Подключение SSL на Linux-хостинге - Работает на Kayako Fusion

Справочный центр

Подключение SSL на Linux-хостинге

Отправлено в 04 July 2013 12:26

SSL-сертификат — это цифровое удостоверение вашего сайта, которое служит подтверждением того, что обмен данными между сайтом и браузером производится по защищенному каналу. Защита сайта с помощью SSL позволяет шифровать всю информацию, передаваемую между сайтом и клиентскими программами. Существуют различные виды SSL сертификатов. Об их особенностях и отличиях вы можете прочитать в статье "Виды SSL сертификатов".

Если вы хотите подключить SSL для вашего сайта, прочитайте данную инструкцию.

Бесплатный SSL
- Установка бесплатного сертификата
- Ограничения
Платный SSL

Бесплатный SSL

Всем пользователям нашего хостинга доступен бесплатный SSL-сертификат, предоставляемый некоммерческой организацией Let's Encrypt. Для заказа Let's Encrypt сертификата не требуется выделенный IP-адрес, продлевается сертификат автоматически.

Let's Encrypt это некоммерческий центр сертификации (certificate authority, CA), который выпускает SSL-сертификаты бесплатно и создан для того, чтобы большая часть сайтов смогла перейти к работе по шифрованному протоколу (HTTPS).

Сертификаты Let’s Encrypt распознаются как подтвержденные во всех основных браузерах.

Установка бесплатного сертификата

На главной странице Панели управления panel.infobox.ru выберите нужный сайт в разделе Хостинг сайтов и нажмите кнопку "Управление сайтом".

Затем в открывшемся окне перейдите по ссылке Настройки веб-пространства.

В третьей вкладке SSL нужно нажать клавишу «Включить SSL»

Вернитесь на главную страницу Панели управления и в разделе "Инструменты" перейдите по ссылке "Бесплатные SSL-сертификаты Let's Encrypt"

Подключите сертификат

Сертификат на домен будет установлен в течении 15-20 минут.

Внимание! Сертификат выписывается на все веб-пространство. Если у вас тарифный план Безлимитный или Профи, тогда каждый сайт, на котором будет установлен сертификат, должен находиться на отдельном веб-пространстве.
Как перенести сайт на другое веб-пространство рассказано в инструкции "Настройки сайта на Linux-хостинге"

После подключения SSL настройте сайт для работы по защищенному протоколу по инструкции "Настройка сайта для работы по протоколу HTTPS"

[↑наверх]

Ограничения

На установку бесплатных SSL-сертификатов действуют следующие ограничения:

Wildcard сертификаты - не выписываются.
Поддомены. Сертификат создается не более чем на 20 поддоменов на одном домене в неделю, т.е. доменов вида aaa.example.com, bbb.example.com и т.д. можно не больше 20 за неделю. Если вы выбрали галочкой, например, 40 поддоменов для создания сертификата, то они заработают в течение 2 недель (сначала у первых 20, через неделю у следующих 20)

[↑наверх]

Платный SSL

Подключение SSL

Со стоимостью и видами SSL-сертификатов, которые вы можете заказать у нас, вы можете ознакомиться в Тарифных планах на домены

Внимание! Заказ и подключение платного SSL-сертификата для кириллических доменов недоступны!

Чтобы установить SSL на ваш сайт, прежде всего нужно подключить дополнительные ресурсы Панели управления panel.infobox.ru:
1. SSL ("SSL support for Linux NG", подключается бесплатно)
2. Дополнительный IP-адрес ("IP addresses for Linux NG", 90 руб./мес.).

Подключить эти ресурсы можно по инструкции "Заказ дополнительных ресурсов". Если ресурсы уже подключены, переходите к следующему шагу.

Внимание! На одно веб-пространство хостинга может быть подключен только один дополнительный IP-адрес и, соответственно, один SSL. Если нужно подключить сертификат на ещё один сайт, то его необходимо будет разместить на отдельном веб-пространстве. Сделать это можно по инструкции "Настройки сайта на Linux-хостинге"

После этого зайдите в настройки сайта. Для этого в вашей Панели управления panel.infobox.ru перейдите на вкладку Хостинг сайтов и выберите нужный сайт, нажав на его имя.

На следующей странице перейдите в раздел Настройки веб-пространства.

На странице настроек нажмите "Изменить".

В новом окне в поле "Тип IP-адреса" выберите "Дополнительный IP" и нажмите кнопку "ОК".

В списке вкладок настройки веб-сайта появится вкладка SSL.

Выбрав ее, вы сможете подключить SSL к вашему сайту. Для этого нажмите кнопку "Включить".

[↑наверх]

Подготовка к установке сертификата

Если у вас уже есть свой сертификат, пропустите этот пункт и переходите сразу к пункту "Установка сертификата"

Прежде чем сделать заказ, создайте почтовый ящик вида admin@ваш.домен. Где ваш.домен - это доменное имя, на котором расположен сайт, для которого заказывается сертификат.
Этот ящик нужно будет указать в процессе заказа сертификата, и на него будет выслано подтверждение заказа. Если у вас уже есть такой адрес почты, можете пропустить этот шаг.

Теперь убедитесь, что у вас подробно и корректно заполнены данные владельца учетной записи (должен быть указан адрес, индекс и другие данные). Проверить это можно в Панели управления на вкладке Оплата и настройка - Информация об учетной записи.

Следующим шагом будет заказ сертификата. Для заказа нужен "Запрос на сертификат (CSR)". Для этого создайте Private Key и Certificate Signing Request (CSR):

1. Зайдите на сервер по SSH. О том, как это сделать, рассказано в статье "Как создать SSH-подключение на хостинге".

2. Перейдите в директорию httpdocs при помощи команды.

cd webspace/httpdocs

3. Затем выполните команду (в одну строку):

openssl req -new -newkey rsa:2048 -sha512 -nodes -keyout private.pem -out domain.csr

domain необходимо заменить на ваш домен

В процессе генерации CSR Вам нужно будет указать полную информацию о доменном имени и организации, на которую выписывается сертификат.

Параметр	Означает	Пример
Country Name	Двухбуквенный ISO-код страны	RU
State or Province Name	Область или край, где официально зарегистрирована организация.	Moscow
Locality Name	Город, где официально зарегистрирована организация.	Moscow
Organization Name	Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации.	MyCompany Inc
Organizational Unit Name	Название отдела или подразделения (на английском языке).	IT
Common Name	Полное доменное имя для веб-сервера в формате FQDN - Fully Qualifed Domain Name. Внимание! Все сертификаты, кроме Wildcard Certificate, защищают только один хост — например, либо сам домен вида "mydomain.ru", либо "www.mydomain.ru", либо любой субдомен вида "secure.mydomain.ru". Будьте внимательны, Вам необходимо указать именно то имя домена, на которое выписывается сертификат.	www.mydomain.com
Email Address	Заполнять не обязательно	admin@ваш.домен
A challenge password	Заполнять не рекомендуется!	Пароль, не содержащий кириллицу
An optional company name	Заполнять не требуется

Внимание! Все данные должны указываться на английском языке, длина каждого ответа не должна превышать 64 символов с учетом пробелов, в ответах нельзя использовать спецсимволы

Запрос будет сохранет в файлы вида домен.csr и private.pem, которые вы сможете найти в корневой папке вашего аккаунта. Подключитесь по FTP по инструкции "Подключение по FTP с помощью FileZilla" или зайдите в Обзор файлов:

Найдите созданный файл и откройте его в блокноте.

Скопируйте содержимое файла домен.csr, оно понадобится вам при заказе сертификата (либо оставьте файл открытым, чтобы в нужный момент скопировать текст).

Если Вы не уверены, что верно указали данные в CSR, то их можно проверить с помощью декодера или командой SSH:

openssl req -noout -text -in domain.csr

Для установки сертификата вам понадобится private.pem. Откройте файл в блокноте и скопируйте его содержимое (либо оставьте файл открытым, чтобы в нужный момент скопировать текст).

Теперь можно приступить к заказу сертификата. Сделать это можно на вкладке Оплата и настройка - Заказать новую услугу - SSL сертификаты.

В процессе заказа сертификата система попросит у вас "Запрос на сертификат (CSR)". Сюда и нужно скопировать текст созданного вами ранее файла домен.csr. На следующем шаге укажите Apache+MODSSL в качестве типа веб-сервера.

После завершения заказа сертификата на ваш основной почтовый ящик и на созданный вами ящик admin@ваш.домен придут письма с информацией о заказе и ссылкой на его подтверждение. Перейдите по ссылке, подтвердите заказ.

В результате вы должны получить письмо, в котором будет содержаться текст сертификата.

Внимание! Если у вас возникла проблема с заказом сертификата, не отменяйте его самостоятельно и не размещайте новые заказы повторно. Напишите запрос в Команду поддержки, и наши сотрудники помогут. О том, как написать запрос в поддержку, рассказано в статье "Как написать запрос в поддержку?"

[↑наверх]

Установка сертификата

Вернитесь на главную страницу Панели управления и в блоке Хостинг сайтов перейдите по ссылке "Управление сайтом".

Затем перейдите в раздел Настройки веб-пространства.

На странице настройки переключитесь на вкладку SSL и нажмите кнопку "Установить сертификат".

При установке сертификата первым делом выберите пункт "Буфер обмена".

На втором шаге вам нужно будет скопировать текст сертификата, который вы получили по почте в поле "Сертификат" и текст файла private.pem в поле "Закрытый ключ". Если вы наблюдаете ошибку в разделе "Закрытый ключ" "Некорректный формат секретного ключа", то необходимо расшифровать файл командой "openssl rsa -in private.pem -out newprivate.pem"

На последнем этапе вы можете проверить информацию о сертификате. Чтобы завершить установку, нажмите "Готово".

Вы успешно добавили сертификат!

[↑наверх]

Установка цепочки сертификатов

Сертификационные центры выдают множество SSL-сертификатов, связанных по принципу древовидной структуры, образующих так называемую цепочку доверия (chainoftrust) или цепочку сертификатов. Корневым сертификатом в цепочке доверия всегда является сертификат удостоверяющего центра (при заказе SSL у нас – это GeoTrust), его секретным ключом подписываются другие сертификаты. Скачать корневой сертификат можно с сайта удостоверяющего центра. Для GeoTrust это https://www.geotrust.com/resources/root-certificates/

Все промежуточные сертификаты (intermediate), находящиеся сразу под корневым, перенимают степень доверия к нему, так как подпись корневым сертификатом является чем-то вроде нотариального удостоверения личности. SSL сертификаты, находящиеся далее по структуре, таким же образом зависят от уровня доверия к промежуточным (intermediate). И в конце этой цепочки находится ваш доменный сертификат.

Корневой сертификат передает данные о владельце и издателе основного SSL сертификата в браузер клиента. Если посетитель перейдет на сайт, https соединение которого обеспечивается недоверительным поставщиком либо его корневой сертификат отсутствует или не распознается браузером пользователя, то, как следствие, будет выдано подобное предупреждение:

Однако если сертификат приобретен в одном из таких доверительных центров сертификации, как Comodo, Symantec, Thawte, GeoTrust и GlobalSign, то данные об их корневых сертификатах в обязательном порядке добавляются во все современные браузеры.

Данные о промежуточных сертификатах также присутствуют в большинстве браузеров, однако не во всех. Чаще всего, этих данных нет в мобильных браузерах, поэтому может возникнуть ситуация, что при заходе на Ваш сайт по протоколу HTTPS с десктопного браузера сертификат будет являться доверенным, а с мобильного – нет.

В таком случае необходимо вручную создать цепочку сертификатов, добавив промежуточный сертификат на хостинг.

Установка ЦС

При заказе сертификата в GeoTrust на Ваш email придет письмо не только с самим сертификатом для домена, но также с инструкцией и ссылкой на промежуточные сертификаты.

Пример такой инструкции для сертификата типа RapidSSL:

You can get your RapidSSL Intermediate Certificates at: https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=AR1548

Чтобы выбрать из данных промежуточных сертификатов недостающий, необходимо проверить Ваш домен здесь: https://cryptoreport.rapidssl.com/checker/views/certCheck.jsp
При проверке отобразится ошибка из-за отсутствия промежуточного сертификата:

Здесь же и чуть ниже будет ссылка на скачивание недостающего сертификата:

Зайдите в Панель управления panel.infobox.ru – Хостинг сайтов, выберите нужный сайт, нажмите кнопку «Настройки Веб-пространства» и перейдите в раздел SSL. Откроется тот же раздел, где Вы устанавливали SSL для домена. Сейчас нужно нажать кнопку «Установить сертификат ЦС»:

В следующем шаге выберите «Буфер обмена»:

Вставьте текст скаченного промежуточного сертификата:

Затем «Далее» и «Готово».

На этом всё, промежуточный сертификат установлен – можно проверять:

Ваш сертификат подтвержден промежуточным. Поздравляем!

[↑наверх]

Продление сертификата

Для продления сертификата зайдите в Панель управления panel.infobox.ru "Главная" - "Мои услуги"

Выберите услугу SSL

Нажмите кнопку "Продлить услугу"

Вам будет выставлен счет на оплату продления.
После оплаты этого счета на электронный адрес admin@вашдомен придет письмо для подтверждения SSL-сертификата. В письме будет ссылка, необходимо по ней перейти и подтвердить заказ. Если после оплаты счета вы не получили письмо, проверьте также папку "Спам"

После подтверждения на электронный адрес admin@вашдомен придет текст нового сертификата. Установите его согласно инструкции "Установка сертификата"

Внимание: для установки нового сертификата понадобится privat.pem, который был сформирован для первоначального сертификата.

[↑наверх]

Возможно, вам также будут полезны эти статьи:

Виды SSL-сертификатов
Оплата счета
Настройки сайта на Linux-хостинге

(22 голосов)

Полезная статья

Бесполезная статья