Как установить ssl сертификат на сервер: Установка SSL сертификата: пошаговая инструкция

Как установить SSL сертификат на сервер (Apache)

SSL-сертификаты применяются для обеспечения безопасного соединения и передачи данных в зашифрованном виде.

Сертификаты выдаются сертификационными центрами и представляют собой файл сертификата, выпущенного для определенного доменного имени, и приватного ключа.

Также необходимы промежуточные сертификаты в случае если файлы, упомянутые ранее, были сгенерированы не корневым центром сертификации.

Также возможно использование сертификатов, сгенерированных самостоятельно на Linux сервере. Однако, браузер пользователя при доступе к сайту в этом случае будет выдавать предупреждение о недоверенном сертификате.

SSL сертификаты чаще всего устанавливаются на веб- и почтовые сервера. В рамках данного материала будет рассмотрена установка сертификата на веб-сервер Apache для обеспечения возможности работы сайта по защищенному протоколу https

Как установить ssl сертификат на сервер Apache:

1. Чтобы установить на сервер сертификат необходимо подключиться к нему по протоколу SSH от имени пользователя root;

2. Файлы сертификатов могут размещаться в любом каталоге, часто их размещают в  /etc/apache2/ssl.

Переходим в /etc/apache2 и создаем директорию

cd /etc/apache2

mkdir ssl

3.Создаем файлы сертификата, приватного ключа и промежуточного сертификата и помещаем в них содержимое аналогичных файлов, полученных от центра сертификации (или сгенерированных на сервере)

mcedit /etc/apache2/ssl/example.com.crt

Содержимое сертификата выглядит примерно следующим образом:

——BEGIN CERTIFICATE——
MIIFEDCCA/igAwIBAgISA+1wB7/BBdk7NHpvkfWRpapqMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzAxMjkwNjEwMDBaFw0x
NzA0MjkwNjEwMDBaMCExHzAdBgNVBAMTFnJlbW90ZS10ZWNoLXN1cHBvcnQucnUw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQChoT+eOaGZXNtkoPLe6BNJ
d2gQqeTP1n8n2GRcJE7gKgduglfs1YfvE3CtoMYEm6veKKvVKE8AGox0USUPuM8S
——END CERTIFICATE——

SHIFT+INS чтобы вставить содержимое
F2 чтобы сохранить
Выходим нажимая ESC

Аналогичным образом создаем файл приватного ключа

mcedit /etc/apache2/ssl/example.com.key

Пример содержимого файла:
——BEGIN PRIVATE KEY——
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQChoT+eOaGZXNtk
oPLe6BNJd2gQqeTP1n8n2GRcJE7gKgduglfs1YfvE3CtoMYEm6veKKvVKE8AGox0
USUPuM8SRDeo4kJ7tAaQC1Ss8B6Dj57EKTJ+Jw+m+SzJEyfs3inAmrwKhR1KjRUe
SzsEgsralTZSK1uvoxPaKTsqPshs5oK3ZeTwzIR+keHbQUkxNyhKEM4j+dOFrykb
NLkJDABDzknmjodTr6fEgA5D99AAj/aWxaaOch8NxLQS60EasgdGFhIBZ/xACNdM
zIP3mn5WValj5yBOeX61f2qy0jy8RcwHMJbiA3IEw6oVVi+iTO6kgHrwhULCWJ8T
——END PRIVATE KEY——

Добавляем промежуточный сертификат, подтверждающий корректность цепочки

mcedit /etc/apache2/ssl/intermediate.crt

Пример промежуточного сертификата:
——BEGIN CERTIFICATE——
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
——END CERTIFICATE——

4. Что того чтобы работа веб-сервера по защищенному соединению необходимо, что был включен модуль apache2 SSL

Просмотреть включен ли модуль можно выполнив следующую команду:

apache2ctl -M | grep ssl

Если вывод не пустой — модуль активирован. Если в выводе ничего нет включаем модуль:

a2enmod ssl

После выполнения команды появляется сообщение «Enabling module ssl».

5. Переходим в каталог, в котором размещаются конфигурационные файлы сайтов — cd /etc/apache2/sites-available и находим конфигурационный файл сайта, подключение к которому по https настраиваем — в данном случае — example.com.conf

6. Создаем копию конфигурационного файла сайта и вносим в него коррективы

cp example.com.conf ssl-example.com.conf

6.1 В строке VirtualHost указываем порт по которому будет осуществляться подключение при работе по https — меняем 80 (значение для http) на 443

6.2 В качестве ServerName указываем имя сайта example.com

6.3 Приводим файл к следующему виду, указывая в нем полные пути к сертификату, приватному ключу и сертификату промежуточному SSLCertificateFile SSLCertificateKeyFile и SSLCACertificateFile

ServerAdmin [email protected]
ServerSignature On
ServerName example.com
AddDefaultCharset utf-8
CustomLog /var/log/apache2/logs/example.com/access.log combined
LogLevel error
SuexecUserGroup user user
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/example.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/example.com.key
SSLCACertificateFile /etc/apache2/ssl/intermediate.crt
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2 SSLCompression off

SSLHonorCipherOrder on

DocumentRoot «/home/admin/example.com/www/»
……

7. Активируем сайт:

a2ensite ssl-example.com.conf

Фактически при выполнении команды создается символьная ссылка /etc/apache2/sites-availible/ssl-example.com.conf /etc/apache2/sites-enabled/

8. Перезапускаем веб-сервер для того чтобы изменения вступили в силу:

service apache2 restart

или (если сервис работает под runit)

sv t apache2

9. Проверяем статус

service apache2 status

или

sv s apache2

Если никаких ошибок не наблюдается — можно проверять доступность сайта по https. Также следует проверить корректность установки сертификата при помощи одного из онлайн-сервисов, предоставляющих подобную возможность.

На этом с вопросом о том, как установить SSL сертификат на сервер все.

Читайте также про установку для Nginx

Как установить SSL сертификат на свой веб-сервер (Apache2, Nginx)

В этом посте пойдёт речь как установить SSL сертификат на свой веб сервер через isp manager и напрямую через apache2 или nginx. Так же в этом посте будет рассмотрен способ и сайт для генерации бесплатного SSL сертификата длительностью на 1 ГОД! Подробности под катом.
Как установить SSL сертификат
SSL сертификаты обеспечивают защиту от прослушивания информации между клиентом и сервером в Интернете.

Устанавливая SSL сертификат на ваш сайт, вы поднимете продажи вашего сайта и обезопасите ваших клиентов.

Для установки SSL Сертификата необходимо:

1. купить отдельный айпи адрес для вашего сайта.
   2. получить SSL Сертификат
2. сохранить закрытый ключ при генереации SSL Сертификата, начинается с (——BEGIN RSA PRIVATE KEY——)

Установка SSL Сертификата — ISPMANAGER

1. выделите для домена отдельный ip адрес
2. в настройках домена добавьте доступ по протоколу SSL порт 443
3. в меню SSL Сертификаты создать существующий сертификат
4. в поле «Ключ»; необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
5. с поле «Сертификат»; необходимо добавить сертификат который пришел на email начинается с ——BEGIN CERTIFICATE——
6. в поле «Цепочка сертификатов»; необходимо добавить цепочку сертификатов обычно называется файл bundle, но может и не быть. Зависит от конкретной ситуации

Установка SSL Сертификата — APACHE 2

1. выделите для домена отдельный ip адрес
2. скомпилируйте apache с поддержкой ssl
3. добавить в apache конфиг в разделе server virtualhost с портом 443:

NameVirtualHost ваш ip:443
<VirtualHost ваш ip:443>
    ServerName ваш ip:443
    ServerAlias www.вашдомен.com:443
    SSLEngine on
    SSLCertificateFile /путь/cert.crt
    SSLCertificateKeyFile /путь/cert.key
    SSLCACertificateFile /путь/cert.bundle
</VirtualHost>

4. в файл cert.key необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
5. в файл cert.crt необходимо добавить сертификат который пришел на почту начинается с ——BEGIN CERTIFICATE——
6. в файл cert.bundle необходимо добавить цепочку сертификатов обычно называется файл bundle

Установка SSL Сертификата — NGINX

1. выделите для домена отдельный ip адрес
2. скомпилируйте nginx с поддержкой ssl ./configure —with-http_ssl_module
3. добавить в nginx конфиг в разделе server следующие строки:

listen 443 default ssl;
ssl_certificate /путь/ssl/cert.pem;
ssl_certificate_key /путь/ssl/cert.key;
ssl_client_certificate /home/ssl/cert.pem;
ssl_verify_client off;
ssl_ciphers ECDHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:DES-CBC3-SHA;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;

4. в файл cert.key необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
5. в файл cert.pem необходимо добавить сертификат который пришел на почту начинается с ——BEGIN CERTIFICATE—— и добавить цепочку сертификатов обычно называется файл bundle

Это то что касается именно установки сертификата. Но вы спросите где его взять? Рассказываю как я получил сертификат сроком на 1 год для 1 домена бесплатно, причём этот сертификат считается доверенным, т.к. официальным и браузеры его принимают на ура!

Для начала перейдём на сайт https://www.startssl.com/ и там регистрируемся, для начала нажмём на фри сертификат, введём свои данные (имя фамилия, адрес проживания, телефон, почта).

На эту почту вам придёт код активации, вы его вводите, потом вводите домен, для которого хотите получить сертификат. Указываете почту администратора (создайте на вашем сервере почту с адресом из предложенных на их сайте, я создал у себя webmaster).

На эту почту вам придёт код, который нужно ввести в следующую форму, это необходимо чтоб подтвердить административный доступ к своему серверу.

После этого вы получите 2 файла, crt и key. Для того чтобы установить ключи на свой сервер через isp manager зайдите в раздел tools на сайте старт ссл, там выберите раскодирование файла ключа, откройте файл формата key в блокноте, скопируйте его содержимое  и вставьте в большое поле, ниже введите пароль от этого ключа, который вы указали на этапе его формирования. на выходе вы получите раскодированный текст. Используйте его в качестве рса ключа в isp manager, там же введите пароль к этому ключу, который вы уже указывали ранее.

Перезапустите сервер на всякий случай и попробуйте открыть в браузере https адрес вашего сайта. Если у вас не будет ошибок сертификата — значит всё супер 🙂

Установка SSL сертификата на сайт, CMS, сервер

1. Объединение файла сертификата с файлом цепочки сертификатов УЦ (промежуточный и корневой)

В Windows среде

Создайте копию файла сертификата domain.crt и откройте его обычным Блокнотом. Так же с помощью Блокнота откройте файл цепочки ca.crt сертификатов УЦ и вставьте его содержимое в файл сертификата ниже строки «——END CERTIFICATE——«. Сохраните полученный файл с именем domain+ca.crt

Скопируйте файлы domain+ca.crt и ключа domain.key на сервер Nginx в папку /etc/nginx/ssl/ с помощью программы WinSCP

В Linux среде
Скопируйте файлы domain+ca.crt и ключа domain.key на сервер Nginx в папку /etc/nginx/ssl/ программой WinSCP

Выполните команду cat /etc/nginx/ssl/domain.crt /etc/nginx/ssl/ca.crt >> domain+ca.crt

Файл domain+ca.crt должен иметь такой вид:

——BEGIN CERTIFICATE——

#Cертификат вашего домена#

——END CERTIFICATE——

——BEGIN CERTIFICATE——

#Промежуточный сертификат#

——END CERTIFICATE——

——BEGIN CERTIFICATE——

#Корневой сертификат#

——END CERTIFICATE——
2. Активация сертификата через конфигурационный файл Nginx:

Ubuntu/Debian — файлы конфигурации сайтов находятся в директории /etc/nginx/sites-enabled/
CentOS — /etc/nginx/conf.d/

Отредактируйте файл конфигурации сайта, добавив в него следующие строки:

    listen 443;

    ssl on;

    ssl_certificate /etc/nginx/ssl/domain+ca.crt;

    ssl_certificate_key /etc/nginx/ssl/domain.key;

3. Перезапустите Nginx командой
Ubuntu/Debian: /etc/init.d/nginx restart

или
Centos: service nginx restart

Установка сертификата на HTTP сервер Apache / Блог компании GlobalSign / Хабр

Данная статья предлагает пошаговую инструкцию по установке сертификата на HTTP сервер Apache. Обратите внимание, что с версии 2.4.8 Apache параметры конфигурации сервера были изменены.

1. Скопируйте файлы сертификатов на ваш сервер.
Вам нужно скопировать на сервер следующие файлы: сертификат сервера, закрытый (приватный) ключ и промежуточный сертификат, соответствующий типу Вашего сертификата сервера.

Сертификат сервера направлялся Вам по электронной почте после его выпуска в GlobalSign. Также Вы можете получить его в своей учётной записи GlobalSign, нажав на кнопку

«Edit» слева от номера заказа и скопировав сертификат в формате PEM.

Закрытый ключ для сертификата создаётся вместе с запросом на сертификат (CSR), поэтому файл закрытого ключа уже может находиться на Вашем сервере. Если приватный ключ утерян, то сертификат нужно перевыпустить.

Промежуточный (intermediate) сертификат, который потребуется установить на сервер, зависит от типа Вашего сертификата. Именно наличие промежуточного сертификата в цепочке позволяет связать Ваш сертификат с корневым (root) сертификатом GlobalSign и сделать цепочку доверенной. Загрузите один или несколько промежуточных сертификатов, соответственно типа Вашего сертификата, по ссылке ниже:
support.globalsign.com/customer/portal/topics/538410-root-certificates/articles

2. Откройте для редактирования конфигурационный файл Apache.

В зависимости от типа операционной системы путь директории конфигурационного

файла может быть разным:

CentOS/RedHat:

/etc/httpd/httpd.conf
/etc/httpd/sites-enabled/name-of-virtualhost.conf 

Debian/Ubuntu:

/etc/apache2/apache2.conf
/etc/apache2/sites-enabled/name-of-virtualhost.conf

Более подробную информацию о пути нахождения конфигурационного файла можно найти по ссылке ниже:
https://wiki.apache.org/httpd/DistrosDefaultLayout

3. Настройте виртуальный хост для работы сертификата.

Найдите раздел VirtualHost и добавьте (или отредактируйте, если они уже имеются) следующие директивы, указав актуальные пути к файлам сертификатов и ключа:

<VirtualHost  xxx.xxx.x.x:443>

                     DocumentRoot  /var/www/examplesite

                     ServerName  example.com  www.example.com
                                       
                     SSLEngine  on

                     SSLCertificateFile   /path/to/examplesite.crt

                     SSLCertificateKeyFile    /path/to/privatekey.key

                     SSLCertificateChainFile    /path/to/intermediate.crt

</VirtualHost>  

Убедитесь в правильности путей SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile, каждый из них должен указывать на соответствующий файл.

Примечание: Начиная с версии Apache 2.4.8, вместо директивы SSLCertificateChainFile следует использовать директиву SSLCertificateFile, которая была расширена для поддержки промежуточных сертификатов. Добавление промежуточного сертификата в конец файла сертификата сервера создаст необходимую доверенную цепочку.

4. Протестируйте созданную конфигурацию сервера.

В зависимости от операционной системы, выполните команду:

apachectl  configtest 

или

apache2ctl   configtest

Запуск команды обнаружит ошибки конфигурации сервера, такие как несоответствие закрытого ключа и сертификата либо неверный путь конфигурационного файла.

5. Перезапустите сервер Apache.

Для более старых версий дистрибутива Red Hat Enterprise Linux используйте скрипты:

CentOS/RedHat:

service    httpd  restart

Debian/Ubuntu:

service   apache2 restart

Для дистрибутивов Red Hat Linux 7 или CentOS 7.0 используйте следующие команды:

CentOS/RedHat:

systemctl   restart    httpd.service

Debian/Ubuntu:

systemctl   restart   apache2.service

Примечание: некоторые конфигурации Apache могут отображать директиву SSLCACertificateFile.

Данное поле необходимо только, если сервер Apache используется для аутентификации клиента.

Директива SSLCACertificateFile будет указывать на сертификат удостоверяющего центра или директорию сертификатов, которые в свою очередь служат для выпуска сертификатов, принимаемых вами для аутентификации клиента.

Если у вас остались вопросы по установке сертификата GlobalSign на HTTP сервер Apache, пожалуйста, свяжитесь со службой поддержки GlobalSign Russia: [email protected], тел.: +7 (499) 678 2210

Установка SSL-сертификат на сайт

Если слова https или ssl вам не знакомы, советую сначала изучить данную статью, после чего приступить к этой. В материале будет рассмотрена практическая часть установки ssl-сертификата с минимальной теоретической частью.

Обратите внимание! Пункт 4 в инструкции по переезду на HTTPS неактуален, яндекс отказался от использования директивы host. Сейчас взамен этого необходимо настроить 301 редирект или канонические адреса, подробнее в Яндекс.Помощи.

Существует большое количество методов установки ssl-сертификата, в этой статье осветим наиболее распространенные.

Но перед установкой стоит рассмотреть еще один важный вопрос, как подтвердить право владения доменом.

Подтверждение прав владения доменом

Необходимо пройти процесс валидации домена для выпуска сертификата. С помощью этой процедуры подтверждается право на владение доменом.

Возможны последующие проверки:

• проверка организации;
• расширенная проверка.

Мы рассмотрим только процесс доменной валидации. О таких вещах, как обратный звонок и разговор с сотрудником сертификационного центра, проверка организации через государственный реестр организаций, нет смысла говорить в рамках этой статьи, они не содержат технической части.

Txt запись в DNS

Вам будет предложено добавить запись типа TXT в DNS записи домена

Рассмотрим, как это делается в isp manager

1. Во вкладке домены нужно выбрать доменные имена

2. Просмотреть NS записи домена

3. Создать новую ресурсную запись

4. Выбрать тип txt и в поле «Значение» вставить текст записи

TXT запись может появиться не сразу, обычно это происходит в течение часа.

Проверить DNS записи домена можно с помощью утилиты dig. Сервисов существует много, возьмем, например, этот.

В поле домен нужно вписать название вашего домена. Можно выбрать конкретный тип записи, но в примере для наглядности выбрали показ всех записей. В таблице будет выведен список всех ресурсных записей, если в списке появилась запись, которую вы добавили, все было сделано верно. Если нет, вернитесь на шаг назад и перепроверьте записи.

После добавления записи не забудьте вернуться в административную панель хостинга и нажать кнопку «Проверить добавление записи».

Cname запись в DNS

Нужно будет сделать то же самое, что и в предыдущем пункте, только выбрав тип записи CNAME.

Запись имеет вид:

_hash.yourdomain.com CNAME hash.comodoca.com.

Yourdomain.com – имя вашего домена

Подтверждение с помощью доменной почты

При выборе этого способа подтверждения на административную доменную (например, admin@ИМЯ ДОМЕНА, postmaster@ИМЯ ДОМЕНА) почту придет письмо от центра сертификации со ссылкой для подтверждения.

После перехода по ссылке вы попадете на страницу центра сертификации, где нужно будет ввести код из письма и нажать кнопку продолжить.

Файл на сервере

Вам предоставят файл, который нужно будет разместить на сервере. В зависимости от центра, выдающего сертификат, расположить файл нужно будет в корневой папке сервера или же создать дополнительную папку и закачать файл в нее.

После подтверждения

В большинстве случаев вам на почту придет 3 файла (или они будут в личном кабинете регистратора ssl-сертификата).

Если файлы придут на почту, обязательно сохраните себе эти файлы! В случае утери нужно будет делать переиздание сертификата.

.key – Приватный ключ (Private Key)

.crt – файл сертификата, который мы вам выдали.

.ca-bundle – файл, содержащий корневые и промежуточные сертификаты в определенном порядке. Порядок:

• Промежуточный сертификат 2
• Промежуточный сертификат 1
• Корневой сертификат

Когда получены эти файлы, можно приступать к установке сертификата.

Установка сертификата через административную панель хостинга

Большинство компаний, предоставляющих услуги хостинга, в административной панели имеют или пункт SSL, или ssl-сертификаты, или безопасность – названий может быть множество.

Как правило, при переходе в этот пункт вам будет предложен выбор: установить существующий сертификат или же заказать(приобрести) новый сертификат.

Установка существующего сертификата с помощью административной панели хостинга

Рассматривать установку будем на примере хостинга timeweb.

1. Необходимо в личном кабинете зайти в пункт меню ssl-сертификаты

2. Выбрать пункт «Установить»

3. Ввести данные сертификата в соответствующие поля

Установка Let’s Encrypt с помощью административной панели хостинга

1. Необходимо в личном кабинете зайти в раздел меню ssl-сертификаты и выбрать пункт «Заказать».

2. Кликнуть пункт «SSL Let’s Encrypt», затем выбрать, для какого домена выпустить сертификат

Установка сертификатов в ISP панели

В некоторых случаях для управления хостингом/сервером устанавливается ISP manager. Это панель управления веб-хостингом, позволяющая управлять программным обеспечением веб-сервера, сервером баз данных, почтовым сервером и другими.

Установка существующего сертификата в ISP manager

Рассмотрим ситуацию, когда вы приобрели сертификат и имеете в сохраненном виде все его файлы.

1. В меню isp manager выбрать пункт ssl-сертификаты

2. Создать ssl-сертификат

3. Выбрать тип ssl-сертификата – «Существующий»

4. Заполнить соответствующие поля в isp manager

Важно! Необходимо заполнить все поля, чтобы в дальнейшем не возникло проблем. В случае некорректной установки ssl-сертификата Яндекс.Вебмастер пришлет уведомление об ошибке.

О методе проверки корректности установки сертификата описано в конце статьи.

Установка Let’s Encrypt с помощью ISP manager

Панель isp предоставляет возможность установки бесплатного автопродляемого сертификата Let’s Encrypt. Для его установки необходимо выполнить следующие действия:

1. В меню isp manager выбрать раздел «SSL-сертификаты», в нем выбрать Let’s Encrypt

2. Выбрать домен, на который будет установлен сертификат (если вам необходим Wildcard сертификат, нужно установить соответствующую галочку).

Проверка правильности установки

Узнать, корректно ли вы установили сертификат, можно с помощью сервиса – sslshopper.com.

На главной странице сервиса будет поле check ssl, в нем нужно прописать адрес вашего сайта.

Если все правильно, вы увидите примерно такую картину:

Если сертификат не установлен, вы увидите ошибку:

В случае нарушения цепочки сертификатов всплывет такая ошибка:

Заключение

Конечно, обо всех нюансах установки ssl-сертификатов не получится рассказать в рамках одной статьи. Но мы рассмотрели основы, в большинстве административных панелей хостингов алгоритм установки примерно одинаковый. После проделанной работы обязательно проверьте корректность установленного сертификата.

Если у вас возникли проблемы с установкой или работоспособностью ssl-сертификата, обращайтесь к нам за помощью! А приобрести SSL-сертификат вы можете прямо сейчас по этой ссылке.

Как установить SSL-сертификат на сайт?

Внимание! Установка SSL-сертификата на сайт предполагает не только активацию самого сертификата, но и сопутствующие работы по сайту: настройку перенаправления запросов с http на https, а также корректировку абсолютных и относительных внутренних ссылок сайта. Информацию о необходимых процедурах вы можете получить у разработчика вашего сайта или  в документации используемой CMS.

Инструкция, приведенная ниже, написана для Unix-хостинга. Инструкция для Windows-хостинга доступна по ссылке.

Для установки SSL-сертификата, выданного сертификационным центром, вам необходимо войти в панель управления хостингом сайта, для которого предназначен данный сертификат.

1. На главной странице cPanel найдите раздел «Безопасность» — «SSL/TSL».

2. На открывшейся странице выберите «Закрытые ключи (Key)» — «Создать, посмотреть, отправить или удалить закрытые ключи;.

3. В форму «Передайте новый закрытый ключ» необходимо вставить ваш закрытый ключ (Private key). Нажмите кнопку «Сохранить». Если у вас нет закрытого ключа, смотрите вопрос-ответ «Как заказать SSL-сертификат?»

После этого внизу страницы нажмите «Вернуться в SSL Manager».

4. На открывшейся странице выберите «Сертификаты (CRT)» — «Создать, посмотреть, отправить или удалить сертификаты SSL».

5. Вставьте сертификат в соответствующее поле, затем нажмите «Сохранить сертификат».

После этого внизу страницы нажмите «Вернуться в SSL Manager».

6. На открывшейся странице выберите «Установка и управление SSL для сайта (HTTPS)» — «Управление сайтами с SSL».

7. Выберите ваш домен из выпадающего списка и нажмите кнопку «Автозаполнение доменом». Далее пролистайте ниже и нажмите установить.

SSL-сертификат установлен.

Если вы не знаете, где взять необходимую для заполнения информацию, пожалуйста, обратитесь к следующей статье.

Для заказа SSL перейдите, пожалуйста, по ссылке.

Как установить SSL-сертификат и перейти на https: пошаговая инструкция

Компания «Окна Рехау» специализируется на производстве и установке пластиковых окон и дверей в Москве. С момента разработки сайта компания заказывает услуги SEO и интернет-рекламы в WebCanape, поэтому специалисты по продвижению тщательно следят за позициями сайта в поиске и планируют долгосрочное развитие ресурса.

После появления новости, что с 1.01.2017 сайты, на которых собираются данные кредитных карт или пароли, будут отмечаться в браузере Google Chrome как потенциально опасные для пользователей, принято решение об установке SSL-сертификата и переводе сайта на защищенный протокол.

HTTPS (от англ. HyperText Transfer Protocol Secure) — расширение http-протокола, которое поддерживает шифрование данных и обеспечивает их защиту от прослушивания и изменения.

Зачем нужен https-протокол?

• Обеспечивает безопасный обмен информацией между сайтом и девайсом пользователя
• Повышает доверие к сайту и поддерживает его репутацию в глазах посетителей
• Число сайтов, которые работают по незащищенному http-протоколу сокращается. HTTPS становится основным стандартом
• HTTPS входит в перечень ранжирующих факторов при поисковой выдаче Google

Как он работает?

Для корректной работы HTTPS используется сертификат, состоящий из открытого и приватного ключа.

Первый нужен клиенту, другой — серверу для шифрования и дешифрования запросов.

Для повышения безопасности передачи данных используются другие средства защиты. Например, идентификационный номер сессии, алгоритм сжатия данных, параметры шифрования и др.

Почему это важно для сайта?

1. С начала 2017 года Google Chrome помечает некоторые сайты без https как небезопасные и понижает их в выдаче поисковых систем.
2. Если сайт обеспечивает надежную передачу данных (то есть использует протокол https), он может рассчитывать на дополнительный бонус при ранжировании.

Покупаем и устанавливаем SSL-сертификат — 7 простых шагов

Шаг 1. Переходим на страницу заказа SSL-сертификатов.

Шаг 2. Выбираем нужный тип сертификата.

Шаг 3. Генерируем CSR-запрос.

CSR (Certificate Signing Request) — запрос на получение сертификата. Это текстовый файл, содержащий открытый ключ и закодированную информацию об администраторе домена.

Важно! Обязательно сохраните полученный при генерации CSR-запроса файл ключа. Он еще понадобится.

Шаг 4. Заполняем анкетные данные сертификата (на английском языке), оплачиваем услугу любым удобным способом.

Шаг 5. Подтверждаем владение доменом. Потребуется электронная почта в зоне вашего домена, куда будет отправлено письмо с кодом. Вы можете перейти по ссылке в письме или скопировать код и ввести его на странице центра сертификации.

Важно! Письмо может быть отправлено только на «approver email», который вы указываете при заказе сертификата.

При необходимости отправку письма подтверждения SSL-сертификата можно повторить.

Письмо подтверждения выглядит так:

После перехода по ссылке попадаем на сайте на страницу:

Шаг 6. Дожидаемся выпуска сертификата и скачиваем его с сайта сертификационного центра или сайта-партнера.

Шаг 7. Устанавливаем сертификат на хостинг, где размещается сайт. Для этого используем файл(ы) сертификата и файл ключа, полученный на 3-м шаге.

Предварительная подготовка сайта к переходу на https

Подготовка проходит в девять этапов.

1. Меняем все ссылки на страницы сайта (и элементы страниц), для которых устанавливается защищенное соединение.
2. Весь контент сайта, в том числе внешние модули, фото и скрипты, тоже должен подгружаться по протоколу https. Иначе браузер посчитает, что на странице есть небезопасные материалы и не покажет в адресной строке зеленый значок. Несмотря на то, что страница будет загружена по https.

Самая распространенная ошибка — размещение на сайте, который работает по https, не только защищенного, но и обычного контента. В таких случаях один или несколько элементов (обычно изображения, скрипты, Flash-файлы или CSS) загружаются на странице https с использованием незащищенного внешнего URL, начинающегося с http://.

Список незащищенных элементов на страницах со смешанным содержанием можно найти в консоли JavaScript (в некоторых браузерах она может называться отладчиком JavaScript) либо в инструментах разработчика браузера.

3. Убеждаемся, что все ссылки на сайте имеют относительный протокол или ведут на страницы, доступные по защищенному протоколу.
4. Исправляем все ссылки, в том числе на графику, консультанты, виджеты и другие внешние скрипты.

Убедитесь, что SSL-сертификат корректно настроен. Получить подробный анализ конфигурации SSL можно с помощью специального сервиса >>

5. Версия сайта с https должна быть доступной и работать без ошибок, как и версия с http. Для обеих версий файл robots.txt должен быть одинаковым.

Важно! Ранее рекомендовалось использовать параллельно два файла robots.txt и на период переклейки в Яндекс закрыть https-версии сайта от индексации Google. Сейчас этого не требуется. Был протестирован и утвержден вариант без закрытия от индексации в Google. Если доступны обе версии сайта, Google по умолчанию показывает в выдаче https-версию, а Яндекс делает это только после переиндексации.

В robots.txt должна быть строчка:

Host: https://www.адрес-сайта.ru/

Это значит, что https-версия является главным зеркалом.

Если все сделано верно, результат будет выглядеть так:

6. Добавляем обе версии сайта в Вебмастер Яндекса, указываем предпочтительный протокол в разделе «Настройка индексирования — Переезд сайта».

7. В Google Search Console добавляем сайт с протоколом https и подтверждаем права.

Google понимает, что http и https являются разными протоколами одного и того же сайта. Если он найдет работающий https протокол, по ходу переиндексации контента заменит http на https. Это произойдет даже без перенаправления и добавления https-версии в Google Search Console.

8. Ждем переиндексации сайта в Яндекс. Это произойдет, когда в индекс зайдут версии страниц с https, а версии с http выпадут из него.

Переклейка начинается через 2–3 недели. К сожалению, повлиять на ее скорость невозможно — это автоматический процесс.

Когда начнется переклейка, в Вебмастере Яндекса появится уведомление:

Также можно увидеть, что https-версия стала отображаться как основная:

Неглавное зеркало начнет выпадать из индекса Яндекса, главное — попадать в него:

У крупного ресурса все страницы не переиндексируются мгновенно.

9. После склейки сайтов настраиваем постраничный 301-редирект со страниц с http на страницы с https (за исключением файла robots.txt).

Нежелательно делать это прежде чем сайты будут признаны зеркалами. Иначе по правилам Яндекса при обработке перенаправлений страницы с редиректами исключатся из поиска.

На период склейки зеркал сайт должен оставаться доступным по обоим адресам.

Для перенаправления с http:// на https:// в .htaccess можно воспользоваться тремя способами:

• ручной корректировкой файла htacces;
• настройкой редиректов через панель управления хостингом;
• написанием программного скрипта настройки редиректов.

Результаты

Приведенный алгоритм действий подтвержден Яндексом и протестирован при переезде нескольких сайтов с хорошей историей. Он позволяет свести к минимуму потери трафика и позиции сайта в результатах поиска.

Однако служба поддержки Яндекса отвечает, что не может гарантировать 100% сохранение позиций сайта при склейке зеркал.

Как правило, на время переклейки сайта наблюдается временное ухудшение позиций в результатах поиска как в Яндекс, так и в Google. Но позиции в течение одного-двух месяцев полностью восстанавливаются.

Что еще нужно помнить?

1. Базовый алгоритм перевода сайта на https, который используем при переездах, доступен по ссылке >>
2. Удостоверьтесь в работоспособности и наличии доступов к почтовому ящику, на который высылается письмо со ссылкой на подтверждение выпуска сертификата.
3. Созданная версия с https доступна наряду с версией с http. Причем в robots.txt должна быть прописана строчка, указывающая на то, что https-версия является главным зеркалом.
4. После того как сайты склеятся, нужно настроить постраничный 301-редирект с http на https.
5. Если домен https был признан зеркалом домена http до переклейки (то есть https-версия была признана неглавным зеркалом), нужно расклеить зеркала, а затем выбрать https-версию в качестве главного зеркала.

Учебное пособие по установке сертификата SSL

— Пошаговые инструкции

Как установить сертификат SSL

SSL-сертификат — это текстовый файл с зашифрованными данными, который вы устанавливаете на свой сервер, чтобы вы могли защитить / зашифровать конфиденциальную связь между вашим сайтом и вашими клиентами. Узнайте больше о сертификатах SSL.

После того, как вы создадите CSR (запрос на подпись сертификата) и приобретете сертификат, наша группа проверки проверит и обработает ваш запрос на сертификат.(Узнайте больше о процессе проверки сертификата.) После проверки мы выпускаем ваш сертификат SSL и отправляем его вам по электронной почте. Вы также можете загрузить свой сертификат SSL в своей учетной записи DigiCert.

Промежуточный сертификат

Когда вы устанавливаете сертификат SSL на сервер или приложение с поддержкой SSL, вам также потребуется установить промежуточный сертификат. Этот промежуточный сертификат устанавливает надежность вашего SSL-сертификата, привязывая его к корневому сертификату вашего центра сертификации (SSL-сертификат, выпущенный DigiCert → промежуточный сертификат → корневой сертификат DigiCert).Для завершения цепочки доверия сертификатов браузеру требуется наличие промежуточного сертификата. Узнайте больше о роли промежуточных и корневых сертификатов.

Примечание. Для некоторых серверов (например, Microsoft) промежуточные сертификаты связаны с сертификатом SSL.

Нужно создать свою CSR? »
Необходимо приобрести сертификат SSL? »

Общие платформы и операционные системы

Microsoft IIS

Инструкции:

Подробнее:

Сервер Microsoft Exchange

Инструкции:

Подробнее:

Сервер Apache (OpenSSL)

Инструкции:

Подробнее:

Сервер Tomcat (Keytool)

Инструкции:

Подробнее:

Microsoft Lync

Инструкции:

Подробнее:

Проверьте установку сертификата

После установки сертификата мы рекомендуем вам убедиться, что все работает правильно.Воспользуйтесь нашим бесплатным инструментом диагностики установки SSL, чтобы проверить установку сертификата. Или же, чтобы упростить поиск и управление всеми сертификатами в вашей сети, воспользуйтесь нашим бесплатным инструментом Discovery Cloud.

Не забудьте сделать резервную копию

После установки SSL-сертификата мы рекомендуем сделать резервную копию сертификата и сохранить ее в надежном месте. Если сервер выходит из строя или его необходимо заменить, гораздо проще защитить новый сервер.

Инструкции по установке сертификата

для платформы / ОС

.

Создание CSR и установка сертификата SSL

Создание CSR и установка сертификата SSL на сервере Windows 2016

Используйте инструкции на этой странице, чтобы использовать IIS 10 для создания запроса на подпись сертификата (CSR), а затем установить сертификат SSL на сервере Windows 2016.

1. Чтобы создать запрос на подпись сертификата (CSR), см. IIS 10: How to Create Your CSR on Windows Server 2016.

2. Чтобы установить сертификат SSL, см. IIS 10: Как установить и настроить сертификат SSL в Windows Server 2016.

Если вы ищете более простой способ создания CSR, а также установки сертификатов SSL и управления ими, мы рекомендуем использовать утилиту DigiCert® Certificate Utility для Windows. Вы можете использовать утилиту DigiCert для создания CSR и установки сертификата SSL.См. Раздел Windows Server 2016: создание CSR и установка сертификата SSL с помощью утилиты DigiCert.

1. IIS 10: как создать CSR на Windows Server 2016

Использование IIS 10 для создания CSR

1. В меню «Пуск» Windows введите Internet Information Services (IIS) Manager и откройте его.

2. В диспетчере Internet Information Services (IIS) в дереве меню Connections (левая панель) найдите и щелкните имя сервера.

3. На домашней странице имени сервера (центральная панель) в разделе IIS дважды щелкните Server Certificates .

4. На странице Сертификаты сервера (центральная панель) в меню Действия (правая панель) щелкните ссылку Создать запрос сертификата… .

5. В мастере запроса сертификата на странице Distinguished Name Properties укажите информацию, указанную ниже, и нажмите Next :

   Общее название:	Введите полное доменное имя (FQDN) (e.г., www.example.com ).
   Организация:	Введите юридически зарегистрированное название вашей компании (например, YourCompany, Inc. ).
   Организационная единица:	Название вашего отдела в организации.Часто эта запись будет отображаться как «IT», «Web Security»,
   	или просто оставлено пустым.
   Город:	Введите город, в котором находится ваша компания.
   Штат / провинция:	Введите штат / провинцию, в которой находится ваша компания.
   Страна:	В раскрывающемся списке выберите страну, в которой находится ваша компания.

6. На странице свойств поставщика криптографических служб укажите информацию ниже и нажмите Далее .

   Криптографический	В раскрывающемся списке выберите Microsoft RSA SChannel Cryptographic Provider ,
   поставщик услуг:	, если у вас нет конкретного поставщика криптографических услуг.
   Длина бит:	В раскрывающемся списке выберите 2048 , если у вас нет особой причины
   	для выбора большей длины бит.

7. На странице Имя файла в разделе Укажите имя файла для запроса сертификата , щелкните поле … , чтобы перейти в место, где вы хотите сохранить CSR.

   Примечание: Запомните имя файла, которое вы выбрали, и место, в которое вы сохраните свой csr.txt файл. Если вы просто введете имя файла без перехода к местоположению, ваш CSR окажется в C: \ Windows \ System32.

8. Когда вы закончите, нажмите Finish .

9. Используйте текстовый редактор (например, Блокнот), чтобы открыть файл.Затем скопируйте текст, включая теги —— BEGIN NEW CERTIFICATE REQUEST —— и —— END NEW CERTIFICATE REQUEST —— , и вставьте его в заказ DigiCert. форма.

10. После получения сертификата SSL от DigiCert вы можете его установить.

2.IIS 10: Как установить и настроить сертификат SSL на Windows Server 2016

Если вы еще не создали CSR и не заказали сертификат, см. IIS 10: How to Create Your CSR Windows Server 2016.

После того, как мы проверим и выпустим ваш SSL-сертификат, вам необходимо установить его на сервере Windows 2016, на котором был сгенерирован CSR. Затем вам необходимо настроить сервер для его использования.

(единый сертификат) Как установить сертификат SSL и настроить сервер для его использования

Установить сертификат SSL

1. На сервере, где вы создали CSR, сохраните файл .cer сертификата SSL (например, your_domain_com.cer ), который DigiCert отправил вам.

.

Как установить сертификат SSL

После того, как вы приобрели и выполнили вышеуказанные шаги, такие как создание CSR и закрытого ключа, ваш сертификат SSL / TLS будет выпущен. Теперь основная часть — это установка SSL; если вы не завершите этот шаг и отложите его до конца или не сделаете этого, то в этом нет никакого смысла. Судя по записям, мы видели много раз, когда люди покупали SSL, но забывали установить его, и мы не хотим, чтобы вы подвергались такому же риску.

Установка сертификата SSL / TLS — один из важнейших моментов, к которому не следует относиться легкомысленно.Если сертификат SSL / TLS не установлен, ваш веб-сайт открыт для атак, таких как APT (Advanced Persistent Threats), вредоносное ПО, атака «человек посередине», прямые хакерские атаки.

Помимо этого, Google сделал обязательным для веб-сайта наличие установленного сертификата SSL / TLS, и если кто-либо не соблюдает эту политику, популярные браузеры, такие как Google Chrome и Mozilla Firefox, отображают предупреждение о незащищенности для посетителей веб-сайта, что может оказать негативное влияние.

С другой стороны, некоторые преимущества, которые вы получаете при установке сертификата SSL / TLS, — это аутентичность данных вашего веб-сайта, которая гарантирует пользователям, что ваш веб-сайт заслуживает доверия и что ничего не было изменено.Конфиденциальность, которая гарантирует, что все действия, выполняемые на вашем веб-сайте, безопасны и зашифрованы и не видны киберпреступникам. Кроме того, он также обеспечивает защиту, обеспечивая шифрование конфиденциальной информации, такой как номер кредитной карты или банковские реквизиты, а некоторые другие похожи на небольшое повышение рейтинга SEO от Google.

Наконец, процесс установки сертификатов SSL / TLS отличается в зависимости от сервера и их версий. Если вы не знаете, как его установить, или у вас есть какие-либо вопросы, не беспокойтесь, ниже приведен список руководств по установке для различных серверов, таких как Microsoft, Apache, cPanel, Tomcat, Plesk, Oracle, Zimbra и т. Д.

Кроме того, есть еще один список, в котором мы обсудили установку SSL на основе типа сертификатов SSL, предлагаемых различными центрами сертификации, такими как GeoTrust, Comodo, DigiCert, Certum, RapidSSL, Symantec, Thawte, Global Sign, SwissSign, Entrust.

.

Установка SSL-сертификата в Windows Server 2008 (IIS 7.0)

Windows Server 2008 включает Internet Information Services (IIS) 7.0. Эта новая версия вносит несколько больших изменений в способ создания сертификатов SSL, что делает его намного проще, чем в предыдущих версиях IIS. Помимо нового метода запроса и установки сертификатов SSL, IIS 7 включает в себя следующие возможности:

• Запрашивать более одного сертификата SSL одновременно
• Легко импортируйте, экспортируйте и обновляйте сертификаты SSL в IIS
• Быстро создать самозаверяющий сертификат для тестирования

В этой статье вы узнаете, как заказать сертификат SSL в коммерческом центре сертификации и установить его на компьютере с IIS 7 Windows Server 2008.Этот процесс также будет работать для более поздних версий, таких как Windows Server 2016 и IIS 8 и IIS 10 с некоторыми небольшими изменениями.

Создание запроса на подпись сертификата

Первым шагом при заказе сертификата SSL является создание запроса на подпись сертификата. Это очень легко сделать в IIS7, используя следующие инструкции. Щелкните здесь, чтобы скрыть или показать изображения

1. Щелкните меню Пуск, перейдите к Администрирование и щелкните Диспетчер информационных служб Интернета (IIS) .

2. Щелкните имя сервера в столбце «Подключения» слева. Дважды щелкните Сертификаты сервера .

3. В столбце Действия справа щелкните Создать запрос на сертификат …

4. Введите всю следующую информацию о своей компании и защищаемом домене, а затем щелкните Далее .

   Имя	Объяснение	Примеры
   Общее имя	Полное доменное имя (FQDN) вашего сервера.Он должен точно соответствовать тому, что вы вводите в своем веб-браузере, иначе вы получите ошибку несоответствия имени.	* .google.com mail.google.com
   Организация	Юридическое название вашей организации. Это не должно быть сокращено и должно включать суффиксы, такие как Inc, Corp или LLC.	Google Inc.
   Организационная единица	Подразделение вашей организации, занимающееся сертификатом.(Большинство центров сертификации не проверяют это поле)	IT Интернет
   Город	Город, в котором находится ваша организация.	Маунтин-Вью
   Штат / провинция	Штат / регион, в котором находится ваша организация. Это не должно быть сокращено.	Калифорния
   Страна / регион	Двухбуквенный код ISO страны, в которой находится ваша организация.	США ГБ

5. Оставьте поставщика службы криптографии по умолчанию. Увеличьте битовую длину до 2048 бит или выше. Щелкните Далее .

6. Щелкните кнопку с тремя точками и введите местоположение и имя файла, в котором вы хотите сохранить файл CSR. Щелкните Готово.

После создания CSR вы можете использовать его для заказа сертификата в центре сертификации.Если у вас еще нет избранного, вы можете сравнить функции SSL от каждого поставщика, используя наш мастер SSL или сравнивая дешевые сертификаты SSL, сертификаты с подстановочными знаками или сертификаты EV. После того, как вы вставите содержимое CSR и завершите процесс заказа, ваш заказ будет подтвержден, и вы получите файл сертификата SSL.

Установить сертификат

Чтобы установить недавно полученный сертификат SSL в IIS 7, сначала скопируйте файл где-нибудь на сервере, а затем следуйте этим инструкциям:

1. Щелкните меню Пуск, перейдите к Администрирование и щелкните Диспетчер информационных служб Интернета (IIS) .
2. Щелкните имя сервера в столбце «Подключения» слева. Дважды щелкните Сертификаты сервера .

3. В столбце Действия справа щелкните Завершить запрос сертификата …

4. Нажмите кнопку с тремя точками и выберите сертификат сервера, который вы получили от центра сертификации. Если сертификат не имеет расширения файла .cer, выберите для просмотра всех типов.Введите любое понятное имя, которое хотите, чтобы вы могли отслеживать сертификат на этом сервере. Щелкните ОК .

5. В случае успеха вы увидите новый установленный сертификат в списке. Если вы получаете сообщение об ошибке о том, что запрос или закрытый ключ не может быть найден, убедитесь, что вы используете правильный сертификат и устанавливаете его на тот же сервер, на котором вы сгенерировали CSR. Если вы уверены в этих двух вещах, возможно, вам просто потребуется создать новый запрос на сертификат и повторно выпустить / заменить сертификат.Обратитесь в центр сертификации, если у вас возникли проблемы с этим.

Привязать сертификат к сайту

1. В столбце Подключения слева разверните папку сайтов и щелкните веб-сайт, к которому вы хотите привязать сертификат. Щелкните Bindings … в правом столбце.

2. Щелкните по кнопке Добавить … .

3. Измените Тип на https и затем выберите сертификат SSL, который вы только что установили.Щелкните ОК .

4. Теперь вы увидите привязку для порта 443 в списке. Щелкните Закрыть .

Установите любые промежуточные сертификаты

Большинство поставщиков SSL выдают серверные сертификаты на основе промежуточного сертификата, поэтому вам нужно будет также установить этот промежуточный сертификат на сервер, иначе ваши посетители получат ошибку «Сертификат не доверен». Вы можете установить каждый промежуточный сертификат (иногда их несколько), используя следующие инструкции:

1. Загрузите промежуточный сертификат в папку на сервере.
2. Дважды щелкните сертификат, чтобы открыть сведения о сертификате.
3. В нижней части вкладки Общие нажмите кнопку Установить сертификат , чтобы запустить мастер импорта сертификата. Щелкните Далее .

4. Выберите Поместите все сертификаты в следующее хранилище и нажмите Обзор .

5. Установите флажок Показать физические магазины , затем разверните папку Intermediate Certification Authorities , выберите папку Local Computer под ней.Щелкните ОК . Щелкните Далее , затем Завершить , чтобы завершить установку промежуточного сертификата.

Вам может потребоваться перезапустить IIS, чтобы он начал выдавать новый сертификат. Вы можете убедиться, что сертификат установлен правильно, посетив сайт в своем веб-браузере, используя https вместо http или используя нашу программу проверки SSL.

Ссылки

Видео по установке сертификата SSL IIS 7

Первоначально опубликовано 28 октября 2007 г.

Сохранить

.