Установка бесплатного SSL-сертификата от CloudFlare — INVS.RU

Описание модели full ssl cloudflare

CloudFalre предоставляет несколько моделей работы с сайтом по безопасному протоколу с использованием сертификата безопасности.

Одну из моделей (Flexible), мы уже рассматривали в одной из предыдущих статей. Но она не обеспечивала должного уровня защиты между сервером CloudFlare и нашим, оставалась возможность перехвата трафика на данном участке.

Давайте подробнее рассмотрим Full SSL CloudFlare

Основное отличие от Flexible заключается в том, что между CF и сервером теперь устанавливается защищённое подключение. Это позволяет не допустить перехвата трафика на данном этапе.

Что такое cloudflare

Cloudflare – это сервис, который специализируется на предоставлении услуг сети CDN (Content Delivery Network), защите от DDoS-атак и сетевой безопасности. Основным направлением в работе сервиса является именно обслуживание CDN — глобальной сети распределения трафика сайтов по принципу географической близости сервера к пользователю, пославшему запрос в браузере. 

Цепочка раскиданных по миру серверов Cloudflare работает как reverse proxy («обратный прокси»). Она автоматически кеширует контент сайтов клиентов и быстро отдает его веб-посетителям от ближайшего по расположению центра данных.

Разберем по шагам как подключить сервис Cloudflare и выполнить дополнительные настройки его компонентов.

Desktop browsers

При этом любая версия Internet Explorer на Windows XP не поддерживает SNI.

Mobile browsers

Read more:cloudflare blog, origin security

Universal ssl

Данный сертификат включается автоматически, когда мы выбираем модель безопасного подключения к нашему сайту.

Выбор модели безопасного подключения

Для того, чтобы выбрать модель необходимо перейти в раздел Crypto панели управления вашим сайтом в CloudFlare.

Далее в разделе SSL выбираем нашу модель — Full.

Как зарегистрироваться на cloudflare

Для начала нужно пройти процедуру регистрации на сайте CloudFlare. Для этого нужно перейти по ссылке или на главной странице сайта нажать «Sign Up» («Зарегистрироваться»). 

В появившемся окне нужно указать свою электронную почту и пароль, а затем нажать «Create Account» («Создать аккаунт»). 

На указанную почту должно прийти письмо со ссылкой для подтверждения созданного аккаунта. Нужно перейти по ней, чтобы завершить регистрацию. 

Как изменить ns-серверы домена

После входа в систему и добавления доменного имени в систему CloudFlare, нужно произвести изменение текущих NS-серверов на CloudFlare. Для этого следует перейти на главную страницу в личном кабинете CloudFlare. После чего, нужно выбрать домен со статусом «Pending Nameserver Update» («Требуется обновление NS-сервера») и нажать на него. 

Откроется окно, в котором будет предложено завершить настройки NS-серверов. В первом пункте — «Log in to your registrar account» («Войдите в зарегистрированный аккаунт») будут показаны текущие настройки NS-серверов. Во втором пункте — «Replace with Cloudflare’s nameservers» («Замените на серверы имен Cloudflare»), на какие значения их нужно заменить.

Для смены NS-серверов нужно перейти на сайт регистратора вашего домена и там прописать новые адреса. Нужно дождаться, пока произойдет смена. Обычно, это занимает до 24 часов. После этого, домен пользователя на главной странице его личного кабинета CloudFlare получит статус «Active» («Активен»). 

К примеру, на Eternalhost для смены NS-серверов нужно зайти в биллинг-панель, перейти в «Товары/Услуги» и выбрать «Домены». Далее выбрать нужный домен одним нажатием и кликнуть на «NS». 

В разделе «NS» следует удалить уже существующие записи и прописать серверы, которые указаны в пункте «Replace with Cloudflare’s nameservers» личного кабинета Cloudflare.

Как настроить правила переадресации

Настройка переадресации происходит во вкладке «Page Rules» («Правила страниц»). Для создания правил нужно нажать соответствующую кнопку «Create Page Rule» («Создать правило страницы»). 

Как подключить cloudflare к сайту

Сразу после регистрации сервис предложит пользователю ввести доменное имя в появившемся окне. 

Также доменное имя можно добавить в верхнем меню. Для этого нужно войти в аккаунт и на главной странице нажать «Add site» («Добавить сайт»). 

Далее нужно выбрать тарифный план из предложенных, нажав на него один раз. Подробнее с тарифными планами можно ознакомиться здесь. 

 В рамках данной статьи будет рассмотрен тарифный план «Free» («Бесплатный»). После выбора тарифа, нужно нажать «Confirm plan» («Подтвердить тариф») для подтверждения выбора.

После подтверждения система выполнит быстрое сканирование указанного доменного имени. 

После завершения сканирования, система CloudFlare покажет текущие настройки DNS пользователя. Их нужно проверить, если они верны, то можно переходить к изменению NS-серверов для домена. 

Как регистрироваться на cloudflare

 Регистрируемся через почтовый ящик, вводим электронную почту и пароль. Жмём «Регистрация».

Добавляем свой сайт.

  Попадаем на страницу тарифов. Ну конечно, в первую очередь им нужно продать, но мы нажимаем на свободный тариф внизу странцы и кнопку «продолжить».

  Попали на страницу управления DNS вашего проекта. Жмите далее. Попадаем в личный кабинет.

И там вам подробно расписано, что делать дальше. Проверку настроек тоже сделайте.

  И да… Не забудьте подтвердить регистрацию в письме. На е-майл пришло письмо подтверждения регистрации, переходим там по ссылке. Подтвердили, можете закрыть страницу.

Как сменить dns в регистраторе доменов

 Идёте в регестратор доменов. Вкладка «домены», жмёте на карандаш-изменить DNS.

Удаляете те, что стоят, вставляете те, что дал CloudFlare. Сохранить не забудьте. Смена произойдёт в течении 24-х часов. Понимаю, что тягомотина, но что поделаешь… Ждём.

 Пока ждём расскажу вот что. Если у вас платный хостинг Sprinthost, то вам не нужно возиться с ClaudFlare. На самом хостинге уже предложены свои SSl-сертификаты, их нужно только подключить.

  Для этого в панели управления хостинга нужно перейти во вкладку «Управление сайтами» и просто сделайте кнопку SSl активной. Конечно тоже придётся какое-то время подождать, чтобы настройки вступили в силу. Да… Жаль, конечно, что только в платном.

Оооо. Ну вот, мои DNS обновились через 30 мин. Молодцы, оперативненько. Теперь статус изменился на активный.

Как установить ssl-сертификат

Для настройки безопасного соединения с сайтом нужно настроить SSL-сертификат. Нужно перейти на главную страницу в панели управления и выбрать домен со статусом «Active». Далее нажать «SSL/TLS» в верхнем меню и выбрать режим шифрования трафика «Flexible» («Гибкий») или «Full» («Полный»).  

При выборе «Flexible» дополнительных настроек не потребуется, а при выборе «Full» потребуется настройка SSL-сертификата на самом хостинге. К примеру, в рамках виртуального хостинга на Eternalhost можно установить бесплатный сертификат Let’s Encrypt.

Информацию о полученном сертификате CloudFlare можно посмотреть, нажав «Edge Certificates» («Управление сертификатами»).

Настройка веб-сервера apache

Для настройки Apache нам необходимо дополнить секцию нашего виртуального сервера следующими параметрами:

Мы должны включить ядро обработки безопасного соединения и указать необходимые пути до наших сертификатов.

У меня получилось следующее:

Обратите внимание, что

Не активна, эта директива служит для того, чтобы сделать подключение по безопасному протоколу всегда активным, аналог выносной секции в nginx.

Настройка конфигурации nginx для работы с бесплатным сертификатом ssl

Откроем файл конфигурации nginx, у нас он находится по пути:

Открываем и находим нашу конфигурацию:

Нам необходимо разрешить серверу слушать порт 443, который отвечает за безопасный протокол (SSL).

для этого установим директиву

Должно получиться следующее:

Особенности настройки cloudflare ssl certificate на wordpress

Cloudflare — это американская организация, обеспечивающая сеть определенным типом контента (CDN). Компания оказывает услуги, связанные с безопасностью Интернет-соединения, реализует доменные имена.

Почему именно этот сервис? Тут все просто.

Во-первых, бесплатный сервис на весь срок жизни ресурса. Не надо продлевать каждые 3 месяца сертификат (как это реализовано у Let’s Encrypt), один раз все настроил и радуешься.

Во-вторых, сервера компании расположены в двадцати трех городах по всему миру. А значит вероятность сбоев очень низкая.

Особенности смены ns-серверов

Следующий шаг — настройка домена у вашего хостинг-оператора. Про это хотелось бы сказать отдельно, так как некоторые забывают про эту часть.

Скопировать данные можно на странице Overview. Здесь обязательно требуется сохранять последовательность, которая имелась первоначально.

Вы должны знать, что внесенные в доменное имя изменения вступают в силу по-разному. Длительность обработки информации может составлять от 8 до 72 часов. В большинстве случаев изменения происходят существенно быстрее.

Обработка внесенных изменений и создание пакетов с SSL-сертификатами осуществляются примерно за 24 часа. Процесс перехода трафика осуществляется без существенных сбоев, которые могли бы нарушить нормальную работу портала.

Подготовка к настройке

В предыдущем разделе мы сгенерировали два файла .pem и .key, теперь необходимо создать папку на нашем сервере и перенести туда наши сертификаты.

Для работы с FTP сервера мы будем использовать FileZilla.

1. Создаем папку для хранения .pem и .key
2. Загружаем в эту папку файлы .pem и .key

Наш путь до сертификатов: /usr/home/ssl

Создание бесплатного сертификата ssl

Теперь необходимо сгенерировать наш будущий сертификат, который мы будем использовать на нашем сервере.

Спускаемся в разделе Crypto на пункт Origin Certificates и нажимаем Create Cerificate

Выбираем предпочитаемый способ создания сертификата, в данной статье мы придерживаемся автоматической генерации сертификата CF.

В разделе Private key type выбираем RSA.

Нажимаем Next, чтобы получить наш бесплатный SSL сертификат

Сохранением данных сертификата

Данному этапу следует уделить повышенное внимание, так как CloudFlare показывает наш ключ всего один раз и только в момент его генерации.

После того, как мы нажали Next, CloudFlare отобразит нам наши ключи, выбираем Key Fromat PEM (Default).

Установка ssl сертификата на сайт wordpress

Пользователям предлагается на выбор несколько разновидностей протоколов, которые по-своему идентичны между собой. Пару лет назад сертификаты SSL были очень дорогими. Сегодня протоколы доступны для любого вебмастера.

Мой вам совет: не стоит приобретать что-то особенное, если вы не собираетесь запускать сложный веб-ресурс или продавать товары в сети. Для обычных сайтов достаточно бесплатного SSL сертификата.

Чем интересен ssl?

Но обо всем по очереди. Прежде всего, хочется рассказать о протоколе SSL. Что это? Как узнать установлен он на сайт или нет? Как его получить?

Все данные, которые передаются из одной точки в другую, могут быть перехвачены хакерами и сторонними участниками сети. Протокол SSL обеспечивает максимально безопасную передачу данных. Мошенники увидят только искаженную информацию в виде набора символов.

Чтобы воспользоваться этим протоколом, необходимо установить на ресурсе специальный сертификат. В большинстве браузеров при переходе на безопасный ресурс отображается иконка в виде зеленого замка.

Популярные браузеры сейчас, вообще, могут не открыть сайт без ssl-сертификата.

Вывод

В итоге хотелось бы отметить, что ранее SSL-сертификаты для сайтов, созданных на WordPress, резервировались только для деловых ресурсов. Именно на таких порталах было очень много конфиденциальной информации.

Но сегодня ситуация изменилась. Сертификат следует устанавливать на любой ресурс, будь то блог, корпоративный сайт или огромный интернет-магазин.В настоящее время сертификатом может воспользоваться каждый владелец интернет-сайта. Как это выглядит, вы можете увидеть на моем сайте.