- Что такое ssl-сертификат?
- Что делать после регистрации домена
- Что происходит по истечении срока действия ssl-сертификата?
- Cloudflare
- Let’s encrypt
- Wildcard-сертификаты
- Бесплатные доверенные сертификаты
- Блог ru-center: домены
- Веб-сервер apache
- Веб-сервер nginx
- Верификация домена
- Где купить ssl-сертификат?
- Генерация ключа по алгоритму диффи-хеллмана
- Генерация сертификата
- Дистанционная передача прав на домен онлайн (для физических лиц и ип) – ru-center
- До регистрации домена важно знать
- Другие бесплатные ssl‑сертификаты
- Зачем нужен ssl-сертификат
- Защита для бизнеса и клиентов
- Защита поддоменов. ssl-сертификат с поддержкой поддоменов
- Использование плагина webroot
- Как обеспечить безопасность онлайн-сеанса
- Как получить ssl-сертификат
- Как работают ssl-сертификаты?
- Как узнать, есть ли у сайта ssl-сертификат
- Могу ли я создать корневой сертификат самостоятельно?
- Можно ли использовать ssl-сертификат на нескольких серверах?
- Мультидоменные сертификаты (mdc)
- Настраиваем конфигурацию nginx для ssl
- Несколько фактов о startssl
- Подтверждение бесплатного ssl-сертификата через dns
- Подтверждение по почте
- Полезные команды openssl
- Получение бесплатного ssl-сертификата через хостинг-провайдера
- Получение сертификата
- Проверка порта
- Проходим проверку (2-й уровень верификации)
- Ручная установка в панели хостинга
- Сертификаты унифицированных коммуникаций (ucc)
- Создаем сниппет конфигурации для ssl-ключа и сертификата
- Создаем сниппет конфигурации с устойчивыми настройками шифрования
- Типы ssl-сертификатов
- Установка ssl-сертификата на домен средствами панели ispmanager 6
- Установка ssl-сертификата на сервер
- Установка цепочки сертификатов
- Файлы сертификата
- Через ispmanager
- Шаг 3. настраиваем tls/ssl на веб-сервере
- Шаг 4. настраиваем файрвол
- Шаг 5. подключаем изменения в nginx
- Шаг 6. настраиваем автоматическое обновление
- Шаг 0. подготовка
Что такое ssl-сертификат?
Многие наверняка слышали про
, но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат — цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.
Что делать после регистрации домена
Если вы планируете создать для своего домена почту и отправлять письма со своего уникального адреса, при делегировании домена потребуются дополнительные настройки. Они нужны, чтобы доставляемость писем и проходимость спам-фильтров были высокими.
Для начала выберите почтового провайдера — например, нашу Почту для домена. Это профессиональная почта для бизнеса или персональной переписки. Можно также выбрать Яндекс, Gmail, Mail и так далее. Сервер провайдера будет обрабатывать вашу почту.
Если вы подключаете не Почту для домена, а почту сторонних систем, то в личном кабинете для нужного домена нужно настроить MX-запись (MX — mail exchanger). Она указывает на принадлежность серверу. Настройки MX-записи различаются в зависимости от провайдера.
Кроме MX-записи есть также SPF-запись. Она снижает риск попадания писем в спам. Ещё есть DKIM-подпись, с помощью которой читатель удостоверится, что письмо пришло именно от вас, и CNAME-запись — она присваивает хосту псевдоним. К этим записям можно вернуться чуть позже, а MX-запись нужно настроить в первую очередь.
Если вы планируете зарегистрировать почту на сервере, где располагается ваш домен, а не с помощью почтового провайдера, то достаточно просто делегировать домен на хостинг.
Что происходит по истечении срока действия ssl-сертификата?
Срок действия SSL-сертификатов истекает, он не длится вечно. Центр сертификации / Форум браузеров, который де-факто выступает в качестве регулирующего органа для индустрии SSL, заявляет, что срок действия SSL-сертификатов не должен превышать 27 месяцев.
Срок действия SSL-сертификатов истекает, поскольку, как и при любой другой форме аутентификации, информацию необходимо периодически перепроверять и убеждаться в ее актуальности. В интернете все очень быстро меняется, покупаются и продаются компании и веб-сайты.
Раньше SSL-сертификаты могли выдаваться на срок до пяти лет, который впоследствии был сокращен до трех лет, а в последнее время до двух лет плюс возможность использовать дополнительные три месяца. В 2020 году Google, Apple и Mozilla объявили, что будут применять годовые SSL-сертификаты, несмотря на то, что это предложение было отклонено Центрами сертификации / Форумом браузеров.
Когда срок действия SSL-сертификата истекает, соответствующий сайт становится недоступным. Когда пользователь открывает веб-сайт в браузере, в течение нескольких миллисекунд проверяется действительность SSL-сертификата (в рамках подтверждения SSL-соединения).
У пользователей есть возможность продолжить, однако не рекомендуется делать это, учитывая связанные риски кибербезопасности, в том числе вероятность столкнуться с вредоносными программами. Это существенно влияет на показатель отказов при посещении веб-сайта, поскольку пользователи быстро покидают его.
Осведомленность о сроке истечения SSL-сертификатов является проблемой для крупных предприятий. В то время как малые и средние предприятия имеют один или несколько SSL-сертификатов, крупные предприятия, работающие на различных рынках и имеющие множество веб-сайтов и сетей, имеют также множество SSL-сертификатов.
Поэтому причиной того, что компания допустила истечение срока действия своего SSL-сертификата, обычно является недосмотр, а не отсутствие компетентности. Лучший способ для крупных компаний поддерживать осведомленность об истечении срока действия SSL-сертификатов – использовать платформу управления сертификатами.
На рынке представлены различные продукты, которые можно найти с помощью онлайн-поиска. Это позволит компаниям просматривать цифровые сертификаты и управлять ими в рамках всей инфраструктуры. При использовании такой платформы важно регулярно входить в систему и проверять, когда необходимо продлить обновления.
Если срок действия сертификата истечет, сертификат станет недействительным, и выполнять безопасные транзакции на веб-сайте станет невозможно. Центр сертификации предложит обновить SSL-сертификат до истечения срока его действия.
Все центры сертификации и службы SSL, используемые для получения SSL-сертификатов, отправляют уведомления об истечении срока действия сертификата с заданной периодичностью, обычно начиная с 90 дней до окончания срока действия сертификата. Постарайтесь, чтобы эти уведомления отправлялись на несколько адресов электронной почты, а не одному человеку, который к моменту отправки уведомления может покинуть компанию или перейти на другую должность. Убедитесь, что соответствующие сотрудники компании включены в список рассылки и своевременно получат уведомление.
Cloudflare
Компания специализируется на защите от DDoS-атак и других IT-решениях, в том числе бесплатных SSL. Сертификаты Cloudflare выдаются на один год, поддерживают IDN‑домены и защиту поддоменов. Однако решение не будет работать с некоторыми OC. Придётся столкнуться и с тем, что один сертификат выдаётся сразу на 50 сайтов.
Let’s encrypt
Проект создан в 2021 году, чтобы выдавать бесплатные SSL-сертификаты для сайта любому пользователю на 90 дней (затем их нужно обновлять). Основные плюсы SSL Let’s Encrypt в том, что защита распространяется на IDN-домены и поддомены сайта. К недостаткам можно отнести поддержку далеко не всех OC и старых браузеров, также сложности в плане совместимости с некоторыми устройствами.
При этом наиболее существенным минусом будет отсутствие гарантии сохранности данных сайта и печати доверия (картинка с логотипом удостоверяющего центра, которая подтверждает, что сайт проверен). Также у Let’s Encrypt нет страхования деятельности, то есть в случае проблем этот удостоверяющий центр ограничится лишь извинениями.
Wildcard-сертификаты
Wildcard-сертификаты (сертификаты с подстановочными символами) позволяют защитить базовый домен и неограниченное количество поддоменов с помощью одного сертификата. Если имеется несколько поддоменов, которые нужно защитить, приобретение Wildcard-сертификата будет намного дешевле, чем приобретение отдельных SSL-сертификатов для каждого поддомена.
Wildcard-сертификаты содержат звездочку (*) как часть общего имени. Звездочка указывается вместо любого допустимого поддомена в составе одного базового домена. Например, один Wildcard-сертификат для веб-сайта можно использовать для защиты следующих страниц:
Бесплатные доверенные сертификаты
Такие SSL-сертификаты можно оформить довольно быстро. Часто ими пользуются стартапы, чтобы понять, что вообще такое SSL и как это работает. Бывают только одного вида — DV SSL (Domain Validation). Это сертификаты, удостоверяющие доменное имя.
Блог ru-center: домены
Тематические домены — это возможность зарегистрировать короткие, емкие и красивые имена, которые в традиционных доменных зонах, как правило, уже заняты. В отличие от доменов в популярных .com, .net, .org, они сразу указывают посетителю на назначение или географию сайта: .london — для жителей Лондона, .store — для магазинов, .tech — для технологических проектов. Увидев адрес сайта в поиске, человек поймет, какая компания на нем размещается. Поэтому на ресурс будет заходить более заинтересованная аудитория.
Веб-сервер apache
Если ssl-запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache.
Ubuntu / Debian – /etc/apache2/apache2.conf.
Веб-сервер nginx
Если ssl-запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.
Откройте конфигурационный файл Nginx – /etc/nginx/nginx.conf
Создайте серверный модуль для SSL-соединения. Пример:
Верификация домена
Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation
Вводим домен
Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)
Получаем письмо и вводим код из него в поле. Все — домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.
Где купить ssl-сертификат?
Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний.
Генерация ключа по алгоритму диффи-хеллмана
Для повышения безопасности вам необходимо сгенерировать ключ по алгоритму Диффи-Хеллмана. Для генерации ключа длиной 2048 бит используйте такую команду:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Процесс может занять несколько минут.
Генерация сертификата
Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate
Далее у нас 2 варианта — либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.
Вводим пароль для ключа (мин. 10 символов — макс. 32) и размер ключа (20484096).
Получаем и сохраняем ключ.
Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).
Нам дают право на включение в сертификат один поддомен — пусть будет стандартный www
Получили немного информации о сертификате, жмем на Continue.
Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью — примерно за такое же время подтверждали запрос.
Дистанционная передача прав на домен онлайн (для физических лиц и ип) – ru-center
Передача прав онлайн — услуга, позволяющая безбумажно передавать домены другим пользователям RU-CENTER. Администратор домена один раз предоставляет в RU-CENTER заявление, после чего все операции по передаче прав производятся администратором домена самостоятельно через личный кабинет на сайте www.my-sertif.ru.
Шаг 1.
Текущий администратор домена, являющийся физическим лицом или ИП, предоставляет скан-копию заполненного и подписанного заявления в RU-CENTER на адрес ru-ncc@my-sertif.ru с контактного адреса электронной почты, указанного в договоре администратора.
В заявлении обязательно должен быть указан номер мобильного телефона, так как RU-CENTER отправляет на номер, указанный в заявлении, контрольный ключ, необходимый для передачи онлайн.
Вместе со скан-копией заявления текущий администратор домена прикладывает фото или скан-копию дополнительных документов, верифицирующих администратора:
- Развороты паспорта, содержащие: ФИО, фотографию, серию и номер паспорта, дату выдачи, наименование и код подразделения, выдавшего паспорт; адрес регистрации.
RU-CENTER вправе запросить дополнительные документы и сведения, в том числе фотографии, подтверждающие факт волеизъявления и/или личность текущего администратора доменного имени.
Форма заявления о передаче прав онлайн от физического лица и ИП.doc
Шаг 2.
После получения на адрес ru-ncc@my-sertif.ru письма, к которому приложено составленное и подписанное заявление, а также дополнительные документы, указанные выше, ответным письмом на контактный адрес электронной почты, указанный в договоре текущего администратора, RU-CENTER направляет письмо, содержащее проверочный код. Его необходимо будет сообщить сотруднику RU-CENTER во время верификационного звонка. Дата и время звонка будут указаны в этом же письме.
Шаг 3.
Сотрудник RU-CENTER совершает верификационный звонок для подтверждения волеизъявления текущего администратора на контактный телефонный номер, указанный в договоре администратора. Администратору необходимо продиктовать полученный в письме код.
Шаг 4.
После получения письма, содержащего составленное и подписанное заявление, а также необходимые подтверждающие документы, и при условии успешной верификации посредством телефонного звонка в течение 3 рабочих дней подключается услуга передачи прав онлайн. На мобильный номер, указанный в заявлении, отправляется SMS-уведомление об активации услуги.
Шаг 5.
Передача прав на домен онлайн.
- Новый администратор домена регистрируется на сайте, если он еще не является клиентом RU-CENTER.
- Текущий администратор домена создает запрос на передачу прав через раздел «Для клиентов» → Заказать услугу → Смена администратора → Передать домен.
- На номер мобильного телефона, указанный в заявлении текущим администратором домена, отправляется SMS-сообщение с контрольным ключом. На контактный e-mail нового администратора отправляется письмо со ссылкой на страницу подтверждения.
- Текущий администратор домена сообщает контрольный ключ новому администратору.
- Новый администратор проходит по ссылке из письма и вводит контрольный ключ. Ключ действителен в течение 3 календарных дней с момента создания запроса текущим администратором домена. Для приема международного домена (.COM, .NET и др.) новому администратору нужно предварительно создать Whois-контакт.
- Домен появится в разделе Услуги → Мои домены на договоре нового администратора.
Стоимость услуги по передаче прав для доменов .ru, .su, .рф, геодоменов, а также международных доменов .com, .net и др. — 490 руб. за один домен. Стоимость может меняться в зависимости от клубного статуса на договоре либо тарифа на продление конкретного домена. Оплатить услугу может текущий или новый администратор.
Подпись заявлений посредством КЭП (квалифицированной электронной подписи)
Обращаем внимание на то, что заявление и иные документы, предоставляемые в рамках процедуры передачи прав на доменное имя, могут быть подписаны вами посредством использования КЭП.
При использовании КЭП в качестве подтверждения волеизъявления текущего администратора доменного имени должны соблюдаться следующие условия:
- КЭП проходит проверку на валидность и является действующей на дату получения RU-CENTER электронного сообщения, содержащего подписанное таким способом заявление;
- КЭП выпущена удостоверяющим центром, аккредитованным Минкомсвязи России, и соответствовать требованиям Федерального закона от 06.04.2021 № 63-ФЗ «Об электронной подписи»;
- Подпись может быть предоставлена как в отсоединенном, так и не в отсоединенном виде.
RU-CENTER вправе запросить дополнительные документы и сведения, в том числе фотографии, подтверждающие факт волеизъявления и/или личность текущего администратора доменного имени.
В случае использования КЭП для подписи заявления на передачу прав на доменное имя прикладывать скан-копии паспорта и проходить процедуру верификации по телефону не требуется, если копии идентификационных документов были ранее предоставлены RU-CENTER администратором (подробнее об идентификации: https://www.my-sertif.ru/help/identifikaciya-795/).
Заявления, подписанные КЭП, должны направляться с контактного адреса электронной почты, указанного в договоре текущего администратора доменного имени.
До регистрации домена важно знать
Доменное имя не должно нарушать права других лиц и компаний. Старайтесь не регистрировать домены, совпадающие с названиями компаний и брендов, которые вам не принадлежат.
Администратор (владелец) домена — это физическое или юридическое лицо. Он несет ответственность за домен и за контент, опубликованный на сайте.
Другие бесплатные ssl‑сертификаты
Среди бесплатных SSL есть два популярных решения: сертификаты от Let’s Encrypt и Cloudflare. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать.
Зачем нужен ssl-сертификат
SSL-сертификаты сайтов требуются для обеспечения безопасности данных пользователей, подтверждения прав собственности на сайт, предотвращения создание поддельной версии сайта злоумышленниками и обеспечения доверия со стороны пользователей.
Если использование веб-сайта предполагает вход в систему, ввод личных данных, таких как номера кредитных карт, или просмотр конфиденциальной информации, такой как данные медицинской страховки, или финансовой информации, то важно сохранить конфиденциальность этих данных.
Защита для бизнеса и клиентов
Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.
Защита поддоменов. ssl-сертификат с поддержкой поддоменов
Действие стандартного SSL-сертификата распространяется на домен, который указан при заказе (например, faq-my-sertif.ru), и его поддомены с «mail» и с «www» (например, mail.faq-my-sertif.ru и www.faq-my-sertif.ru).
Если вы хотите защитить другие поддомены (например, support.faq-my-sertif.ru, blog.faq-my-sertif.ru и т.п.), при заказе выберите сертификат с поддержкой поддоменов. Благодаря этой опции будут защищены сам домен и все его поддомены.
Чтобы выбрать сертификат с поддержкой поддоменов, перейдите на страницу заказа SSL. На странице будут представлены все доступные SSL-сертификаты с поддержкой Wildcard (т.е. с защитой поддоменов), их стоимость и технические характеристики.
В my-sertif.ru вы можете заказать следующие Wildcard-сертификаты:
Обратите внимание, после покупки и активации SSL-сертификата с защитой поддоменов в наименовании услуги будет фигурировать слово «Wildcard».
Использование плагина webroot
Алгоритм работы Webroot включает в себя создание специального файла в директории /.well-known. Она размещается в корневом каталоге веб-сервера (document root) и может быть открыта сервисом Let’s Encrypt для проверки. В зависимости от ваших настроек, вам может понадобиться явно разрешить доступ к папке /.well-known.
Если вы ещё не установили Nginx, сделайте это, следуя руководству по установке Nginx на Ubuntu 16.04.
Чтобы убедиться в том, что папка доступна сервису Let’s Encrypt, внесем небольшие изменения в конфигурацию Nginx. По умолчанию файл конфигурации находится в папке /etc/nginx/sites-available/default. Мы будем использовать редактор Nano для внесения изменений:
sudo nano /etc/nginx/sites-available/defaultВнутри блока server добавьте такой блок location:
# Добавить в SSL-блок server
location ~ /.well-known {
allow all;
}Вам также стоит посмотреть, где расположен корневой каталог веб-сервера (document root), так как этот путь необходим при работе с Webroot. Если вы используете стандартный файл конфигурации, она будет расположена в /var/www/html.
Сохраните и закройте файл.
Проверьте вашу конфигурацию на синтаксические ошибки:
sudo nginx -tЕсли ошибок нет, перезапустите Nginx, используя эту команду:
sudo systemctl restart nginxКак обеспечить безопасность онлайн-сеанса
Личные данные и платежные реквизиты можно указывать только на веб-сайтах, защищенных сертификатами с расширенной проверкой или сертификатами, подтверждающие организацию. Сертификаты, подтверждающие домен, не подходят для сайтов электронной коммерции.
Сайты, защищенные сертификатами с расширенной проверкой или сертификатами, подтверждающими организацию, можно определить, посмотрев на адресную строку. Для сайтов, защищенных сертификатами с расширенной проверкой, название организации отображается в адресной строке.
Ознакомьтесь с политикой конфиденциальности веб-сайта. Это позволяет понять, как будут использоваться ваши данные. Законопослушные компании обычно прозрачно описывают сбор и действия с данными.
Обратите внимание на сигналы и индикаторы, вызывающие доверие к веб-сайту.
Наряду с SSL-сертификатами, это могут быть логотипы или значки, показывающие репутацию и соответствие веб-сайта определенным стандартам безопасности. Другие признаки, по которым можно оценить сайт, включают проверку физического адреса и номера телефона, ознакомление с политикой возврата товаров и средств, проверку правдоподобности цен – ведь бесплатный сыр может оказаться в мышеловке.
Как получить ssl-сертификат
SSL-сертификат можно получить непосредственно в центре сертификации. Центры сертификации, иногда также называемые сертифицирующими организациями, ежегодно выдают миллионы SSL-сертификатов. Они играют важную роль в работе интернета и обеспечивают прозрачное и надежное взаимодействие в сети.
Стоимость SSL-сертификата может доходить до сотен долларов, в зависимости от требуемого уровня безопасности. После выбора типа сертификата можно найти издателей сертификатов, предлагающих SSL-сертификаты нужного уровня.
Получение SSL-сертификата включает следующие шаги:
После получения сертификата его необходимо настроить на вашем веб-хосте или серверах, если вы обеспечиваете хостинг веб-сайта самостоятельно.
Скорость получения сертификата зависит от типа сертификата и поставщика сертификатов. Для завершения каждого уровня проверки требуется разное время. Простой SSL-сертификат, подтверждающий домен, может быть выпущен в течение нескольких минут после заказа, а получение сертификата с расширенной проверкой может занять целую неделю.
Как работают ssl-сертификаты?
Использование SSL гарантирует, что данные, передаваемые между пользователями и веб-сайтами или между двумя системами, невозможно прочитать сторонним лицам или системам. SSL использует алгоритмы для шифрования передаваемых данных, что не позволяет злоумышленникам считать их при передаче через зашифрованное соединение.
Процесс работает следующим образом:
- Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL.
- Браузер или сервер запрашивает идентификацию у веб-сервера.
- В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата.
- Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу.
- Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.
- Зашифрованные данные используются совместно браузером или сервером и веб-сервером.
Этот процесс иногда называют подтверждением SSL-соединения. Хотя по описанию этот процесс выглядит длительным, в реальности он занимает миллисекунды.
Как узнать, есть ли у сайта ssl-сертификат
Самый простой способ узнать, есть ли у сайта SSL-сертификат – обратить внимание на следующие элементы в адресной строке браузера:
Могу ли я создать корневой сертификат самостоятельно?
Чтобы создать корневой сертификат самому, нужно получить статус сертификационного центра. Эта процедура связана со значительными финансовыми затратами, поэтому в большинстве случаев мы рекомендуем обращаться к существующим центрам сертификации.
Можно ли использовать ssl-сертификат на нескольких серверах?
Один SSL-сертификат можно использовать для нескольких доменов на одном сервере. В зависимости от поставщика, можно также использовать один SSL-сертификат на нескольких серверах. Это позволяют мультидоменные SSL-сертификаты, описанные выше.
Как следует из названия, мультидоменные SSL-сертификаты работают с несколькими доменами. Количество доменов остается на усмотрение конкретного центра сертификации. Мультидоменный SSL-сертификат отличается от однодоменного SSL-сертификата, который, как следует из названия, предназначен для защиты одного домена.
Мультидоменные SSL-сертификаты также называются SAN-сертификатами. SAN означает альтернативное имя субъекта. Каждый мультидоменный сертификат имеет дополнительные поля (например, альтернативные имена субъектов), которые можно использовать для перечисления дополнительных доменов, чтобы на них распространялся один сертификат.
Сертификаты унифицированных коммуникаций (UCC) и Wildcard-сертификаты также можно применять на нескольких доменах и, в последнем случае, на неограниченном количестве поддоменов.
Мультидоменные сертификаты (mdc)
Мультидоменные сертификаты можно использовать для защиты нескольких доменных и поддоменных имен, включая сочетания полностью уникальных доменов и поддоменов с разными доменами верхнего уровня (TLD), за исключением локальных / внутренних доменов.
Например:
Настраиваем конфигурацию nginx для ssl
Теперь, когда мы подготовили сниппеты, можно обновить нашу конфигурацию Nginx и подключить SSL.
В данном руководстве мы полагаем, что вы используете стандартный файл с блоками server, расположенный в папке /etc/nginx/sites-available. Если вы используете другой файл с блоками server, замените название в представленных ниже командах.
Перед тем, как двигаться дальше, давайте сделаем резервную копию нашего текущего файла с блоками server:
sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/default.bakТеперь откройте файл с блоками server для внесения изменений:
sudo nano /etc/nginx/sites-available/defaultВнутри ваш блок server, вероятно, начинается так:
server {
listen 80 default_server;
listen [::]:80 default_server;
# Конфигурация SSL
# listen 443 ssl default_server;
# listen [::]:443 ssl default_server;
. . .Несколько фактов о startssl
- 25 мая 2021 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
- StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
- StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
После установки промежуточного сертификата пришло соответствующее письмо. - StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
- Дружелюбная поддержка на русском языке
- Сравнительная таблица вариантов верификации
- За 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат 2 года, на которые можно выдать сертификат).
- Отзыв сертификата платный — 24,90$. 2-й класс верификации позволяет пересоздать сертификат (насколько я понял, всего один раз). Extended Validation сертификаты освобождены от этого сбора.
Подтверждение бесплатного ssl-сертификата через dns
На этапе выбора подтверждения кликаем на «DNS», где получаем нужные данные для ввода.
На следующем шаге видим, что система мониторит записи для подтверждения.
Переходим к хостинг-провайдеру (или другой интерфейс, куда через NS был делегирован домен) и переходим к редактированию DNS.
Добавляем новую TXT-запись.
Вводим выданные нам значения.
Подтверждение по почте
В этом случае система предложит написать на одну из почт:
В этом случае будет отправлено письмо с кодом на указанный электронный адрес, через которое можно будет подтвердить информацию.
В этом случае лучше всего:
Если указанной почты нет среди аккаунтов, то следует ее создать, например, в интерфейсе Яндекс.Коннекта это выглядит так:
Отправляем письмо для проверки.
В системе видно, что сообщение отправлено.
Далее приходит письмо на почту, где нужно скопировать проверочный код и перейти на страницу верификации.
На проверочной странице вводим ключи и нажимаем на «Next».
Закрываем страницу.
В ZeroSSL обновляем статус заявки.
Видим, что все прошло успешно и кликаем на «Install Certificate».
Скачиваем бесплатный SSL-сертификат через кнопку «Download Certificate (.zip).
При необходимости можно сказать в разных форматах, например, для:
- Apache;
- AWS;
- cPanel
- NGINX;
- Ubuntu;
- И многих других.
Далее переходим к установке его на сервер.
Важно! Одни аккаунт может иметь до трех доменов с сертификатами бесплатно.
Полезные команды openssl
- Создание ключа для SSL-сертификата:
openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key
openssl req -new -key cert.key -out cert.csr
openssl rsa -in cert.key -out cert.key
openssl req -noout -text -in cert.csr
- Данные сертификата (проверить кем выдан, например):
openssl x509 -noout -text -in cert.crt
- Проверить, что ключ соответствует сертификату:
openssl x509 -noout -modulus -in cert.crt | openssl md5
openssl rsa -noout -modulus -in cert.key | openssl md5
Два последних значения должны совпадать, в нашем случае это md5.
Получение бесплатного ssl-сертификата через хостинг-провайдера
Если хостинг-провайдер предоставляет бесплатный SSL-сертификат, то можно
воспользоваться им. Так его предоставляют:
Например, в случае с Timeweb достаточно посетить
административную панель после чего перейти во вкладку «SSL-сертификаты» и нажимаем на
«Заказать».
Теперь выбираем «Let’s Encrypt»
(бесплатный) и домен, которому он будет применен.
Важно! Для того, чтобы воспользоваться данным методом
необходимо делегировать сайт под управление компании хостинга при помощи А-записи.
Получение сертификата
Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.
Про установку не буду писать, информация есть на хабре и на StartSSL.
Проверка порта
По умолчанию ssl использует 443 порт, поэтому будем проверять именно его. Какой веб-сервис отвечает на 443 порту, можно проверить командой:
- Для Ubuntu / Debian / Centos
# netstat -napt | grep 443
либо
# ss -tlpn | grep 443
Вывод будет примерно следующим:
tcp 0 0 188.120.233.16:443 0.0.0.0:* LISTEN 731/apache2
# sockstat | grep 443
Вывод будет примерно следующим:
Проходим проверку (2-й уровень верификации)
Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы
Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы — у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.
Далее вам нужно будет ввести данные своей кредитной картыPayPal. Идем в Tool Box ->Add Credit Card | PayPal | Ticket
Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.
Ручная установка в панели хостинга
Чтобы установить SSL-сертификат, войдите в вашу панель управления (ISPmanager, cPanel или Plesk*) и следуйте соответствующей инструкции ниже:
Сертификаты унифицированных коммуникаций (ucc)
Сертификаты унифицированных коммуникаций (UCC) также считаются мультидоменными SSL-сертификатами. Сертификаты унифицированных коммуникаций изначально были разработаны для защиты серверов Microsoft Exchange и Live Communications. Сегодня любой владелец веб-сайта может использовать эти сертификаты, чтобы обеспечить защиту нескольких доменных имен с помощью одного сертификата.
Сертификаты унифицированных коммуникаций проверяются на уровне организации. Для них в браузере отображается значок замка. Сертификаты унифицированных коммуникаций можно использовать в качестве сертификатов с расширенной проверкой, чтобы обеспечить посетителям веб-сайта максимальную безопасность.
Важно различать типы SSL-сертификатов, чтобы получить правильный тип сертификата для веб-сайта.
Создаем сниппет конфигурации для ssl-ключа и сертификата
Сперва создадим сниппет конфигурации Nginx в папке /etc/nginx/snippets.
Для правильного распознавания назначения файла назовем его ssl-, затем укажем доменное имя и в конце поставим .conf:
Создаем сниппет конфигурации с устойчивыми настройками шифрования
Следующим шагом мы создадим другой сниппет, определяющий некоторые настройки SSL. Это позволит Nginx подключить устойчивый «набор шифров» SSL (англ. cipher suite) и некоторые дополнительные функции, которые помогут обеспечить безопасность нашего сервера.
Прим. перев. Cipher Suite — это совокупность алгоритмов, используемых в конкретной TLS/SSL-сессии:
- алгоритм выработки сессионных ключей шифрования;
- алгоритм, используемый для аутентификации сервера;
- непосредственно сам симметричный алгоритм шифрования трафика;
- и алгоритм контроля целостности (MAC, message authentication code).
Установленные нами параметры могут быть использованы повторно для конфигураций Nginx в будущем, поэтому дадим файлу стандартное название:
sudo nano /etc/nginx/snippets/ssl-params.confДля настройки безопасной связки Nginx-SSL мы будем использовать рекомендации сайта Cipherli.st. Он создан для предоставления быстрого доступа к готовым настройкам шифрования популярного программного обеспечения. Дополнительная информация доступна в руководстве по настройке SSL для Nginx.
Примечание. Предлагаемые стандартные настройки на сайте Cipherli.st обеспечивают устойчивую безопасность, но иногда это приводит к ухудшению совместимости. Если вам необходимо поддерживать более старые версии клиентов, используйте альтернативный список настроек, доступный при нажатии на значок «Yes, give me a ciphersuite that works with legacy/old software.» Составить такой список можно и вручную.
Для наших целей можно скопировать предлагаемые настройки целиком. Нам потребуется внести лишь некоторые изменения.
Сперва добавим DNS-резолвер. Используем для нашего руководства тот, что предлагает Google. Затем установим в качестве параметра ssl_dhparam указатель на файл ключа Диффи-Хеллмана, который мы сгенерировали ранее.
Типы ssl-сертификатов
Существуют разные типы SSL-сертификатов с разными уровнями проверки. Шесть основных типов:
- Сертификаты с расширенной проверкой (EV SSL)
- Сертификаты, подтверждающие организацию (OV SSL)
- Сертификаты, подтверждающие домен (DV SSL)
- Wildcard-сертификаты
- Мультидоменные сертификаты (MDC)
- Сертификаты унифицированных коммуникаций (UCC)
Установка ssl-сертификата на домен средствами панели ispmanager 6
1. Зайдите в ISPmanager 6 под пользователем, которому принадлежит домен. Это можно сделать так: войдите в панель под пользователем root, найдите раздел Пользователи — выберите пользователя — нажмите Войти под пользователем (справа вверху кнопка с изображением стрелочки и двери).
Примечание: не забудьте для пользователя включить возможность добавления SSL (ISPmanager — Пользователи — двойной клик по пользователю — поставьте галочку в пункте Может использовать SSL).
2. В разделе SSL-сертификаты — справа вверху кнопка Добавить сертификат.
Укажите Тип сертификата — Существующий. И заполните все поля:
Имя сертификата — Начиная с версии панели 6.19, данного пункта нет, имя будет формироваться из информации о сертификате “_customX”
Примечание: Если у вас панель ниже версии 6.19, то нужно указать имя сертификата. Оно может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и –
SSL-Сертификат — укажите содержимое файла SSL-сертификата, обычно имеет расширение .crt
Ключ SSL-сертификата — укажите содержимое файла приватного ключа, обычно имеет расширение .key
Цепочка SSL-сертификатов — Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат, обычно файл имеет расширение .ca или .ctrca
Чтобы указать содержимое файлов — сертификата, ключа и цепочки, необходимо просто скопировать содержимое каждого и вставить в соответствующие поля.
3. После того, как сертификат успешно добавлен, перейдите в раздел Сайты и включите его. Двойной клик по нужному сайту — установить галочку Защищённое соединение (SSL) — выбрать из списка нужный сертификат:
Установка ssl-сертификата на сервер
В первую очередь распаковываем архив с сертификатом и видим, что он состоит из:
- certificate.crt (сертификат);
- private.key (приватный ключ);
- ca_bundle.crt (промежуточный сертификат).
Данный пункт необходим тем, кто не смог получить его у хостера и приобрел его не у своего провайдера. Для этого посещаем раздел «SSL», где выбираем пункт «Установить».
Вводим в соответствующие поля свой файл и завершаем установку.
Важно! Если не имеется навыка работы с интерфейсом хостинг компании (у некоторых провайдеров отсутствует возможность загружать сертификат самостоятельно в интерфейсе) рекомендуется загрузить архив с сертификатом на сервер и написать в поддержку с просьбой об установке.
Важно! Срок действия сертификата 3 месяца, после чего его потребуется
обновиться, выполнив инструкцию еще раз.
Важно! Если сертификат выдается на поддомен, то потребуется
подтвердить лишь основной домен (соответственно загрузить лишь 1 файл или
установить 1 TXT-запись).
Установка цепочки сертификатов
Список доверенных сертификатов, использующихся для создания цепочки, приходит в информационном письме после выпуска и активации SSL. Для установки цепочки сертификатов (в том числе, корневого) воспользуйтесь подробными инструкциями справочного раздела: Установка SSL-сертификата.
Файлы сертификата
После получения сертификата у вас должны появиться следующие файлы в PEM-кодировке:
Через ispmanager
Следует посетить раздел «WWW»-«SSL-сертификаты»,
после чего кликнуть на «Создать».
Выбираем пункт «Существующий».
Ставим данные из файлов в нужные поля и даем имя
сертификату.
Важно! Если не получается воспользоваться ни первым ни
вторым способом или данного раздела (SSL) нет в административной панели (как, например, в SprintHost), то Вы можете
загрузить сертификаты на свой сервер и создать тикет хостинг-провайдеру для
установки.
Шаг 3. настраиваем tls/ssl на веб-сервере
Теперь, когда у вас есть SSL-сертификат, необходимо настроить веб-сервер Nginx так, чтобы он начал его использовать.
Внесем некоторые изменения в нашу конфигурацию:
- Создадим сниппет конфигурации, содержащий расположение нашего SSL-ключа и файлов сертификата.
- Создадим сниппет конфигурации, содержащий настройки устойчивого SSL, которые можно будет использовать в будущем для любого сертификата.
- Обновим блоки
serverв конфигурации Nginx, которые будут управлять SSL-запросами и использовать оба вышеуказанных сниппета.
Такой подход к настройке Nginx позволяет сохранить блоки server чистыми и сделать конфигурацию доступной для повторного использования.
Шаг 4. настраиваем файрвол
Если у вас включен файрвол ufw, вам необходимо обновить настройки и разрешить SSL-трафик. К счастью, Nginx регистрирует несколько профилей с ufw после установки.
Вы можете посмотреть текущие настройки, введя:
sudo ufw statusШаг 5. подключаем изменения в nginx
Теперь, когда мы внесли изменения в конфигурацию и обновили правила файрвола, нужно перезапустить Nginx, чтобы изменения вступили в силу.
Первым делом стоит проверить и убедиться, что синтаксические ошибки в наших файлах отсутствуют. Это можно сделать, введя:
sudo nginx -tВ случае успеха ваш результат должен выглядеть следующим образом:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successfulЕсли ваш результат совпадает с тем, что вы видите выше, значит, ваш файл конфигурации не содержит синтаксических ошибок. Для активации изменений безопасно перезапустим Nginx:
sudo systemctl restart nginxШаг 6. настраиваем автоматическое обновление
Сертификаты от Let’s Encrypt действуют только в течение 90 дней. Это побуждает пользователей к автоматизации процесса обновления. Нам понадобится создать регулярно запускающуюся команду для проверки и автоматического обновления сертификатов, срок которых истекает.
Для запуска проверки ежедневных обновлений мы будем использовать Cron — стандартный системный сервис для запуска повторяющихся задач. Задачи Cron указываются в файле под названием crontab:
sudo crontab -eВставьте следующую строчку в конец файла, затем сохраните и закройте его:
Шаг 0. подготовка
Перед тем, как приступить к работе, вам нужно убедиться в нескольких вещах.
У вас должен быть установлен сервер на Ubuntu 16.04, и создан пользователь (не root), для которого настроены sudo привилегии. Узнать, как это сделать, вы можете, следуя руководству по первичной настройке сервера на Ubuntu 16.04.
Вы должны быть владельцем доменного имени, для которого планируется использовать сертификат, или иметь доступ к его настройке. Если у вас нет зарегистрированного доменного имени, вы можете сделать это, используя один из регистраторов (например, Namecheap или GoDaddy).