации присылает эти данные на почтовый ящик владельца сертификата.
- Ключ сертификата. Он у вас должен быть. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.
- Root доступ к серверу.
Установка ssl-сертификата
Способ установки сертификата безопасности на VPS/выделенный сервер зависит от того, используете ли вы панель ISPmanager для управления сервером.
Установка ssl-сертификата в ispmanager
ISPmanager – это достаточно распространенная сегодня панель управления веб-хостингом, обладающая многочисленными возможностями, характерными для премиальных панелей управления. При этом ISPmanager имеет более доступную цену, нежели cPanel и другие конкурирующие решения.
В данной статье мы рассмотрим процесс установки SSL-сертификата в ISPmanager. При написании статьи мы ориентировались на ISPmanager 4, однако в случае с ISPmanager 5 отличия будут незначительны. Также данное руководство охватывает заказ сертификатов только для одного домена.
Мы рассмотрим два варианта развития событий.
Вариант 1 (предпочтительный). У вас пока нет SSL-сертификата, но вы хотите его приобрести через наш сайт.
В этом случае порядок действий будет следующим.
Шаг 1. Переходим в панель управления и выбираем вкладку WWW из меню слева.
Шаг 2. Переходим в раздел SSL Certificates.
Шаг 3. Выбираем пункт Generate и в качестве типа сертификата указываем «request».
Шаг 4. Заполняем все поля для генерации CSR-запроса на выпуск SSL-сертификата. Поля должны быть заполнены на английском.
Щелкаем OK,
после чего готовый CSR появится в списке. Чтобы воспользоваться созданным CSR-запросом, просто
скопируйте его по кнопке Download.
Вы получите архив, содержащий ключ и CSR-запрос, который необходимо будет ввести у нас на сайте при
выпуске SSL-сертификата.
Внимание: никогда не вводите где-либо приватный ключ!
Вводить нужно только CSR!
Шаг 5. Переходим на сайт нашей компании и совершаем заказ SSL-сертификата, предоставив
готовый CSR-запрос и
пройдя все остальные шаги.
Как только у вас на руках будет готовый SSL-сертификат, вы сможете установить
его в ISPmanager.
Шаг 6. Переходим в панель управления и выбираем вкладку WWW из меню слева.
Шаг 7. Переходим в раздел SSL Certificates.
Шаг 8. Добавляем новый сертификат с помощью кнопки Add.
Шаг 9. В качестве «SSL certificate type» выбираем пункт «Existing». Щелкаем по кнопке Next.
Шаг 10. Заполняем появившуюся форму. В качестве поля SSL certificate name задаем
любую строку, поскольку это поле не очень важно. В поле Certificate вводим
код сертификата из файла с расширением .crt (все содержимое, включая BEGIN/END CERTIFICATE).
В поле Certificate key выбираем из списка приватный ключ
сертификата, который был сгенерирован ранее вместе с CSR-запросом для соответствующего
домена.
В поле Certificate chain указываем корневой и все
промежуточные сертификаты – все это присутствует в файле с расширением .ca-bundle (все содержимое, включая BEGIN/END
CERTIFICATE).
Шаг 11. Щелкаем по кнопке Finish. Подтверждаем установку сертификата.
Шаг 12. Переходим снова на вкладку WWW и выбираем пункт WWW-domains в меню слева.
Шаг 13. Щелкаем два раза по требуемому домену.
Шаг 14.
Выбираем поле Secure Connection (SSL).
Шаг 15. Выбираем новый SSL-сертификат в списке установленных сертификатов (SSL certificate). Щелкаем ОК.
Готово! Веб-сервер будет перезагружен, и вы сможете получить
доступ к своему сайту по HTTPS.
Вариант 2. Вы
сформировали приватный ключ на сайте LeaderSSL и уже получили сертификат.
Итак, вы приобрели SSL-сертификат у нас на сайте. В этом случае приватный ключ и архив
с SSL-сертификатом уже
имеются у вас.
Шаг 1. Переходим в панель управления и выбираем вкладку WWW из меню слева.
Шаг 2. Переходим в раздел SSL Certificates.
Шаг 3. Добавляем новый сертификат с помощью кнопки Add.
Шаг 4. В качестве «SSL certificate type» выбираем пункт «Existing». Щелкаем по кнопке Next.
Шаг 5. Заполняем появившуюся форму. В качестве поля SSL certificate name задаем
любую строку, поскольку это поле не очень важно. В поле Certificate вводим
код сертификата из файла с расширением .crt (все содержимое, включая BEGIN/END CERTIFICATE).
В поле Certificate key вводим приватный ключ сертификата,
который вы получили в процессе заказа SSL-сертификата (обычно автоматически загружается в папку с
загрузками используемого вами браузера на этапе заказа). Приватный ключ имеет
формат .key.
Внимание: если вы по каким-либо причинам потеряли приватный
ключ, вам нужно будет повторно выпустить сертификат!
В поле Certificate chain указываем корневой и все промежуточные
сертификаты – все это присутствует в файле с расширением .ca-bundle (все содержимое, включая BEGIN/END CERTIFICATE).
Шаг 6. Щелкаем по кнопке Finish. Подтверждаем установку сертификата.
Шаг 7. Переходим снова на вкладку WWW и выбираем пункт WWW-domains в меню слева.
Шаг 8. Щелкаем два раза по требуемому домену.
Шаг 9. Выбираем поле Secure Connection (SSL).
Шаг 10. Выбираем новый SSL-сертификат в списке установленных сертификатов (SSL certificate). Щелкаем ОК.
Готово! Веб-сервер будет перезагружен, и вы сможете получить
доступ к своему сайту по HTTPS.
Установка ssl-сертификата через панель управления ispmanager
- Включите возможность использования SSL для пользователя, которому принадлежит домен: Пользователи → выберите пользователя → Доступ.
- Авторизуйтесь под учётной записью этого пользователя.
- Перейдите в SSL-сертификаты → кнопка Добавить сертификат.
- Укажите Тип сертификата «Существующий» и заполните все поля:
Имя SSL-сертификата — имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -.
SSL-сертификат — содержимое SSL-сертификата в PEM-формате.
Ключ SSL-сертификата — содержимое ключа SSL-сертификата в PEM-формате.
Цепочка SSL-сертификатов — содержимое файла цепочки SSL-сертификатов (Certificate bundle) в PEM-формате. В письме от центра сертификации обычно приходит архив, в котором есть два файла — сам сертификат и цепочка сертификата (файл с расширением .ca-bundle).
После добавления сертификата его можно включить для сайта: WWW-домены → выберите домен → включите опцию Повышенная безопасность SSL и выберите нужный SSL-сертификат.
- Детальная проверка установленного сертификата доступна по ссылкам:
