Как установить ssl сертификат на storeland: Установка SSL сертификата: пошаговая инструкция
Устанавливаем бесплатный SSL–сертификат StartSSL на облачный VPS от Infobox
В этой статье мы рассмотрим, как заказать бесплатный SSL–сертификат и установить его на облачный VPS от Infobox. Базовые SSL–сертификаты бесплатно выдает центр сертификации StartCom.
Бесплатные сертификаты StartSSL класса 1 служат для подтверждения доменных имен и адресов электронной почты. Проверки заказчиков, как правило, производятся автоматически и требуют минимального участия со стороны сотрудников StartCom. В процессе проверки подтверждается то, что подписчик является владельцем домена и действующего ящика электронной почты.
Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена. Если вам необходима сертификация более высокого уровня — можно заказать SSL сертификат в панели управления Infobox на главной странице в блоке «Мои услуги» -> «Заказать новую услугу». Доступ к панели управления предоставляется при заказе любой услуги, например VPS или облачных VPS.
Для обеспечения секретности передаваемых данных простых сайтов сертификаты StartCom подходят неплохо.
Бесплатные сертификаты от StartCom на самом деле не совсем бесплатные. Если потребуется отзыв сертификата — эта процедура стоит $24 у StartCom.
Заказ бесплатного SSL–сертификата
Откройте страницу заказа бесплатного сертификата SSL. Заполните информацию о вас (данные должны быть реальными, это очень важно).
На следующем шаге от вас потребуется код подтверждения, отправленный на указанную электронную почту.
Введите код и нажмите «Continue»
После этого необходимо дождаться подтверждания регистрации от StartCom (может занимать до 6 часов, но обычно ссылка для доступа и код подтверждения приходит гораздо быстрее). После получения письма введите код из него по ссылке, указанной в письме. Далее выберите длинну сертификата (лучше выбирать максимальную).
После этого будет сгенерирован сертификат для доступа к сертифицирующему центру StartCom. Сохраните его в безопасном месте и установите в систему, выполнив по нему двойной клик мышью и нажав «Install».
Теперь у вас есть доступ к сертифицирующему центру. На следующем шаге введите имя домена, для которого хотите получить сертификат.
Для подтверждения домена необходимо создать на нем один из трех адресов:
- postmaster@domain
- hostmaster@domain
- webmaster@domain
Если у вас еще не подключена почта для домена, можно привязать домен к бесплатной Яндекс.Почте или воспользоваться бизнес-почтой «Офис 24»
После создания почтового ящика на домене выберите его у StartCom и подтвердите принадлежность домена вам.
После подтверждения владения доменом вы можете сгенерировать секретный ключ, как показано на скриншоте ниже:
Рекомендуется пропустить этот шаг и сгенерировать CSR на вашем облачном VPS. Так секретный ключ не окажется у StartCom.
Для генерации CSR подключитесь к виртуальному серверу по SSH(подробнее в следующем разделе) и выполните команду:
openssl req -new -newkey rsa:4096 -nodes -keyout /etc/ssl/private.key -out /etc/ssl/domain.csr
В FQDN укажите ваш домен. E–mail адрес обязательно должен быть в этом домене, например [email protected].
После генерации выведите на экран консоли содержимое файла domain.csr:
cat /etc/ssl/domain.csr
и вставьте в поле мастера выдачи сертификатов, который появится после нажатия на Skip окна генерации сертификатов.
Согласитесь с предложенным именем домена.
На следующем шаге добавьте поддомен www к сертификату.
Завершите процесс получения ssl.crt и сохраните его.
Вам понадобится корневой и промежуточный сертификаты StartCom. Для их получения перейдите в раздел Toolbox -> StartCom CA Certificates.
Сохраните файлы по ссылке Class 1 Intermediate Server CA (sub.class1.server.ca.pem) и StartCom Root CA (ca.pem).
В итоге у вас будут сохранены на локальном компьютере следующие полезные файлы:
- ca.pem
- sub.class1.server.ca.pem
- ssl.crt
На сервере в папке /etc/ssl/:
Копируем файлы на сервер
Создайте сервер из шаблона Ubuntu 14.04 lamp в облаке. Процесс создания сервера был рассмотрен в статье ранее.
Необходимо скопировать ca.pem, sub.class1.server.ca.pem и ssl.crt в папку /etc/ssl (если ее нет — создать).
Это можно сделать например через Filezilla (установка клиента рассмотрена также в статье). Однако способ подключения будет отличаться, так как нужен доступ не только к папке сайта, но и ко всему серверу.
Добавьте новое SFTP подключение, как показано на скриншоте ниже. Используйте логин и пароль от сервера, которые пришли на вашу электронную почту после создания сервера, а также внешний ip–адрес сервера.
При подключении подтвердите, что вы подключаетесь к известному вам серверу, нажав OK.
Подключение будет успешно установлено.
Перейдите в папку «/etc/ssl» и скопируйте туда файлы ca.pem, sub.class1.server.ca.pem и ssl.crt.
Теперь подключитесь к серверу по SSH.
Включаем SSL в NGINX
В шаблоне LAMP настраивать SSL нужно на реверс-прокси NGINX.
Если ранее при генерации CSR вы установили пароль, расшифруйте приватный ключ командой:
openssl rsa -in /etc/ssl/ssl.key -out /etc/ssl/private.key
Объедините корневой и промежуточный сертификаты командой:
cat /etc/ssl/sub.class1.server.ca.pem >> /etc/ssl/cau.pem
Добавьте к объединению ваш сертификат
cat /etc/ssl/ssl.crt /etc/ssl/cau.pem >> /etc/ssl/group.crt
Откройте результат в nano:
nano /etc/ssl/group.crt
Сохраните изменения (Ctrl+X, Y, Enter).
Перенесите начало каждого нового сертификата на новую строчку после окончания предыдущего сертификата и сохраните изменения.
Теперь установите права для доступа к private.key:
chmod 600 /etc/ssl/private.key
Отредактируйте файл конфигурации nginx:
nano /etc/nginx/sites-enabled/default
Внесите изменения, как показано на скриншоте ниже (вместо le-vert.ru используйте ваш домен):
Перезапустите NGINX.
service nginx restart
Если вы попробуете зайти на сайт по ip–адресу по протоколу HTTPS, то вы увидите предупреждение о том, что сертификат небезопасен.
Для безопасного соединения заходите на сайт по имени домена.
Для этого в DNS-записи А для домена и поддомена www укажите ip–адрес сайта и дождитесь обновления DNS. Либо для тестирования пропишите соответствие ip–адреса сервера и домена в файле hosts вашей ОС.
Единственное небезопасное что осталось — картинкa на странице загружается по http. Для того, чтобы сайт был доверенным, загружайте картинки по https.
Успешного использования Infobox!
Как установить SSL-сертификат на хостинг?
Приветствую вас на сайте Impuls-Web!
Мы продолжаем устанавливать SSL-сертификат. В прошлой статье я показала, как получить этот сертификат, а в этой статье мы будем устанавливать его на хостинг.
Навигация по статье:
Если вы не читали прошлую статью, то можете перейти по этой ссылке:
Как получить SSL сертификат?
Получение файлов с SSL-сертификатом
После того, как я подтвердила право на домен, в течение нескольких минут, мне на почту пришло два письма от Comodo Security Service.
В первом письме они мне прислали файлы с кодом самого сертификата.
К данному письму был прикреплен zip – архив с двумя файлами: SSL-сертификат и Apache – бандл-файл.
Во втором письме мне предлагается установить на сайт так называемый Trust Logo, то есть иконку обозначающую, что данный сайт защищен сертификатом от Comodo.
Следующее, что нам потребуется – это перейти в админпенель хостинга. У меня на хостинге установлена панель ISPmanager, у вас это может быть CPanel, либо какая-то другая.
Однако, какая бы панель управления у вас не стояла вам нужно в меню найти раздел «SSL-сертификат».
Установка SSL-сертификата на хостинг
И далее, мне нужно будет создать здесь новый сертификат.
- 1.Я нажимаю на кнопку «Создать». A дальше мне нужно будет заполнить следующие поля.
- 2.В поле «Имя сертификата» мы вводим любое название.
- 3.В раскрывающемся списке «Тип сертификата» выбираем «Существующий».
- 4.Поле «Использовать ключ» оставляем «Указать вручную».
- 5.В поле «Приватный ключ» нам будет необходимо вставить тот код Private Key, который мы генерировали в самом начале, на этапе получения сертификата и сохраняли в отдельном документ. Копируем его и вставляем в поле.
- 6.Далее, нам нужно будет открыть архив, который нам прислали от Comodo и в этом архиве есть два файла. Нас интересует файл с расширением *.crt. Смотрим письмо, в котором нам пришли эти файлы, в моём случае этот файл называется impuls-web_ru.crt.
- 7.Открываем его при помощи какого-нибудь текстового редактора, копируем содержимое и вставляем его в поле «Сертификат».
Обязательно нужно проверить, что бы не было пробела или символа переноса строки в конце кода сертификата. Удаляем пробелы, если они есть в конце кода.
- 8.Поле пароль у нас должно оставаться пустым. А в поле «Цепочка сертификатов» нам нужно вставить код из файла с расширением «ca-bundle». В моём случае это файл impuls-web_ru.ca-bundle. Тоже открываем его в текстовом редакторе, копируем его содержимое и переходим в админпанель хостинга, что бы его вставить. Точно так же удаляем в конце лишние пробелы и переносы и нажимаем кнопку «Ок».
- 9.Теперь можно попробовать подключить сертификат к домену. Переходим в раздел «WWW-домены» либо если у вас другая панель управления, возможно, этот пункт будет по-другому называться.
- 10.Сейчас нам нужно открыть для редактирования тот домен, к которому мы будем подключать SSL-сертификат.
- 11.Нажимаем здесь «Изменить» и ставим галочку «SSL».
- 12.Далее появляется список, из которого необходимо выбрать нужный SSL-сертификат. В моем случае это «ssl-impuls-web».
- 13.Нажимаем «Ок» и после этого у нас рядом с названием домена появился значок «SSL».
Проверка работы SSL-сертификата
Теперь мы можем проверить, доступен ли наш сайт по протоколу HTTPS. Для этого переходим на сайт и в адресной строке перед именем сайта вписываем «https://» и нажимаем Enter.
Итак, мы видим, что наш сайт теперь доступен по защищенному протоколу. Единственное, вместо зеленого замочка в адресной строке показывается серый с восклицательным знаком. Если мы кликнем по нему, то увидим сообщение о том что используется не защищенное соединение, части этой страницы, такие как изображения, не защищены.
О чем это говорит? Это говорить о том, что на этой странице есть одна или несколько картинок, для которых ссылка по прежнему установлена по протоколу http. То есть, это, скорее всего, какая-то абсолютная ссылка, которая автоматически не изменилась после перехода сайта на HTTPS.
Поиск и исправление ошибок
Для того, что бы вычислить, что это за изображение, где оно находится, и как можно исправить его ссылку мы можем, прежде всего, открыть наш сайт в браузере Google Chrome и затем на клавиатуре нажать на кнопку F12 на клавиатуре. Откроется инструмент для веб-разработчиков и здесь нам нужно перейти на вкладку «Консоль».
Здесь мы видим изображения, которые, по-прежнему, имеют адрес http. Для того что бы лучше понять, что это за изображения, мы можем просто кликнуть по этой ссылке, что бы оно у нас открылось.
Исходя из этого, можно понять, что это за изображение и где оно находится.
Таким образом вам нужно пересмотреть все страницы сайта и по исправлять пути к изображениям, которые начинаются с http.
Можно просто убрать адрес сайта из пути к картинке и получить относительный адрес.
Например, было:
//impuls-web.ru/wp-content/uploads/2015/11/site-vizitka.jpg
Стало:
/wp-content/uploads/2015/11/site-vizitka.jpg
Таким образом, нужно просмотреть все страницы своего сайта, что бы убедится в том, что на них нет никаких скриптов, изображений или каких-либо еще медиа файлов с абсолютными адресами.
Если ваш сайт работает на WordPress, то вам нужно перейти в раздел «Настройки» => «Общие» и в полях «Адрес WordPress (URL)» и «Адрес e-mail» исправить http на https. Это поможет вам избежать некоторых проблем со слайдерами, галереями и другими плагинами, в которых атрибуты src формируются автоматически.
На что обратить внимание?
Теперь сайт доступен и по ссылке, которая начинается с http и по ссылке, которая начинается по https. То есть, по сути, ваш сайт имеет два адреса. Если по какому-то из этих адресов ваш сайт не доступен, то значить в процессе установки сертификата вы допустили какую-то ошибку, и нужно срочно с этим разбираться.
Следующее, на что вы должны обратить внимание, это как раз вот этот зеленый значок, который должен гореть зеленым.
Если он горит у вас серым, и имеется восклицательный знак, значит либо вы что-то настроили не правильно, либо на странице вашего сайта присутствуют скрипты, изображения или медиа файлы, имеющие абсолютный путь или же на вашей странице подгружаются скрипты или изображения с какого-то стороннего ресурса, который не имеет SSL-сертификата.
Так же обращаю ваше внимание на то, что для большинства посетителей ваш сайт будет доступен по-прежнему протоколу HTTP, и из поисковой выдачи все посетители будут переходить на ваш сайт по протоколу HTTP. То есть их нужно будет перенаправлять на адрес, который начинается на https.
Однако, прежде, чем вы настроите перенаправление, я вам советую сначала добавить ваш сайт с адресом https в панель Яндекс.Вебмастер и Google вебмастер, убедиться в том, что Яндекс склеил эти два адреса, и понял что это один и тот же сайт, и только после этого уже осуществлять настройку перенаправления. В противном случае Яндекс будет считать, что это два абсолютно разных сайта, и в дальнейшем у вас могут быть проблемы с индексированием или с понижением вашего сайта в поисковой выдаче.
Так же, если вы на своем сайте использовали какие-либо онлайн-сервисы, например, службы рассылки или счетчики посещаемости, то на сайте с https все эти сервисы будут не доступны. Потому, что у них в настройках указан адрес сайта с http. То есть, вам это все нужно будет вручную изменить на новый адрес сайта.
Если же ваш сайт совсем новый и поисковые системы еще не успели его проиндексировать, то вы можете настраивать редирект сразу же. В следующей статье мы займемся добавлением нашего сайта, доступного, по протоколу HTTPS в панель Яндекс.Вебмастера и Google вебмастера, а так же я покажу вам как настроить редирект.
Видеоинструкция
На этом у меня все. Если статья была для вас полезной, подписывайтесь на мою рассылку и делитесь статьей в социальных сетях. До встречи в следующих статьях!
С уважением Юлия Гусарь
Как выпустить самоподписанный SSL сертификат и заставить ваш браузер доверять ему
Все крупные сайты давно перешли на протокол https. Тенденция продолжается, и многие наши клиенты хотят, чтобы их сайт работал по защищенному протоколу. А если разрабатывается backend для мобильного приложения, то https обязателен. Например, Apple требует, чтобы обмен данными сервера с приложением велся по безопасному протоколу. Это требование введено с конца 2016 года.
На production нет проблем с сертификатами. Обычно хостинг провайдер предоставляет удобный интерфейс для подключения сертификата. Выпуск сертификата тоже дело не сложное. Но во время работы над проектом каждый разработчик должен позаботиться о сертификате сам.
В этой статье я расскажу, как выпустить самоподписанный SSL сертификат и заставить браузер доверять ему.
Чтобы выпустить сертификат для вашего локального домена, понадобится корневой сертификат. На его основе будут выпускаться все остальные сертификаты. Да, для каждого нового top level домена нужно выпускать свой сертификат. Получить корневой сертификат достаточно просто.
Сначала сформируем закрытый ключ:
openssl genrsa -out rootCA.key 2048
Затем сам сертификат:
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
Нужно будет ввести страну, город, компанию и т.д. В результате получаем два файла: rootCA.key и rootCA.pem
Переходим к главному, выпуск самоподписанного сертификата. Так же как и в случае с корневым, это две команды. Но параметров у команд будет значительно больше. И нам понадобится вспомогательный конфигурационный файл. Поэтому оформим все это в виде bash скрипта create_certificate_for_domain.sh
Первый параметр обязателен, выведем небольшую инструкцию для пользователя.
if [ -z "$1" ]
then
echo "Please supply a subdomain to create a certificate for";
echo "e.g. mysite.localhost"
exit;
fi
Создадим новый приватный ключ, если он не существует или будем использовать существующий:
if [ -f device.key ]; then
KEY_OPT="-key"
else
KEY_OPT="-keyout"
fi
Запросим у пользователя название домена. Добавим возможность задания “общего имени” (оно используется при формировании сертификата):
DOMAIN=$1
COMMON_NAME=${2:-$1}
Чтобы не отвечать на вопросы в интерактивном режиме, сформируем строку с ответами. И зададим время действия сертификата:
SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
NUM_OF_DAYS=999
В переменной SUBJECT перечислены все те же вопросы, который задавались при создании корневого сертификата (страна, город, компания и т.д). Все значение, кроме CN можно поменять на свое усмотрение.
Сформируем csr файл (Certificate Signing Request) на основе ключа. Подробнее о файле запроса сертификата можно почитать в этой статье.
openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr
Формируем файл сертификата. Для этого нам понадобится вспомогательный файл с настройками. В этот файл мы запишем домены, для которых будет валиден сертификат и некоторые другие настройки. Назовем его v3.ext. Обращаю ваше внимание, что это отдельный файл, а не часть bash скрипта.
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = %%DOMAIN%%
DNS.2 = *.%%DOMAIN%%
Да, верно, наш сертификат будет валидным для основного домена, а также для всех поддоменов. Сохраняем указанные выше строки в файл v3.ext
Возвращаемся в наш bash скрипт. На основе вспомогательного файла v3.ext создаем временный файл с указанием нашего домена:
cat v3.ext | sed s/%%DOMAIN%%/$COMMON_NAME/g > /tmp/__v3.ext
Выпускаем сертификат:
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext
Переименовываем сертификат и удаляем временный файл:
mv device.csr $DOMAIN.csr
cp device.crt $DOMAIN.crt
# remove temp file
rm -f device.crt;
Скрипт готов. Запускаем его:
./create_certificate_for_domain.sh mysite.localhost
Получаем два файла: mysite.localhost.crt и device.key
Теперь нужно указать web серверу пути к этим файлам. На примере nginx это будет выглядеть так:
Запускаем браузер, открываем https://mysite.localhost и видим:
Браузер не доверяет этому сертификату. Как быть?
Нужно отметить выпущенный нами сертификат как Trusted. На Linux (Ubuntu и, наверное, остальных Debian-based дистрибутивах) это можно сделать через сам браузер. В Mac OS X это можно сделать через приложение Keychain Access. Запускаем приложение и перетаскиваем в окно файл mysite.localhost.crt. Затем открываем добавленный файл и выбираем Always Trust:
Обновляем страницу в браузере и:
Успех! Браузер доверяет нашему сертификату.
Сертификатом можно поделиться с другими разработчиками, чтобы они добавили его к себе. А если вы используете Docker, то сертификат можно сохранить там. Именно так это реализовано на всех наших проектах.
Делитесь в комментариях, используете ли вы https для локальной разработки?
Максим Ковтун,
Руководитель отдела разработки
Установка SSL-сертификата на хостинг RU-CENTER
Если вы получили SSL-сертификат рамках нашей акции «SSL-сертификат в подарок», то его установка на хостинг производится в автоматическом режиме. Дополнительные действия для установки сертификата не потребуются.
Если у вас еще нет SSL-сертификата, вы можете заказать его в RU-CENTER.
1.1. На странице www.nic.ru зайдите в Раздел для клиентов, указав номер договора и пароль.
1.2. Выберите в меню пункт Услуги → SSL-сертификаты.
1.3. Перейдите по ссылке с названием сертификата.
1.4. На открывшейся странице скачайте Корневой сертификат, все промежуточные сертификаты и сертификат для вашего домена.
2.1. В разделе Для клиентов выберите в меню пункт Услуги → Хостинг, почта, конструктор сайтов.
2.2. Перейдите к управлению хостингом.
2.3. В панели управления хостингом перейдите в раздел Сайты → Ваш_сайт → Безопасность и активируйте слайдер Включить защищённое HTTPS-соединение. Затем нажмите на кнопку Установить.
2.4. Скопируйте содержимое сохраненных ранее файлов приватного ключа, SSL-сертификата вашего домена в соответствующие поля.
При копировании необходимо убедиться в наличии пяти тире по обе стороны от BEGIN и END. В секретном ключе не должно быть лишних пробелов, разрывов строк или дополнительных символов, которые непреднамеренно были добавлены.
Если у вашего сертификата несколько промежуточных сертификатов, то необходимо загрузить их по очереди, нажав на кнопку Добавить промежуточный сертификат. Корневой сертификат должен быть загружен последним.
Если приватный ключ защищен паролем, введите его в соответствующее поле и нажмите кнопку Установить.
2.5. Установка завершена. Проверьте доступность сайта по протоколу HTTPS через несколько минут, обратившись к нему по адресу https://ваш_домен.
3.1. Чтобы настроить перенаправление всех запросов с протокола HTTP на HTTPS добавьте в файл .htaccess следующие директивы:
RewriteEngine On
RewriteCond %{ENV:HTTPS} !on
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Подробнее о настройке файла .htaccess.
3.2. Если после настройки перенаправления сайт отображается некорректно, то это может быть связано с наличием смешанного контента (Mixed Content).
В этом случае часть содержимого загружается на страницу сайта по небезопасному протоколу HTTP вместо HTTPS, что не позволяет считать страницу сайта полностью безопасной. Как правило, это можно исправить методом замены абсолютных ссылок на относительные. В некоторых случаях может помочь включение HTTPS в настройках вашей CMS.
По данному вопросу рекомендуем проконсультироваться с разработчиком сайта или обратиться к документации по CMS.
Как установить SSL-сертификат на хостинг. Пошаговая инструкция с картинками
Один из самых популярных вопросов у начинающих веб-мастеров — Как установить SSL-сертификат на сайт, который находится на хостинге. На самом деле нет ничего проще, если вы клиент ProfitServer. В этом случае все почти автоматизировано, а вам остается лишь выполнить несколько простых действий для установки SSL-сертификата на хостинг.
Итак, надеемся, что SSL-сертификат у вас уже есть. А если его нет, то вот инструкция, как заказать SSL-сертификат на свой сайт. Если вы сертификат уже заказали, то читайте дальше и ставьте ваш SSL на хостинг. Это очень просто. Для начала необходимо авторизоваться в биллинг панели, по адресу https://members.pssrv.ru
1. Если вы приобрели сертификат у ProfitServer, то войдите в панель биллинга, выберите раздел «SSL-сертификаты». Далее скачайте на свой ПК файлы сертификата и секретный ключ. По ссылке «сертификат» скачается архив в котором находится файл сертификата и три файла цепочки сертификатов.
Если сертификат был приобретен у другого провайдера, то скачайте необходимые файлы у него.
2. Заходим в панель управления хостингом, раздел SSL-сертификаты и нажимаем кнопку «Создать», выбираем «Существующий» и нажимаем «Далее»
3. В открывшемся окне необходимо указать имя сертификата и заполнить текстовые поля содержимым файлов сертификатов. Файлы открываются в текстовом редакторе и содержимое просто копируется. В поле «Цепочка сертификатов» последовательно вставляется содержимое всех трех файлов цепочки. После того, как все данные перенесли в нужные поля, нажимаем кнопку Завершить.
4. Далее переходим в раздел «WWW-домены», выбираем домен, для которого создан сертификат и нажимаем «Изменить»
5. В свойствах домена включаем защищенное соединение и выбираем из выпадающего списка сертификат, созданный на предыдущем шаге.
Остается только нажать OK и ваш SSL-сертификат установлен!
Apache ssl: настройка https на веб-сервере Apache
Настройка HTTPS на Apache и установка SSL необходима, чтобы обеспечить защиту данных пользователей на вашем веб-сайте. В инструкции ниже описана установка SSL-сертификата Comodo, GlobalSign и других, предоставляемых REG.RU, и установка SSL, заказанных в других компаниях.
Активный SSL-сертификат
Перед установкой SSL-сертификата от REG.RU перейдите к списку услуг и убедитесь, что услуга SSL-сертификата активна (значок зелёного цвета):
Если услуга SSL не активна, активируйте SSL-сертификат.
Установка SSL
После выпуска SSL на ваш контактный e-mail придёт письмо с данными для его установки, это:
- сам сертификат;
- корневой сертификат;
- промежуточный сертификат.
Приватный ключ обычно генерируется при заказе SSL и сохраняется на ваш локальный ПК.
Установка на Ubuntu/Debian
Перед установкой SSL на Ubuntu/Debian необходимо включить модуль mod_ssl с помощью команды: a2enmod ssl
.
Чтобы установить SSL:
-
1.Создайте на вашем сервере в каталоге /etc/ssl/ файлы domain_name.crt, private.key и chain.crt со следующим содержимым:
- domain_name.crt — сам сертификат;
- private.key — приватный ключ;
- chain.crt — цепочка сертификатов, которая содержит сначала промежуточный сертификат и следом за ним корневой (с новой строки без пробелов и пустых строк).
-
2.Откройте файл конфигурации Apache. В зависимости от особенностей вашего сервера этот файл находится по одному из следующих адресов:
- для CentOS: /etc/httpd/conf/httpd.conf;
- для Debian/Ubuntu: /etc/apache2/apache2.conf;
- если вы устанавливаете SSL-сертификат на OpenServer, используйте путь к его корневой папке.
В конце файла создайте копию блока «VirtualHost». Укажите для блока порт 443 и добавьте внутри него строки:
SSLEngine on SSLCertificateFile /etc/ssl/domain_name.crt SSLCertificateKeyFile /etc/ssl/private.key SSLCertificateChainFile /etc/ssl/chain.crt
Внимание! Для версий Apache, начиная с 2.4.8, последнюю строку добавлять не нужно.
Пример конфигурационного файла:
-
3.Проверьте конфигурацию Apache до перезапуска командой:
apachectl configtest
-
4.
Перезапустите Apache.
Готово, вы настроили SSL-сертификат. Теперь настройте переадресацию для вашего сайта.
Настройка HTTPS на Apache
После установки SSL настройте редирект с HTTP на HTTPS. Редирект для Apache настраивается через файл .htaccess.
Чтобы осуществить переадресацию добавьте в конце файла .htaccess следующие строки:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
Подробнее про редирект через .htaccess вы можете узнать в статье: Редирект через .htaccess.
Проверка установленного SSL
Вы можете проверить корректность установки SSL-сертификата по инструкции: Как проверить правильность установки SSL-сертификата?
Если у вас возникли сложности с установкой SSL-сертификата, вы можете написать заявку в службу поддержки, и наши специалисты вам помогут.
Помогла ли вам статья?
116
раз уже
помогла
Настройка SSL сертификата в Vesta CP
Создание самоподписанного сертификата с помощью openssl.
Сгенерировать самоподписанный сертификат:
$ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -nodes -days 365 -subj '/CN=localhost'
Опции, которые во время создания самоподписанного сертификата, вы возможно захотите изменить:
Опция | Описание |
---|---|
-newkey rsa:4096 | Создать 4096-битный RSA ключ. |
-keyout key.pem | Сохранить ключ в файл key.pem. |
-out cert.pem | Сохранить сертификат в файл cert.pem. |
-nodes | Не защищать приватный ключ паролем. |
-days 365 | Количество дней валидности сертификата. |
-subj ‘/CN=localhost’ | Используйте эту опцию, чтобы избежать вопросов о содержимом сертификата. Замените localhost на доменное имя. |
Настройка SSL сертификата в VestaCP
Для настройки SSL сертификата переходим во вкладку «WEB»
Нажимаем кнопку «Редактировать» на нужном сайте.
В новом окне находим пункт «Поддержка SSL» вводим данные от сертификата который создали с помощью openssl или создайте новый запрос как описано ниже.
При оформлении заказа на получение сертификата, нужно «Сгенерировать CSR запрос» для этого откроется новое окно, в котором нужно будет ввести данные по своему домену.
вы получите три переменные.
- SSL CSR запрос
- SSL сертификат
- Ключ SSL сертификата
Данные из поля SSL CSR необходимо вставить при покупке сертификата, в этом сертификате хранится имя вашего доменного имени.
После успешной верификации домена, телефона (в зависимости от типа ssl-сертификата) на почту вы получите архив с 4-мя файлами. На примере Comodo Security Services:
- domain_com.crt
- AddTrustExternalCARoot.crt
- COMODORSAAddTrustCA.crt
- COMODORSADomainValidationSecureServerCA.crt
Данные ssl-сертификации необходимо открыть в notepad и последовательно добавить содержимое файлов на странице редактирования домена:
- SSL сертификат → вставляем код из файла domain_com.crt
- Ключ SSL сертификата → вставляем код, который был сгенерирован нами при нажатии на ссылку «Сгенерировать CSR запрос»
- Центр сертификации SSL / Intermediate -> вставляем код из AddTrustExternalCARoot.crt, COMODORSAAddTrustCA.crt, COMODORSADomainValidationSecureServerCA.crt.
Сохраняем изменения.
Осталось только прописать редиректы с http на https в файле .htaccess в директории вашего сайта, добавляем в него строчки:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
На этом все, теперь у вас будет работать https
Проверить корректность установки сертификата Вы можете с помощью данного сервиса.
Как установить положительный сертификат SSL на веб-сайт?
1. Сначала перейдите на панель управления сертификатами SSL. Выберите «SSL-сертификаты» в меню « Services ».
2. Добавьте новый сертификат, нажав синюю кнопку « Добавить сертификат » или оранжевую кнопку « Получить сертификат », если у вас еще нет сертификатов.
3. Заполните все поля генератора CSR своими данными и нажмите кнопку « Generate ».Если вы уже сгенерировали свой CSR, нажмите зеленую кнопку « Уже есть CSR », введите его и нажмите кнопку « Прочтите мой CSR ».
ИЛИ
4. Убедитесь, что все правильно, и нажмите кнопку « Подтвердить и применить CSR ».
5. Выберите, какой адрес электронной почты вы хотите использовать для получения проверочного письма COMODO.
6.После этого вы снова будете перенаправлены на вашу панель управления CleanTalk SSL. Нажмите кнопку « Checkout », чтобы приобрести созданный сертификат.
7. Выберите валюту в раскрывающемся меню над таблицей и произведите платеж.
8. Проверьте свой почтовый ящик, откройте письмо и следуйте инструкциям, отправленным вам COMODO. После успешной проверки статус в вашей Панели управления CleanTalk будет изменен на « Active ».Ваш SSL-сертификат готов к использованию.
9. Настройте свой веб-сервер. Инструкции по установке для Nginx и Apache см. Ниже.
>>> Обратите внимание на следующую информацию:
>>> Если вы используете виртуальный хостинг и у вас нет доступа к командной строке веб-сервера, вы можете обратиться в службу поддержки хостинга, и они установят для вас сертификат.
>>> Некоторые хостинг-провайдеры могут взимать дополнительную плату за установку SSL-сертификата .
>>> Или вы можете установить сертификат SSL самостоятельно, используя страницу справки хостинг-провайдера.
>>> Как установить SSL-сертификат на ваш хостинг.
Веб-сервер Nginx
Объедините все для nginx:
1. Объедините файлы crt в связку (здесь важен порядок):
кошка www_example_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt> ssl-bundle.crt
2. Храните пакет там, где nginx ожидает его найти:
mkdir -p / etc / nginx / ssl / example_com /
mv ssl-bundle.crt / etc / nginx / ssl / example_com /
3. Убедитесь, что ваш закрытый ключ находится где-нибудь, где nginx также может его прочитать:
mv example_com.ключ / etc / nginx / ssl / example_com /
4. Убедитесь, что ваша конфигурация nginx указывает на правильный файл сертификата и закрытый ключ, который вы создали ранее:
сервер {
слушать 443; ssl включен;
ssl_certificate /etc/nginx/ssl/example_com/ssl-bundle.crt;
ssl_certificate_key /etc/nginx/ssl/example_com/example_com.key; # примечание: используйте только TLS, так как SSLv2 и SSLv3 недавно имели уязвимости
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # ... }
5. Перезапустите nginx.
Веб-сервер Apache
Apache в Ubuntu 14.04.
Сделайте резервную копию файла конфигурации, скопировав его. Предполагая, что ваш сервер работает в файле конфигурации виртуального хоста по умолчанию, /etc/apache2/sites-available/000-default.conf , используйте эти команды для создания копии:
cd / etc / apache2 / sites-available
cp 000-default.conf 000-default.conf.orig
Затем откройте файл для редактирования:
Найдите запись и измените ее, чтобы ваш веб-сервер прослушивал порт 443:
Затем добавьте директиву ServerName , если она еще не существует (укажите здесь свое доменное имя):
Затем добавьте следующие строки, чтобы указать пути к сертификату и ключу (замените здесь свои фактические пути):
SSLEngine на
SSLCertificateFile / home / sammy / example.com.crt
SSLCertificateKeyFile /home/sammy/example.com.key
Если вы используете Apache 2.4.8 или выше, укажите промежуточный пакет CA, добавив эту строку (подставьте путь):
SSLCACertificateFile /home/sammy/intermediate.crt
Если вы используете более старую версию Apache, укажите промежуточный пакет CA в этой строке (замените путь):
SSLCertificateChainFile / главная / самми / промежуточный.crt
На этом этапе ваш сервер настроен на прослушивание только HTTPS (порт 443), поэтому запросы к HTTP (порт 80) не будут обслуживаться. Чтобы перенаправить HTTP-запросы на HTTPS, добавьте в начало файла следующее (замените имя в обоих местах):
ServerName example.com
Постоянное перенаправление / https://example.com/
Сохраните и выйдите.
Включите модуль Apache SSL, выполнив эту команду:
Теперь перезапустите Apache, чтобы загрузить новую конфигурацию и включить TLS / SSL через HTTPS!
sudo service apache2 перезапуск
Проверьте это, зайдя на свой сайт через HTTPS, например.г. https://example.com
Вы также можете попробовать подключиться через HTTP, например http://example.com , чтобы убедиться, что перенаправление работает правильно!
Источники:
https://gist.github.com/bradmontgomery/6487319#install-the-commodo-ssl-cert
https://www.digitalocean.com/community/tutorials/how-to-install-an-ssl-certificate-from-a-commercial-certificate-authority#install-certificate-on-web-server
Как установить SSL-сертификат на хостинг
Есть ссылки на руководства хостинг-провайдеров, которые помогут вам установить сертификат SSL:
.
Узнайте, как установить SSL-сертификат Comodo на WHM / Cpanel
- О нас
- Почему выбирают нас?
- Политика возврата
- Политика конфиденциальности
- Заявление об ограничении ответственности
- Свяжитесь с нами
- Обзоры SSL
- Продлений
- Продлите мой сертификат с истекшим сроком действия СЕЙЧАС!
- Когда мне нужно продлить сертификат?
- Как мне продлить сертификат?
- Сохраню ли я тот же сертификат?
- Почему мне нужно продлевать SSL-сертификат?
- Поддержка
- Отправить билет
- База знаний
- Купить установку
- Как работает SSL
- FAQ
- Глоссарий
- Гарантия соответствия цены
- SSL-видео
- Кредит / возврат
- Запрос цен
- SHA-1 Прекращение действия
- ресурса
- Инструменты SSL
- Сравнить сертификаты SSL
- Процесс проверки SSL
- Блог
- Войти
- Бренды SSL
- SSL-бренды
- Comodo SSL
- Мгновенный SSL
- Положительный SSL
- Основной SSL
- Корпоративный SSL
- Все сертификаты SSL
- Типы SSL
- Типы SSL
- EV
- ОВ
- DV
- Подстановочный знак
- Многодоменный
- SAN SSL
- Многодоменный подстановочный знак
- Один домен
- Подпись кода
- Подпись кода
- Подписание кода Comodo
- Подпись кода Comodo EV
- Подпись индивидуального кода Comodo
- Подпись кода Microsoft Authenticode
- Подпись кода Windows 8 и 10
- Подписание кода Adobe AIR
- Подписание кода Microsoft Office и VBA
- Подписание кода Java
- Подпись кода Mozilla
- Подписание кода Microsoft Silverlight
- Веб-безопасность
- Веб-безопасность
- Центр управления сканированием PCI HackerGuardian
- Знак хакерского доверия
- Сканирование PCI Enterprise Edition
- CodeGuard
- Электронная почта и идентификатор
.
Как установить сертификат SSL на Android
- О нас
- Почему выбирают нас?
- Политика возврата
- Политика конфиденциальности
- Заявление об ограничении ответственности
- Свяжитесь с нами
- Обзоры SSL
- Продлений
- Продлите мой сертификат с истекшим сроком действия СЕЙЧАС!
- Когда мне нужно продлить сертификат?
- Как мне продлить сертификат?
- Сохраню ли я тот же сертификат?
- Почему мне нужно продлевать SSL-сертификат?
- Поддержка
- Отправить билет
- База знаний
- Купить установку
- Как работает SSL
- FAQ
- Глоссарий
- Гарантия соответствия цены
- SSL-видео
- Кредит / возврат
- Запрос цен
- SHA-1 Прекращение действия
- ресурса
- Инструменты SSL
- Сравнить сертификаты SSL
- Процесс проверки SSL
- Блог
- Войти
- Бренды SSL
- SSL-бренды
- Comodo SSL
- Мгновенный SSL
- Положительный SSL
- Основной SSL
- Корпоративный SSL
- Все сертификаты SSL
- Типы SSL
- Типы SSL
- EV
- ОВ
- DV
- Подстановочный знак
- Многодоменный
- SAN SSL
- Многодоменный подстановочный знак
- Один домен
- Подпись кода
- Подпись кода
- Подписание кода Comodo
- Подпись кода Comodo EV
- Подпись индивидуального кода Comodo
- Подпись кода Microsoft Authenticode
- Подпись кода Windows 8 и 10
- Подписание кода Adobe AIR
- Подписание кода Microsoft Office и VBA
- Подписание кода Java
- Подпись кода Mozilla
- Подписание кода Microsoft Silverlight
- Веб-безопасность
- Веб-безопасность
- Центр управления сканированием PCI HackerGuardian
- Знак хакерского доверия
- Сканирование PCI Enterprise Edition
- CodeGuard
.