Веб-сервер apache
Если ssl-запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache.
Ubuntu / Debian – /etc/apache2/apache2.conf.
Веб-сервер nginx
Если ssl-запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.
Откройте конфигурационный файл Nginx – /etc/nginx/nginx.conf
Создайте серверный модуль для SSL-соединения. Пример:
Как установить ssl сертификат на ispmanager? |
1. Для установки SSL-сертификата в ISPmanager необходимо войти в панель с логином и паролем того пользователя, для сайта которого нужно установить сертификат. Обратите внимание, что при входе в качестве root-пользователя меню SSL недоступно.
2. В разделах меню справа нужно найти раздел SSL сертификаты и перейти в него. Если этого раздела вы не видите, нужно обратиться к Администратору, чтоб для вашего пользователя добавили права для установки SSL-сертификата.

3. В меню «SSL сертификаты» нужно кликнуть по кнопке «Создать». Откроется страница с полями – в них нужно указать необходимые данные. Также нужно выбрать тип сертификата «Существующий».

4. Для дальнейшей установки можно проследовать по любому из двух вариантов:
a) RSA (приватный ключ) для сертификата может быть сгенерирован в самой контрольной панели вместе с CSR-запросом – тогда нужно в поле «Использовать ключ» выбрать уже сгенерированный CSR (в нашем примере – example.com) и вставить нужно только сам сертификат (CRT-файл) и цепочку промежуточных и корневого сертификатов (ca-bundle) в соответствующие поля. Обратите внимание, что вставлять сертификат и цепочку сертификатов нужно с тегами «BEGIN/END CERTIFICATE».

При желании, вы можете указывать или не указывать пароль для сертификата. Он потребуется в случае, если сертификат, который вы будете добавлять, будет с зашифрованным ключом.
Для продолжения нажмите кнопку «ОК».
b) Также RSA может быть сгенерирован в онлайн генераторе у нас на сайте.
Чтобы указать полученный онлайн генератором RSA, нужно в поле «Использовать ключ» выбрать пункт «Указать вручную». Тогда в поле «Приватный ключ» вставляем содержимое RSA-ключа с тегами «BEGIN/END RSA PRIVATE KEY». В поле «Сертификат»вставляем содержимое самого сертификата (CRT), а в поле «Цепочка сертификатов» вставляем промежуточные и корневой сертификаты с тегами «BEGIN/END CERTIFICATE».

По своему усмотрению можете указывать/не указывать пароль для сертификата.
Для продолжения кликните по кнопке «ОК».
5. Для того, чтобы активировать сертификат, его нужно подключить к его домену. Это можно сделать в разделе «WWW домены», где нужно выбрать сертификат в поле «SSL сертификат».
Если решили купить SSL-сертификат для сайта и у вас возникли какие-либо вопросы по его установке, обращайтесь в нашу службу поддержки.
Ответы на частые вопросы
Сертификаты поддерживают домены с национальными символами (IDN)Сертификат выдается для любых доменов, включая национальные. Сертификат можно выпустить для доменов в зоне .рф.
Проверяется только право на владение доменомПроверка организации и расширенная проверка (OV и EV) не планируется.
Сертификат выпускается за несколько минутЕсли домен делегирован, т.е. по домену открывается сайт, то никаких заминок быть не должно.
Сертификат может действовать вечноПанель автоматически продляет сертификат. Это значит, что сертификат действует до тех пор, пока у вас есть панель.
Определяется браузерами как доверенныйСертификат поддерживается большинством современных браузеров. Полный список браузеров на официальном форуме поддержки Let’s Encrypt.
Поддомены не поддерживаютсяЕсли вам нужны сертификаты для поддоменов,то выпустите отдельный сертификат для каждого поддомена.
Автоматизация поддерживается только для одного доменаОдин сертификат поддерживает до 100 доменов, но процесс автоматизации не позволяет использовать один сертификат для нескольких доменов. Оформите отдельный сертификат для отдельного домена или закажите один из платных сертификатов с поддержкой мультидоменов.
Полезные команды openssl
- Создание ключа для SSL-сертификата:
openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key
openssl req -new -key cert.key -out cert.csr
openssl rsa -in cert.key -out cert.key
openssl req -noout -text -in cert.csr
- Данные сертификата (проверить кем выдан, например):
openssl x509 -noout -text -in cert.crt
- Проверить, что ключ соответствует сертификату:
openssl x509 -noout -modulus -in cert.crt | openssl md5
openssl rsa -noout -modulus -in cert.key | openssl md5
Два последних значения должны совпадать, в нашем случае это md5.
Проверка порта
По умолчанию ssl использует 443 порт, поэтому будем проверять именно его. Какой веб-сервис отвечает на 443 порту, можно проверить командой:
- Для Ubuntu / Debian / Centos
# netstat -napt | grep 443
либо
# ss -tlpn | grep 443
Вывод будет примерно следующим:
tcp 0 0 188.120.233.16:443 0.0.0.0:* LISTEN 731/apache2
# sockstat | grep 443
Вывод будет примерно следующим:
Ручная установка ssl-сертификата
Если панели ISPmanager 6 на сервере нет, то для установки сертификата вам нужно подключиться к серверу по SSH.
Сертификат устанавливается за 5 шагов
1. Зайдите в панель ISPmanager как root-пользователь.
2. В разделе SSL-сертификаты выберите Let’s Encrypt.
3. Заполните поля формы, выбрав пользователя и домен, на который хотите установить сертификат. Обратите внимание, что по домену должен открываться сайт, в противном случае домен не пройдет проверку и сертификат выдан не будет.
4. После нажатия кнопки Ок на сайт установится самоподписанный сертификат. После завершения процесса проверки домена тип изменится на Существующий.
5. Готово. Перейдите по вашему домену, слева от него появится замок, который означает, что соединение защищено.
Файлом .htaccess (для веб-сервера apache)
Создаем файл с именем .htaccess (без расширения) в корне каталога с сайтом и указываем в нем такие строки:
