- Что нужно сделать чтобы установить ssl-сертификат
- Что это такое?
- Apache web server
- Nginx web server
- Zabbix
- Автоматизация
- Выпуск ssl-сертификата
- Генератор конфигурационных файлов ssl
- Генерация csr запроса на сертификат
- Как установить ssl-сертификат в панели управления ispmanager
- Как установить ssl-сертификат на 1c-bitrix
- Как установить ssl-сертификат на сервер с apache
- Как установить ssl-сертификат на сервер с nginx
- Как установить ssl-сертификат на хостинг
- Полезные ссылки
- Приобретение ssl-сертификата
- Работа с панелью управления
- Создание запроса на подпись сертификата (csr)
- Ссылки
- Типы ssl-сертификатов
- Управление сертификатами
- Установка ssl-сертификата
- Шаг 1
- Шаг 10
- Шаг 2
- Шаг 4
- Шаг 5
- Шаг 6
- Шаг 9
Что нужно сделать чтобы установить ssl-сертификат
В зависимости от используемого хостинга или сервера часть шагов может отличаться или отсутствовать, но в целом классический процесс получения и установки сертификата сводится к следующим шагам:
- приобрести SSL-сертификат;
- сгенерировать CSR запрос на сертификат;
- выпустить SSL-сертификат;
- установить SSL-сертификат на хостинг или сервер;
- внести изменения в настройки сайта.
Что это такое?
IIS 8 – встроенный веб-сервер доступный на VPS Windows, с помощью которого вы можете располагать сайты в сети Интернет, работать с большим стеком протоколов, создать собственный файл-сервер и использовать многие другие возможности продукта.
Управление возможно как из приложения рабочего стола – для новичков, так и из консоли – для опытных системных администраторов. Установка данного свидетельства на сервер позволит защитить ваши данные и повысит уровень доверия клиентов. В нашей инструкции мы подробно рассмотрим этот процесс.
Apache web server
Apache на Ubuntu 14.04.
Сделайте резервные копии конфиг-файла. Если вебсервер настроен по умолчанию, то есть путь выглядит так: /etc/apache2/sites-available/000-default.conf, тогда используйте такие команды для создания копии:
Затем откройте файл для редактирования:
Найдите строку и измените её, чтобы Ваш вебсервер слушал порт 443:
Затем добавьте директиву ServerName, если её нет (подставьте своё имя домена):
Далее добавьте следующие строки, чтобы указать пути к сертификату и ключу (подставьте свои пути здесь):
Если используется Apache 2.4.8 или выше, также укажите путь к CA Intermediate Bundle (подставьте свой путь):
Если версия Apache ниже, тогда используйте такую команду для CA Intermediate Bundle (подставьте свой путь):
Nginx web server
Объедините следующее для Nginx:
1. Объедините CRT-файлы (важен порядок файлов):
2. Поместите их туда, где Nginx ожидает их найти:
3. Убедитесь, что приватный ключ тоже в доступном месте:
4. Убедитесь, что конфиг-файл Nginx указывает на верные файлы сертификата и приватного ключа сгенерированные ранее:
5. Перезапустите Nginx.
Zabbix
Скрипт ssl-check-revoc.sh может проверять сертификаты не только из консоли, он также вполне подходит в качестве чекера для Zabbix, поэтому всю грязную работу по отслеживанию попадания сертификатов в список отзыва можно поручить системе мониторинга.
Заходим в конфиг Zabbix /etc/zabbix/zabbix_server.conf и смотрим, где лежат скрипты для внешних проверок:
ExternalScripts=/etc/zabbix/externalscriptsКопируем в этот каталог наш скрипт и рестартуем Zabbix:
sudo cp ssl-check-revoc.sh /etc/zabbix/externalscripts/
sudo systemctl restart zabbix-serverЗаходим в веб-интерфейс и создаём шаблон (Configuration >> Templates >> Create template). В качестве имени шаблона указываем «Template SSL Checking». Затем внутри шаблона создаём элемент данных (Item) «SSL Certificate in Revocation List», в качестве ключа указываем «ssl-check-revoc.sh[{HOST.
Также понадобятся два триггера:
1. Для сигнализации отзыва сертификата «Certificate for domain {HOST.NAME} is in revocation list»Expression: “{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=1”
2. Для сигнализации об ошибке на случай, если что-то пойдёт не так (например возникнут проблемы с CLR-сервером и т.п.) «Error to check certificate for domain {HOST.NAME}»Expression: “{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=2”
Не забываем в экшенах (Configuration >> Actions) настроить способ оповещения в случае срабатывания триггеров.
Теперь осталось создать хосты, сертификаты которых будем регулярно проверять (Configuration >> Hosts >> Create host). На вкладке Templates прилинковываем наш темплейт «Template SSL Checking».
И всё! Можно спать спокойно: если SSL-сертификат вашего домена по какой-либо причине попадёт в список отозванных, Zabbix сразу же вам сообщит.
Автоматизация
Проверять SSL-сертификаты на предмет отзыва вручную не всегда удобно, поэтому процесс проверки можно автоматизировать.
Для этого берём с Github готовый скрипт ssl-check-revoc.sh, который осуществляет проверку сертификатов методом CRL:
Выпуск ssl-сертификата
Теперь, когда есть запрос, на основании него можно выпустить сертификат.
В зависимости от того, где приобретался сертификат, либо в личном кабинете хостинга или удостоверяющего центра, либо по ссылке из письма подтверждающего покупку, станет доступна страница, на которой нужно ввести ранее сгенерированный CSR запрос на выпуск сертификата, например, как в примере на скриншоте ниже.
После отправки запроса подтвердите владение доменом. Может быть доступно от одного до четырех способов подтверждения:
Генератор конфигурационных файлов ssl
У Mozilla есть инструмент , он позволяет генерировать конфигурационные файлы для подключения SSL под большинство популярных серверов. Можно взять за основу рекомендуемые настройки или сверить текущим конфиг.
Генерация csr запроса на сертификат
CSR (Certificate Signing Request) – это зашифрованный запрос на получение сертификата, включает в себя информацию о домене и организации.
CSR может быть сгенерирован одним из способов:
- Автоматически в процессе заказа SSL-сертификата.
- Онлайн, через CSR генератор, например у или .
- Самостоятельно на собственном веб-сервере.
В независимости от способа, в результате вы должны получить 2 файла (или их текстовое содержание) — файл запроса (domain.csr) и файл приватного ключа (private.key). Файл запроса потребуется для генерации сертификата. А приватный ключ понадобится в дальнейшем, его вместе с сертификатом нужно будет установить на хостинг или сервер.
Первые два способа не должны вызвать трудностей, генерация на собственном сервере описана ниже, но для начала несколько важных замечаний:
Все данные запроса должны заполняться на английском языке.
Как установить ssl-сертификат в панели управления ispmanager
Войдите в панель управления ISPmanager.
Перейдите в раздел «SSL-сертификаты» и нажмите «Создать».
Укажите тип сертификата «Существующий» и нажмите «Далее».
На открывшейся странице заполните поля:
- Имя SSL-сертификата – любое имя латиницей, под ним сертификат будет отображаться в панели управления;
- SSL-сертификат – содержимое файла SSL-сертификата;
- Ключ SSL-сертификата – приватный ключ сертификата;
- Цепочка SSL-сертификатов – последовательно укажите сначала корневой сертификат, а затем с новой строки без пробела – промежуточный.
Затем нажмите Завершить.
В разделе «SSL-сертификаты» появится добавленный сертификат.
Как установить ssl-сертификат на 1c-bitrix
Воспользуйтесь официальными инструкциями от 1С-Битрикс:
Как установить ssl-сертификат на сервер с apache
Понадобится файл SSL-сертификата, назовите его domain.crt и приватный ключ, который был получен на этапе генерации CSR запроса на сертификат, переименуйте его в domain.key.
Так же, создайте текстовый документ, например с именем chain.crt и поместите в него цепочку сертификатов — поочередно добавьте в него содержимое промежуточного сертификата и следом за ним корневого (без лишних пробелов и пустых строк).
Все 3 файла загрузите на сервер в директорию /etc/ssl/
Откройте конфигурационный файл Apache сайта, для которого устанавливается сертификат. Если сайт один, конфигурационный файл скорее всего будет одним из указанных ниже:
Как установить ssl-сертификат на сервер с nginx
Объедините три сертификата (SSL-сертификат, корневой и промежуточный) в один файл. Для этого с помощью блокнота или другого редактора создайте текстовый документ с именем domain.crt и поочередно поместите в него содержимое каждого из сертификатов (без лишних пробелов и пустых строк).
-----BEGIN CERTIFICATE-----
#SSL-сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Корневой сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Промежуточный сертификат (один или несколько)#
-----END CERTIFICATE-----Так же понадобится приватный ключ, который был получен на этапе генерации CSR запроса на сертификат. Переименуйте его в domain.key.
Оба файла загрузите на сервер в директорию /etc/ssl/ или /etc/nginx/ssl/
Отредактируйте виртуальный хост сайта, для которого устанавливается сертификат. Файл /etc/nginx/sites-available/site.conf или или другой, в зависимости от особенностей сервера.
Как установить ssl-сертификат на хостинг
Найдите раздел SSL панели управления хостингом.
Если сертификат куплен у того же хостинг-провайдера где размещен ваш сайт, скорее всего нужно будет лишь связать сертификат с доменом (хостингом), например как на скриншоте ниже для хостинг-провайдера .
Если сертификат приобретался в другом месте, вручную загрузите файлы сертификата, файл приватного ключа и укажите домен (хостинг).
Аналогичным образом процедура выглядит для других хостеров. На скриншоте ниже скриншот с примером для Hostland.
Подробные инструкции можно найти у своего хостинг провайдера.
Полезные ссылки
На этом всё. Но вы можете поддержать проект. Даже небольшая сумма поможет нам писать больше полезных статей.
Если статья помогла или понравилась, пожалуйста поделитесь ей в соцсетях.
Приобретение ssl-сертификата
Итак, вы знаете, что такое SSL и определились в выборе сертификата, далее его нужно приобрести.
Купить SSL-сертификат можно напрямую у одного из удостоверяющих центров, например , , . Однако проще всего это сделать у вашего хостинг-провайдера, где располагается домен, сервер, сайт.
Рекомендую хостинги:
- (промокод на скидку для заказа домена или хостинга: 2229-CC0A-AC4D-C31B)
- (месяц бесплатно)
На этапе покупки укажите тип сертификата и домен для которого он приобретается. Затем оплатите сертификат.
В зависимости от поставщика сертификата до или после оплаты нужно будет сгенерировать CSR запрос на сертификат. В некоторых случаях данная процедура, может быть включена в процесс покупки.
Работа с панелью управления
После заказа SSL-сертификата через панель управления 1cloud , необходимо установить полученные сертификаты .CRT и .CA на сервер
После успешного заказа SSL-сертификата файлы для его установки появятся в панели управления 1cloud (меню SSL):
Создание запроса на подпись сертификата (csr)
Вне зависимости от того получаете ли вы сертификат от CA или создаете самоподписаный, первым шагом будет создание ключа.
Если сертификат будет использоваться системными сервисами такими, как Apache, Postfix, Dovecot и т.п., уместно создать ключ без пароля. Отсутствие пароля позволяет сервису стартовать с минимальным ручным вмешательством, обычно это предпочтительный вариант запуска сервиса.
В этой секции показано как создать ключ с кодовым словом (паролем) и без него. Беспарольный ключ затем будет использован для создания сертификата, который можно использовать для различных системных сервисов.
Запуск вашего защищенного сервиса без кодовой фразы удобен потому, что вам не потребуется вводить ее при каждом старте данного сервиса. Однако это небезопасно и компрометация ключа будет означать и компрометацию сервера.
Для генерации ключей CSR запроса, запустите следующую команду из терминала:
openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus .......................... ....... e is 65537 (0x10001) Enter pass phrase for server.key:
Теперь вы можете ввести вашу кодовую фразу. Для лучшей безопасности рекомендуется использовать не менее восьми символов. Минимальная длина при использовании -des3 – 4 символа. Фраза должна включать цифры и/или знаки препинания и не должно быть словом из словаря. Также не забывайте, что ваша фраза будет чувствительна к регистру.
Повторите ввод для проверки. В случае корректного ввода ключ сервера будет создан и записан в файл server.key.
Теперь создадим небезопасный ключ, без кодовой фразы и поменяем имена ключей:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure mv server.key.insecure server.key
Небезопасный ключ теперь называется server.key и вы можете использовать его для создания CSR без кодовой фразы.
Для создания CSR выполните следующую команду в терминале:
openssl req -new -key server.key -out server.csr
У вас будет запрошена кодовая фраза (при использовании ключа с паролем – прим. пер.). Если введена корректная фраза, у вас запросят название компании, имя сайта, email и пр. Как только вы введете все эти подробности, будет создан запрос CSR и сохранен в файл server.csr.
Теперь вы можете оправить CSR файл в центр сертификации для обработки. CA использует этот файл для выпуска сертификата. С другой стороны, вы можете создать и самозаверенный сертификат, используя этот же CSR.
Ссылки
Для более детальных инструкций по использованию криптографии смотрите SSL Certificates HOWTO на tlpd.org.
Страница Википедии HTTPS содержит больше относительно HTTPS.
Для дополнительной информации по OpenSSL смотрите домашнюю страницу OpenSSL.
Также хорошее глубокое руководство Network Security with OpenSSL от O’Reilly.
<-назад |
далее->
Типы ssl-сертификатов
Существует несколько типов SSL-сертификатов.
Сертификат с проверкой домена (Domain Validation), например, DomainSSL или AlphaSSL. Самый простой и дешевый тип SSL-сертификатов. Подтверждает только домен. Не содержит информации о владельце, поэтому не предназначен для оказания коммерческих услуг на сайте. Физические лица могут использовать только этот тип сертификатов, но он доступен и для юридических лиц.
Сертификат с проверкой домена и организации (Organization Validation), например, OrganizationSSL. Подтверждает не только домен, но и его принадлежность компании. Центр авторизации проверит ее существование, а пользователь сможет увидеть ее название на сайте в информации о сертификате, кликнув на «замок» рядом с адресной строкой браузера.
Сертификат с расширенной проверкой организации (Extended Validation) – например, ExtendedSSL. Считается самым надёжным и предназначен для крупных организаций. При его оформлении центр сертификации проведет расширенную проверку налоговой и коммерческой деятельности компании.
Еще один термин, который встретится при выборе сертификата – WildCard. Он означает поддержку поддоменов. Один SSL-сертификат с WildCard сможет работать и на основном домене, и на поддоменах без ограничений на их количество.
При заказе сертификатов Extended Validation или Organization Validation, центр сертификации может запросить следующие виды документов:
- Свидетельство ИНН / КПП;
- Свидетельство ОГРН;
- Приказ о назначении директора;
- Свидетельство о регистрации доменного имени;
- Устав организации (первые 3 и последние 3 страницы);
- Счета на оплату телефонных разговоров с номера компании за последние 3 месяца, с обязательным указанием в счетах названия и номера телефона организации и названия организации-поставщика услуг.
Документы нужно будет отправить по факсу или электронной почте. Заверять скан-копии не требуется. Центр сертификации может запросить и другие документы, не указанные в списке. Кроме того, с вами могут связаться по телефону для подтверждения телефонного номера организации и заказа сертификата.
Управление сертификатами
UserGate UTM использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate UTM использует различные типы сертификатов:
Наименование | Описание |
SSL веб-консоли | Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate UTM |
SSL Captive-портала | Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала. Этот сертификат должен быть выпущен для домена Домен Auth Captive-портала, определенного на странице Настройки. По умолчанию используется самоподписанный сертификат, выпущенный для домена auth.captive (значение по умолчанию для Домен Auth Captive-портала) |
SSL дешифрование | Используется для генерации SSL-сертификатов для хостов интернет, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный |
SSL дешифрование (промежуточный) | Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для SSL дешифрования. Для корректной работы необходим только публичный ключ сертификата |
УЦ авторизации веб-консоли | Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL дешифрования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
Наименование | Описание |
Шаг 1. Создать сертификат | Нажать на кнопку Создать в разделе Сертификаты |
Шаг 2. Заполнить необходимые поля | Указать значения следующих полей: *Название — название сертификата, под которым он будет отображён в списке сертификатов *Описание — описание сертификата *Страна — укажите страну, в которой выписывается сертификат *Область или штат — укажите область или штат, в котором выписывается сертификат *Город — укажите город, в котором выписывается сертификат *Название организации — укажите название организации, для которой выписывается сертификат *Common name — укажите имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров *E-mail — укажите e-mail вашей компании |
Шаг 3. Указать, для чего будет использован данный сертификат | После создания сертификата необходимо указать его роль в UserGate UTM. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, SSL дешифрование, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate UTM перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат SSL дешифрования начинает работать немедленно после того, как его выбрали. Более детально о дешифровании HTTPS смотрите в главе Настройка дешифрования HTTPS |
UserGate UTM позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
Важно! Рекомендуется сохранять сертификат и ключ сертификата для возможности его последующего восстановления.
Важно! Пользователи могут скачать себе для установки сертификат SSL дешифрования с UserGate UTM по прямой ссылке: https://UserGateUTM_IP:8001/storage/DownloadCACert
Необходимо разрешить доступ к сервису Консоль администрирования для зоны, в которой пользователи будут скачивать сертификат.
Для импорта сертификата необходимо иметь файлы сертификата и опционально приватного ключа сертификата и выполнить следующие действия:
Установка ssl-сертификата
Дальнейшие шаги зависят от того, где размещается ваш сайт, на хостинге или собственном сервере и какое окружение на нем используется.
Шаг 1
Откройте
командную строку (Win R)
и наберите в ней
mmc
для открытия
Корня консоли (Microsoft Management Console)
Шаг 10
Нажмите
OK
и завершите Мастер импорта сертификатов.
Шаг 2
В меню
Средства (Tools)
выберите
Диспетчер служб IIS (Internet Information Services Manager).
Шаг 4
В центральной части окна откройте меню
Сертификаты Сервера (Server Certificates)
Шаг 5
Во вкладке
Выбор компьютера (Select Computer)
выберите
Локальный компьютер (Local Computer)
и нажмите
Готово (Finish)
Шаг 6
Закройте оснастку
Add or Remove Snap-in
нажатием кнопки ОК.
Шаг 9
В следующей вкладке выберите
Поместить все сертификаты в следующее хранилище (Place all certificates in the following store)
, нажмите
Обзор (Browse)
и выберите директорию
Промежуточные центры сертификации (Intermediate Certification Authorities)