Установка

Установка ssl сертификата на сайт: Установка SSL сертификата: пошаговая инструкция

Содержание

Как установить SSL-сертификат и перейти HTTPS бесплатно

Доброго времени суток, дамы и господа!

Сегодня я расскажу вам о том, как установить SSL-сертификат на свой сайт. И объясню, почему использование защищенного соединения должно стать приоритетом в 2018 году, почему веб-ресурсы без ССЛ рискуют потерять львиную долю своего трафика.

Зачем нужен SSL-сертификат?

Я уже описывал что такое SSL в одном из материалов на iklife. Если говорить кратко, то ССЛ позволит вам использовать защищенный протокол шифрования данных на вашем сайте. Данные, передаваемые от сайта к клиенту (посетителю) будут надежно зашифрованы. Никакие злодеи не смогут получить к ним доступ, как бы они не пытались.

Реализация такого подхода возможна благодаря математически связанным ключам шифрования. От сервера (веб-ресурса) к клиенту (компьютеру посетителя) информация передается с помощью трех ключей шифрования. Два из них – закрытые. Они есть и у сервера, и у клиента. Третий ключ – открытый, он используется обеими машинами.

Все три ключа связаны между собой, даже если злоумышленник узнает открытый ключ, он никогда не сможет расшифровать информацию из-за отсутствия двух других ключей. Также во время обмена данными между клиентом и сервером создается ключ сессии, который является гарантом безопасности ваших данных.

Безопасность и конфиденциальность – две вещи, к которым стремится интернет-сообщество. Именно по этой причине к сайтам, не использующим защищенное соединение, доверие неуклонно падает.

Даже браузеры, такие как Google Chrome, Opera или Mozilla Firefox, стали помечать сайты без https как нежелательные. Пока что просто обходятся предупреждением, однако в будущем на такие сайты, возможно, будут вешаться заглушки от браузера, где пользователь должен подтвердить, что он осознает весь риск и берет на себя ответственность в случае потери данных.

Наличие или отсутствие защищенного соединения может учитываться и поисковыми системами. Если Яндекс пока что говорит о том, что сайты с http и https индексируются равнозначно, то в Гугле уже прослеживаются некоторые изменения. В скором времени сайты могут помечаться как небезопасные и начать очень сильно проседать по позициям.

По этим причинам можно сделать вывод, что установка зашифрованного соединения не просто желательна, а необходима. Все без исключения пользователи хотят, чтобы их данные были в целости и сохранности. Так зачем же лишать их этих благ, тем более, что сделать все это можно абсолютно бесплатно, с помощью того же Let`s Encrypt.

Где взять SSL-сертификат?

Обычно этими сертификатами приторговывают сами хостинги. Если вы используете один из них, то вам не придется ломать голову над тем, какой выбрать. Достаточно взглянуть на список предложенных и выбрать самый дешевый или наоборот подороже.

Сейчас популярен вариант от Let`s Encrypt. Они распространяются бесплатно, и многие хостеры поддерживают возможность быстрой установки и подключения.

Кроме этого, в интернете можно найти очень много компаний, которые как раз занимаются тем, что проверяют домены и выдают соответствующие полномочия для установки зашифрованного протокола.

Есть даже огромные сервисы, которые проводят персональную проверку, после чего выдают именной сертификат. От обычного он отличается тем, что прямо в адресной строке, возле зеленого замочка, будет видно название вашей компании. Подобный подход покажет вашим клиентам, что они имеют дело с серьезной организацией. Само собой, именная проверка стоит в несколько раз (а то и десятков) дороже.

Приведу вам список самых популярных сервисов, где вы сможете купить SSL:

Вы можете поискать и другие компании самостоятельно. Достаточно просто ввести в поиск нужный запрос, вся необходимая информация будет как на ладони.

Установка SSL на хостинг

В этой части обзора мы будем рассматривать установку SSL на хостинге Beget и REG.RU. Если у вас другой хостинг-провайдер, не отчаивайтесь. Скорее всего инструкции из этого материала будут применимы и на вашем хост-сервере. Большая часть панелей управления, которые используют хостинги, схожи между собой.

SSL на хостинге REG.RU

Чтобы установить ССЛ через форму на сайте, вам нужно перейти на сам сайт и залогиниться. Далее ваш путь лежит на страницу подключения SSL. После регистрации/авторизации вы увидите такое окно.

Если вы покупали SSL прямо в REG.RU, то вам необходимо выбрать нужный сертификат в выпадающем списке. После того, как отметили нужный, вы должны загрузить файл с приватным ключом. Он обычно выдается той компанией, которая сертифицировала вас. При настройке защищенного протокола вам предложат как раз сохранить такой ключ.

В случае с Let`s Encrypt или продажи другим сервисом, приватный ключ высылается на указанный e-mail. При утере ключа придется заниматься переизданием, что обещает большое количество проблем.

При получении SSL-сертификата от сторонних компаний, вам нужно выбрать вторую вкладку. Там будет 4 поля, куда вы должны загрузить все файлы, которые вам выдал центр сертификации.

Теперь остается лишь выбрать хостинг, на который должен быть установлен сертификат. Выберите в списке нужный и нажмите на кнопку для отправления заявки.

Обратите внимание, что нужный домен должен быть добавлен в панель управления вашего хостинга. Сразу после отправления заявки, в случае, если вы используете виртуальный хостинг – ССЛ будет установлен автоматически. Если же речь идет о выделенном сервере, то придется подождать, пока специалисты из REG.RU настроят и установят все в ручном режиме.

SSL на хостинге Beget

Для установки защищенного протокола на хостинге Beget перейдите в раздел “Домены и поддомены”, после чего нажмите на кнопку “Управление SSL-сертификатами”. Она будет напротив нужного домена.

Во всплывающем окошке вы можете выбрать параметры установки для домена.

Здесь для установки доступен Let`s Encrypt. Данный центр сертификации предоставляет свои услуги абсолютно бесплатно. Вы можете воспользоваться им или любым другим. Для доступа к настройке сертификата нужно использовать две соседние вкладки.

После заказа к вам на почту придут подробности. Скорее всего, от вас не потребуется больше никаких действий. На почту придет уведомление о завершении установки на хостинг, и вы сможете начать пользоваться SSL.

Проблемы могут возникнуть в том случае, если домен размещен на сторонних (не бегетовских) NS-серверах. Тогда вам вручную придется создавать A-запись в DNS вашего домена.

Установка SSL в ISPmanager

Чтобы установить ССЛ в ISPmanager 4, вам нужно перейти в панель управления и в соответствующий раздел. Он имеет название SSL-сертификаты.

В правом углу найдите кнопку “Создать”, после чего перед вашими глазами появится такое окно.

Нужно ввести все необходимые данные вручную. Поле “Имя сертификата” задается произвольно. Все остальное нужно предоставить по требованию. Выбираем “существующий” тип, и далее “указать вручную” в поле “Использовать ключ”.

Приватный ключ и сертификат выдаются сервисом, который проводит сертификацию. В поле “Цепочка сертификатов” нужно ввести два вида: промежуточный, а сразу за ним корневой. Обратите внимание, что на скриншоте отмечено, как именно должны быть расположены эти два ключа относительно друг друга.

Если при установке возникают ошибки, проверьте еще раз все введенные данные на наличие лишних пробелов и символов.

Как только SSL будет установлен, мы должны перейти в раздел “WWW домен” и поставить там вот такую галочку.

В обведенном красным поле необходимо выбрать нужное название, которое мы произвольно указывали при настройке SSL.

В ISPmanager 5 этот процесс мало чем отличается, тем не менее, я считаю необходимым описать и его.

Перейдите в одноименный раздел, который находится в “WWW”. Я думаю, вы сразу заметите его.

Далее вам нужно кликнуть по кнопке “Создать” и перейти непосредственно к настройке.

Сервис предложит вам выбрать тип сертификата – выбираем “Существующий”.

Нам необходимо будет заполнить все поля (имя, ключи и сам сертификат). Их выдает компания, у которой был куплен сертификат.

На завершающем этапе нам необходимо перейти в раздел WWW-домены и найти нужный из списка. Кликаем по домену два раза, после чего переходим к параметрам.

Отмечаем галочками “Защищенное соединение” и “Повышенная безопасность”, выбираем нужный SSL-сертификат в выпадающем списке.

Готово! Теперь ваш сайт будет использовать защищенное соединение.

Установка SSL на Cpanel

Для подключения SSL на хостинге Cpanel нужно перейти в соответствующий раздел на вашей панели управления. Он находится во вкладке “Безопасность”.

Теперь нужно кликнуть по кнопке “Управление сайтами с SSL”.

Выбираем нужный домен.

После этого откроется окно для вставки данных. Вводим сам сертификат, ключ и цепочку. Все данные можно получить на сайте компании, у которой вы заказывали эту услугу.

Вводим данные сертификата (после BEGIN CERTIFICATE). Заканчивается на END CERTIFICATE. Далее вставляем закрытый ключ и цепочку сертификатов.

Закрытый ключ начинается со слов “BEGIN RSA PRIVATE KEY”.

Здесь вставляется сначала промежуточный, а затем корневой сертификат. Конец первого и начало второго должны располагаться так, как показано на скриншоте.

Теперь нам остается завершить установку. Для этого мы нажимаем соответствующую кнопку.

Редирект с http на https

После установки вам захочется, чтобы все пользователи работали по защищенному соединению. Да и поисковые системы должны произвести склейку, иначе будет какая-то неразбериха: один и тот же сайт с http и https будет считаться как два разных. Нам нужно, чтобы это не произошло. Поэтому мы должны настроить редиректы.

Обычно это делается с помощью инструментов CMS или файла htaccess. В WordPress, например, можно настроить автоматические редиректы с незащищенного протокола на защищенный. Но здесь же отмечу, что далеко не все системы управления контентом могут поддерживать такую функцию. По этой причине редирект можно реализовать с помощью файла htaccess, который есть почти на любом сайте.

Просто добавляем в начало файла этот кусок кода и вуаля – ваш сайт имеет 301-й редирект с http на https.

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Теперь мы можем проверить наличие переадресации, просто зайдя на сайт без прописывания протокола (или с http протоколом). Если мы все сделали правильно, то нас перекинет на https://сайт.ру.

Обращаю ваше внимание, что после установки https-соединения как основного, ваш ресурс может потерпеть некоторые временные проблемы с индексацией. Происходить это будет на протяжении нескольких месяцев. Чтобы минимизировать ущерб и ускорить склейку двух версий сайта, вы должны выполнить ряд инструкций.

Например, добавить в файл robots.txt строчку Host с указанием главного зеркала вашего веб-ресурса. Там же нужно прописать и https-протокол, чтобы поисковые системы считали этот вариант приоритетным.

Уведомить поисковики об изменении протокола можно и с помощью специальных инструментов. В Яндекс.Вебмастере есть соответствующий раздел под названием “Переезд сайта”. Укажите в нем, что ваш проект “переехал” на использование защищенного соединения. В кратчайшие сроки Яндекс постарается учесть эту информацию и обновить поисковую базу в соответствии с новыми данными.

Заключение

В этой статье я подробно рассказал о том, как установить SSL на свой сайт. Благодаря встроенным инструментам в виртуальных хостингах, вы можете легко и без особых проблем реализовать https-соединение для своего проекта. В том же Бегете или REG.RU сделать все достаточно просто. А если учесть тот факт, что сейчас существует возможность установки бесплатной версии, это необходимо сделать как можно скорее.

Кстати говоря, не забудьте сделать проверку SSL-сертификата на сайте. Если все сделано правильно, то вас всегда будет редиректить на https-соединение.

Хотите создать свой собственный блог и зарабатывать на нем? Тогда я приглашаю вас на курс Василия Блинова “Как создать блог”. В нем вы получите все необходимые знания для создания своего сайта на WordPress и примените их в области поискового продвижения и оптимизации своего проекта.

Расскажите, получилось ли установить SSL-сертификат для вашего веб-ресурса?

Как настроить сайт на WordPress для работы с SSL-сертификатом

В докладе Digital 2020 агентство We Are Social сообщает, что среднестатистический житель планеты ежедневно проводит в интернете почти 7 часов. Мы общаемся, делаем покупки и регистрируемся в различных сервисах постоянно, и кто-то должен заботиться о безопасности наших данных: e-mail адресах, паролях, номерах банковских карт. Конечно же, защита информации, передаваемой на сайте — задача его владельца.


WordPress — самый популярный движок в мире. Поэтому сегодня я хочу рассказать вам, как добавить SSL-сертификат на сайт на WordPress и сделать его безопасным для посетителей, избежав распространенной ошибки. Разберемся по порядку.


Заказ и установка SSL-сертификата


Специальный сертификат безопасности нужно приобрести для доменного имени, то есть адреса вашего сайта в интернете, а установить на самом сайте. Если ваш проект размещен на нескольких доменах (например, timeweb.ru и timeweb.com), правильнее защитить все: это может быть одно решение сразу для всех доменных имен либо отдельно для каждого. Сделать заказ вы можете на любом специальном ресурсе, а установку — только там, где покупаете хостинг для WordPress. 


Если ваш сайт размещен в Timeweb, то и заказ, и установка доступны вам в панели хостинга. Это позволяет без проблем подключить SSL-сертификат к сайту на WordPress.


Вы можете приобрести бесплатный SSL Let’s Encrypt или коммерческий от Центра сертификации Sectigo. Я предпочитаю Sectigo Positive: он легко выпускается, совместим со всеми популярными браузерами, срок действия (1 год с автопродлением) и стоимость для меня оптимальны. 


Чтобы сделать заказ в Timeweb, перейдите в соответствующий раздел в панели управления.


Затем нажмите «Заказать», выберите тип сертификата, домен и заполните остальные поля, отобразившиеся на странице. 


Let’s Encrypt автоматически установится через 15-30 минут, Sectigo — после того, как вы подтвердите его выпуск.


Настройка HTTPS


Обязательно дождитесь установки, после чего продолжите настройку SSL-сертификата на WordPress. 


По умолчанию сайт открывается в браузере по протоколу HTTP. Чтобы автоматически устанавливалось безопасное соединение HTTPS, нужно включить перенаправление с HTTP на HTTPS. Рассмотрим два способа.



Настройка перенаправления в админке WordPress


  1. В меню выберите «Настройки», затем «Общие».
  2. В полях “WordPress Address (URL)” и “Site Address (URL)” к “http” добавьте в конце “s”, чтобы получилось “https”, и сохраните изменения.

Включение перенаправления в панели хостинга. На примере Timeweb


  1. Перейдите в раздел «Сайты». 
  2. Рядом с папкой нужного сайта нажмите на зеленую кнопку в виде шестеренки.
  3. Переведите переключатель «Использовать безопасное соединение https://» в состояние «вкл» и нажмите «Сохранить настройки». 

Проверьте, как ваш сайт открывается в браузере: в адресной строке должен быть «замочек».


Если видите надпись «Не защищено», то, чтобы настроить SSL-сертификат на сайте на WordPress, нужно исправить ошибку “mixed content”.


Устранение ошибки смешанного контента


Ошибка возникает, когда основной контент страницы передается по защищенному протоколу HTTPS, а часть информации (чаще всего это дополнительные элементы, например, изображения, видео или скрипты) — по небезопасному протоколу HTTP. Это делает некоторые страницы сайта уязвимыми и может вызвать недоверие пользователей: в адресной строке браузера посетитель сайта увидит надпись «Не защищено» — несмотря на все шаги, которые вы проделали ранее. Подробнее об ошибке написано в статье «Чем опасна ошибка смешанного контента на сайте». А в этой статье я расскажу, как исправить “mixed content” после установки SSL-сертификата. Вариант решения — не один. Рассмотрим самый простой, на мой взгляд.


Совет: перед тем, как проводить работы на сайте, делайте резервную копию. Тогда, если что-то пойдет не так, вы сможете откатить изменения, восстановив предыдущую версию сайта. 


Чтобы исправить ошибку, воспользуемся плагином Really Simple SSL. Почему: положительные отзывы, более 4 миллионов установок, регулярное обновление. 


Вот что нужно сделать:


  1. В меню админки WordPress выберите «Плагины», затем «Добавить новый».
  2. Введите в строке поиска “really simple ssl” или “mixed content”.
  3. Нажмите «Установить» рядом с плагином “Really Simple SSL”, затем «Активировать».
  4. Когда плагин активируется, нажмите кнопку «Вперед, активируйте SSL!».
  5. Проверьте работу сайта — в адресной строке браузера должен отобразиться «замочек».

Готово! Вы закончилу работу с SSL-сертификатом и победили смешанный контент HTTP и HTTPS на WordPress.


Продление SSL-сертификата


Чтобы ваш сайт постоянно был под защитой, заблаговременно выполняйте продление. Каждый сертификат безопасности имеет свой срок действия и обновляется по определенным правилам. Например, бесплатный Let’s Encrypt продлевается раз в три месяца за две недели до даты завершения, Sectigo Positive — раз в год, когда до окончания срока действия остается меньше 90 дней. Во втором случае можно включить автоматическое продление сразу при покупке и не волноваться, что вы забудете или не успеете обновить защиту сайта, а данные пользователей попадут в руки злоумышленников.


Как установить SSL-сертификат с HTTPS соединением на свой сайт?

Автор Алексей На чтение 11 мин. Просмотров 124 Опубликовано Обновлено

Как установить SSL-сертификат на свой сайт? Почему использование защищенного соединения должно стать приоритетом в 2019 году, почему веб-ресурсы без ССЛ рискуют потерять львиную долю своего трафика? Обо всем ниже.

Зачем нужен SSL-сертификат?

SSL позволит вам использовать защищенный протокол шифрования данных на вашем сайте. Данные, передаваемые от сайта к клиенту (посетителю) будут надежно зашифрованы. Никакие злодеи не смогут получить к ним доступ, как бы они не пытались.

Реализация такого подхода возможна благодаря математически связанным ключам шифрования. От сервера (веб-ресурса) к клиенту (компьютеру посетителя) информация передается с помощью трех ключей шифрования. Два из них – закрытые. Они есть и у сервера, и у клиента. Третий ключ – открытый, он используется обеими машинами.

Все три ключа связаны между собой, даже если злоумышленник узнает открытый ключ, он никогда не сможет расшифровать информацию из-за отсутствия двух других ключей. Также во время обмена данными между клиентом и сервером создается ключ сессии, который является гарантом безопасности ваших данных.

Безопасность и конфиденциальность – две вещи, к которым стремится интернет-сообщество. Именно по этой причине к сайтам, не использующим защищенное соединение, доверие неуклонно падает.

Даже браузеры, такие как Google Chrome, Opera или Mozilla Firefox, стали помечать сайты без https как нежелательные. Пока что просто обходятся предупреждением, однако в будущем на такие сайты, возможно, будут вешаться заглушки от браузера, где пользователь должен подтвердить, что он осознает весь риск и берет на себя ответственность в случае потери данных.

Наличие или отсутствие защищенного соединения может учитываться и поисковыми системами. Если Яндекс пока что говорит о том, что сайты с http и https индексируются равнозначно, то в Гугле уже прослеживаются некоторые изменения. В скором времени сайты могут помечаться как небезопасные и начать очень сильно проседать по позициям.

По этим причинам можно сделать вывод, что установка зашифрованного соединения не просто желательна, а необходима. Все без исключения пользователи хотят, чтобы их данные были в целости и сохранности. Так зачем же лишать их этих благ, тем более, что сделать все это можно абсолютно бесплатно, с помощью того же Let`s Encrypt.

Где взять SSL-сертификат?

Обычно этими сертификатами приторговывают сами хостинги. Если вы используете один из них, то вам не придется ломать голову над тем, какой выбрать. Достаточно взглянуть на список предложенных и выбрать самый дешевый или наоборот подороже.

Сейчас популярен вариант от Let`s Encrypt. Они распространяются бесплатно, и многие хостеры поддерживают возможность быстрой установки и подключения.

Кроме этого, в интернете можно найти очень много компаний, которые как раз занимаются тем, что проверяют домены и выдают соответствующие полномочия для установки зашифрованного протокола.

Есть даже огромные сервисы, которые проводят персональную проверку, после чего выдают именной сертификат. От обычного он отличается тем, что прямо в адресной строке, возле зеленого замочка, будет видно название вашей компании. Подобный подход покажет вашим клиентам, что они имеют дело с серьезной организацией. Само собой, именная проверка стоит в несколько раз (а то и десятков) дороже.

Приведу вам список самых популярных сервисов, где вы сможете купить SSL:

  • Comodo
  • Thawte
  • Symantec
  • Geotrust
  • Trustwave

Вы можете поискать и другие компании самостоятельно. Достаточно просто ввести в поиск нужный запрос, вся необходимая информация будет как на ладони.

Установка SSL на хостинг

В этой части обзора мы будем рассматривать установку SSL на хостинге Beget и REG.RU. Если у вас другой хостинг-провайдер, не отчаивайтесь. Скорее всего инструкции из этого материала будут применимы и на вашем хост-сервере. Большая часть панелей управления, которые используют хостинги, схожи между собой.

Как заказать бесплатный SSL-сертификат из панели управления в Beget?

  1. Зайдите в раздел Домены и поддомены и выберите напротив домена “Управление SSL сертификатами”.

  2. В открывшемся окне перейдите на вкладку “Бесплатный сертификат” и нажмите кнопку “Установить”.
  3. После заказа SSL-сертификата вы получите письмо на контактный email о подаче заявки на выпуск SSL, а затем еще одно письмо о завершении его установки.
  4. В момент установки для домена будет автоматически изменена A-запись, если домен работает на наших DNS. Если вы используете не наши DNS, необходимо самостоятельно прописать на них указанный в письме IP-адрес в качестве А-записи для домена.

Возможные проблемы при использовании SSL

Большинство CMS позволяют выбрать используемый протокол и настроить автоматическое перенаправление c HTTP на HTTPS. Если CMS эту функцию не поддерживает, можно настроить переадресацию вручную, добавив в начало файла.htaccess следующие строки:

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Также стоит обратить внимание на возможные проблемы при использовании SSL:

  • В том случае, если Ваш сайт проиндексирован поисковыми системами, при использовании SSL поисковые системы первое время будут считать сайты, доступные через HTTP и HTTPS, разными. Автоматическая склейка зеркал может занимать до 2 месяцев, за это время сайт может потерять свои позиции.
  • Так как поисковые системы будут видеть несколько одинаковых страниц на разных доменах, рекомендуется указывать основную страницу, которая будет указываться при переходе из поисковой системы. Сделать это можно, поправив все ссылки на “rel=canonical“, более подробно об этом можно прочесть в документации Google.
  • Если на Вашем сайте используются сторонние виджеты, например, чат, телефония, статистика – их также необходимо перевести на протокол HTTPS.
  • Возможны проблемы со стороними сервисами, которые грузили данные с Вашего сайта и не понимают 301/302 редирект после перевода его на HTTPS.

SSL на хостинге REG.RU

Чтобы установить ССЛ через форму на сайте, вам нужно перейти на сам сайт и залогиниться. Далее ваш путь лежит на страницу подключения SSL. После регистрации/авторизации вы увидите такое окно.

Если вы покупали SSL прямо в REG.RU, то вам необходимо выбрать нужный сертификат в выпадающем списке. После того, как отметили нужный, вы должны загрузить файл с приватным ключом. Он обычно выдается той компанией, которая сертифицировала вас. При настройке защищенного протокола вам предложат как раз сохранить такой ключ.

В случае с Let`s Encrypt или продажи другим сервисом, приватный ключ высылается на указанный e-mail. При утере ключа придется заниматься переизданием, что обещает большое количество проблем.

При получении SSL-сертификата от сторонних компаний, вам нужно выбрать вторую вкладку. Там будет 4 поля, куда вы должны загрузить все файлы, которые вам выдал центр сертификации.

Теперь остается лишь выбрать хостинг, на который должен быть установлен сертификат. Выберите в списке нужный и нажмите на кнопку для отправления заявки.

Обратите внимание, что нужный домен должен быть добавлен в панель управления вашего хостинга. Сразу после отправления заявки, в случае, если вы используете виртуальный хостинг – ССЛ будет установлен автоматически. Если же речь идет о выделенном сервере, то придется подождать, пока специалисты из REG.RU настроят и установят все в ручном режиме.

Установка SSL в ISPmanager

Чтобы установить ССЛ в ISPmanager 4, вам нужно перейти в панель управления и в соответствующий раздел. Он имеет название SSL-сертификаты.

В правом углу найдите кнопку “Создать”, после чего перед вашими глазами появится такое окно.

Нужно ввести все необходимые данные вручную. Поле “Имя сертификата” задается произвольно. Все остальное нужно предоставить по требованию. Выбираем “существующий” тип, и далее “указать вручную” в поле “Использовать ключ”.

Приватный ключ и сертификат выдаются сервисом, который проводит сертификацию. В поле “Цепочка сертификатов” нужно ввести два вида: промежуточный, а сразу за ним корневой. Обратите внимание, что на скриншоте отмечено, как именно должны быть расположены эти два ключа относительно друг друга.

Если при установке возникают ошибки, проверьте еще раз все введенные данные на наличие лишних пробелов и символов.

Как только SSL будет установлен, мы должны перейти в раздел “WWW домен” и поставить там вот такую галочку.

В обведенном красным поле необходимо выбрать нужное название, которое мы произвольно указывали при настройке SSL.

В ISPmanager 5 этот процесс мало чем отличается, тем не менее, я считаю необходимым описать и его.

Перейдите в одноименный раздел, который находится в “WWW”. Я думаю, вы сразу заметите его.

Далее вам нужно кликнуть по кнопке “Создать” и перейти непосредственно к настройке.

Сервис предложит вам выбрать тип сертификата – выбираем “Существующий”.

Нам необходимо будет заполнить все поля (имя, ключи и сам сертификат). Их выдает компания, у которой был куплен сертификат.

На завершающем этапе нам необходимо перейти в раздел WWW-домены и найти нужный из списка. Кликаем по домену два раза, после чего переходим к параметрам.

Отмечаем галочками “Защищенное соединение” и “Повышенная безопасность”, выбираем нужный SSL-сертификат в выпадающем списке.

Готово! Теперь ваш сайт будет использовать защищенное соединение.

Установка SSL на Cpanel

Для подключения SSL на хостинге Cpanel нужно перейти в соответствующий раздел на вашей панели управления. Он находится во вкладке “Безопасность”.

Теперь нужно кликнуть по кнопке “Управление сайтами с SSL”.

Выбираем нужный домен.

После этого откроется окно для вставки данных. Вводим сам сертификат, ключ и цепочку. Все данные можно получить на сайте компании, у которой вы заказывали эту услугу.

Вводим данные сертификата (после BEGIN CERTIFICATE). Заканчивается на END CERTIFICATE. Далее вставляем закрытый ключ и цепочку сертификатов.

Закрытый ключ начинается со слов “BEGIN RSA PRIVATE KEY”.

Здесь вставляется сначала промежуточный, а затем корневой сертификат. Конец первого и начало второго должны располагаться так, как показано на скриншоте.

Теперь нам остается завершить установку. Для этого мы нажимаем соответствующую кнопку.

Редирект с http на https

После установки вам захочется, чтобы все пользователи работали по защищенному соединению. Да и поисковые системы должны произвести склейку, иначе будет какая-то неразбериха: один и тот же сайт с http и https будет считаться как два разных. Нам нужно, чтобы это не произошло. Поэтому мы должны настроить редиректы.

Обычно это делается с помощью инструментов CMS или файла htaccess. В WordPress, например, можно настроить автоматические редиректы с незащищенного протокола на защищенный. Но здесь же отмечу, что далеко не все системы управления контентом могут поддерживать такую функцию. По этой причине редирект можно реализовать с помощью файла htaccess, который есть почти на любом сайте.

Просто добавляем в начало файла этот кусок кода и вуаля – ваш сайт имеет 301-й редирект с http на https.

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Теперь мы можем проверить наличие переадресации, просто зайдя на сайт без прописывания протокола (или с http протоколом). Если мы все сделали правильно, то нас перекинет на https://сайт.ру.

Обращаю ваше внимание, что после установки https-соединения как основного, ваш ресурс может потерпеть некоторые временные проблемы с индексацией. Происходить это будет на протяжении нескольких месяцев. Чтобы минимизировать ущерб и ускорить склейку двух версий сайта, вы должны выполнить ряд инструкций.

Например, добавить в файл robots.txt строчку Host с указанием главного зеркала вашего веб-ресурса. Там же нужно прописать и https-протокол, чтобы поисковые системы считали этот вариант приоритетным.

Уведомить поисковики об изменении протокола можно и с помощью специальных инструментов. В Яндекс.Вебмастере есть соответствующий раздел под названием “Переезд сайта”. Укажите в нем, что ваш проект “переехал” на использование защищенного соединения. В кратчайшие сроки Яндекс постарается учесть эту информацию и обновить поисковую базу в соответствии с новыми данными.

Заключение

В этой статье я подробно рассказал о том, как установить SSL на свой сайт. Благодаря встроенным инструментам в виртуальных хостингах, вы можете легко и без особых проблем реализовать https-соединение для своего проекта. В том же Бегете или REG.RU сделать все достаточно просто. А если учесть тот факт, что сейчас существует возможность установки бесплатной версии, это необходимо сделать как можно скорее.

Кстати говоря, не забудьте сделать проверку SSL-сертификата на сайте. Если все сделано правильно, то вас всегда будет редиректить на https-соединение.

Расскажите, получилось ли установить SSL-сертификат для вашего веб-ресурса?

Как установить SSL — сертификат и настроить https на сайте?

К концу 2018 года я стала замечать все больше и больше сайтов с установленным SSL – сертификатом, и соответственно изменённым адресом сайта с http на https.

Хотя многие не предали особое значение новости от компании Google, о том, что сайты с протоколом http будут понижены в поисковой выдаче, а также браузер Google Chrome будет помечать такие сайты как небезопасные.

Но сейчас все изменилось, появились инструкции по переходу, многие хостинги предлагают данную услугу при регистрации домена. Я тоже установила SSL – сертификат на своем сайте и настроила переезд адреса на новый с https.

Признаюсь честно этап покупки, установки и настройки сертификата совсем не легкий. Я использую сервер от компании REG.RU, там достаточно полная инструкция, поэтому «танцев с бубном» не было.

В статье хочу рассказать как легко справиться с переездом на https и показать все этапы от покупки до настройки SSL-сертификата на свой сайт.

Что такое HTTPS

HTTPS – HyperText Transfer Protocol Secure, это все тот же протокол http, только с функцией шифрования.

Сейчас поднята тема конфиденциальности данных, важно быть уверенным в том, что ваши логины и пароли при посещении любимого блога или сайта не будут перехвачены злоумышленниками.

Так вот этот протокол и отвечает за шифрование данных при вводе их на сайте. То есть работая с сайтом по адресу http, ваши данные передаются в таком же виде как ввели, будь то это логин и пароль или банковские данные. Но все меняется, как только сайт передает данные по зашифрованному протоколу.

При установке сертификата, выдается приватный ключ, который как раз расшифровывает данные, которые зашифровывает браузер при работе с сайтом. Приватный ключ находится на хостинге или сервере, в общем там, где находится ваш сайт.

Например, зашли на сайт и ввели в форму логин и пароль, данные кодируются, и отправляются браузером. Сервер же, используя приватный ключ их расшифровывает и получает в таком же виде как вы ввели. Даже если во время передачи данные были украдены, то злоумышленники не смогу расшифровать без приватного ключа.

Как проверить безопасность соединения с сайтом

Защищенный протокол представляет собой сертификат с содержанием некоторой информацией.

Когда вы посещаете любой веб-ресурс, то сервер передает браузеру информацию о сертификате и ваш браузер сообщает вам о защищенном соединение или об угрозе.

В адресной строке браузера Google Chrome, рядом с URL сайта, можно увидеть иконку, которая показывает о защите соединения.

Каким сайтам нужно переходить на протокол HTTPS

Всем. Будь это личный блог или портал, а может быть интернет-магазин. В любом случае нужно переводить адрес сайта на https. Прежде всего наличие установленного SSL-сертификата – это дополнительная защита для посетителей сайта.

Как перейти на https

Для перехода на https необходимо выбрать сертификат, а также на какое количество доменов и поддоменов его нужно установить. После покупки, настроить SSL – сертификат и сделать редирект со старого адреса на новый.

Виды сертификатов

Что такое SSL -сертификат и зачем нужен? SSL – сертификат – индивидуальная цифровая подпись для домена. Какой SSL – сертификат выбрать?

Различают несколько видов:

  • Самоподписанный сертификат SSL – такой сертификат вы сами выпускаете и сами заверяете, но к такому сертификату нет доверия.
  • Доверенный, подписанный центром сертификации – это означает, что информация, содержащаяся в сертификате проверена центром сертификации. Доверие со стороны браузеров к таким сертификат выше, так как в браузерах присутствует цепочка корневых сертификатов. Центры сертификации дают гарантию и денежную страховку в случае взлома. Популярные центры сертификации: Comodo, GlobalSign, AlphaSSL, Symantec, RapidSSL.

Типы сертификатов

  • Domain Validated (DV – проверка домена) – для получения такого сертификата не нужно предоставлять документы, так как он подтверждает, что действительно домен принадлежит вам, но такой сертификат не дает гарантии, что компании или владельцу сайта можно доверять. Больше всего такой тип сертификата подойдет – всем, кроме интернет-магазинов и банковских организаций. Для получения сертификата достаточно потвердеть владение доменом. Выдача сертификата обычно происходит достаточно быстро. Кстати, такой тип SSL-сертификата самый дешевый. SSL-сертификат доступен физическим лицам и юридическим компаниям.
  • Organization Validated (OV – с проверкой организации) – такой тип сертификата выдается компаниям, которые прошли дополнительную проверку, а именно проверку регистрационных документов организации или индивидуального предпринимателя. Также проводят проверку на владение доменом. Такой сертификат необходим компаниям, которые хранят и обрабатывают персональные данные. Например, интернет-магазинам.
  • Extended Validation (EV – с расширенной проверкой) – при посещении такого сайта, в адресной строке пользователь видит зеленую строку с названием компании. Получить такой сертификат сложнее, но и доверие к такому сайту намного выше. Посетители сайта могут быть уверены, что такая компания точно существует и этот сайт принадлежит ей. Получать такой сертификат необходимо компаниям, связанным с финансовой деятельностью, например банкам, платежным системам. Получение такого сертификата может занять до 9 дней, из-за проверки документов организации. Такой тип сертификата самый дорогой.

SSL – сертификат для домена и поддомена.

Сертификаты отличаются по количеству доменов, на которые распространяется их действие.

  1. SSL-сертификат для одного домена — действие сертификата распространяется на один домен (на поддомены будет не действителен)
  2. Мультидоменный SSL-сертификат (Multi-domain) — обычно такой сертификат возможно установить на 100 доменных имен, но в первоначальную стоимость входит защита трех доменов, а остальные докупаются по мере необходимости.
  3. SSL-сертификат Поддомены (Wildcard) — действует на домен и все его поддомены.
  4. SSL – сертификаты с поддержкой национальных доменов [IDN] – возможность защитить домен в зоне. рф и другие.

На основе выше написанного вам легко будет сделать выбор какой SSL – сертификат подойдет для вашего сайта, а также определить какое количество доменов необходимо защитить. Далее можно приступать к покупке, установке и настройка SSL – сертификата.

Как и где заказывать сертификат?

Центров сертификации достаточно много, а также партнеров, которые продают сертификаты этих центров. Но при покупке важно учитывать установлены ли корневые сертификаты этих центров в браузеры. Иначе после установки сертификата, браузер напишет, что сайт не защищён.

У крупных центров сертификации таких как Comodo, GlobalSign, AlphaSSL, Symantec, RapidSSL, с корневыми сертификатами все в порядке, поэтому смело можно покупать сертификат у одного из центров сертификации, либо у партнеров.

Самые дорогие сертификаты, как правило у центров сертификации, а дешевые SSL – сертификаты у партнеров.

Партнерами также являются хостинг-провайдеры и регистраторы доменов.

Я купила Comodo SSL – сертификат у партнера firstssl.ru. Именно на примере этого сайта, покажу, как происходит покупка и установка SSL – сертификата.

Как установить бесплатный SSL – сертификат для сайта, на примере Lets Encrypt.

Как SSL – сертификат купить у партнера центра сертификации

Заходим на главную страницу сайта firstssl.ru и выбираем подходящий SSL-сертификат.

После выбора необходимого сертификата, выберите срок действия SSL – сертификата (сейчас доступно 1-2 года), далее нажимаем кнопку Купить.

Регистрируемся, и попадаем в личный кабинет FirstSSL.

Личный кабинет находится по адресу my.firstssl.ru, сейчас компания работает на новым интерфейсом, я использовала пока старую версию личного кабинета.

Старая версия личного кабинета FirstSSLНовая версия личного кабинета FirstSSL

В меню сбоку – выбираем Товары -> SSL – сертификат -> Заказать.

Теперь шаг за шагом, начинаем покупать сертификат.

Шаг 1. Выбираем подходящий тип сертификата на один или два года (необходимо если не выбрали на главной странице), далее нажимаем кнопку Параметры.

Шаг 2. Запрос на получение сертификата -> сгенерировать запрос, ниже заполняем данные запроса. В поле организация, если у вас нет ИП, то можно указать ФИО владельца сайта.

Шаг 3. Секретный ключ сертификата. На этот этапе получаете тот самый секретный ключ, который будет использовать хостинг-провайдер, для расшифровки данных.

 

Шаг 4. Контактные данные. Указываем контакт администрации сайта и контакт технического специалиста, если у вас на сайте это один человек, отметьте галочку использовать данные администратора.

Шаг 5. Подтверждение сертификата. Подтвердить необходимо владение доменом, для подтверждения доступны три варианта:

  1. по E-mail-адресу : причем обязательно должен быть адрес связанный с доменом. Для это ранее необходимо настроить почту для домена. Создан должен быть хотя бы один адрес из пяти на выбор.  
  2. По хэш-файлу: будет создан специальный файл, который нужно поместить в корень сайта, это файл должен быть доступен по адресу http(s)://вашдомен.рф/.well-known/pki-validation/MD5-хеш.txt
  3. По записи CNAME DNS: такой способ подойдет тем, кто не может воспользоваться двумя предыдущими способами, здесь необходимо добавить запись в DNS CNAME. 

Далее в зависимости от метода подтверждения следуем инструкции, я выбрала подтверждение по e-mail-адресу, через несколько минут пришло письмо в котором было необходимо пройти по ссылке и ввести код, отправленный в этом же письме.

После успешного подтверждения, увидите следующие окно.

 

Шаг 6. Оплачиваете SSL-сертификат, если не сделали это раньше. После оплаты нужно еще немного подождать, так как идет процесс выпуска сертификата.

 

После успешного выпуска сертификата придет сообщение на почтовый адрес или будет видно в строке состояние в личном кабинете.

Далее щелкаем по активному сертификату и в самом низу страницу находим нужные нам файлы сертификации:

  • Секретный ключ – файл с расширением *.key
  • Сертификат – файл с расширением *.zip, внутри архива файл сертификата безопасности с расширением *.crt  и цепочка SSL – сертификатов, файл с расширением *.ca-bundle
  • Запрос на сертификат – файл с расширением *.csr

 

Скачиваем все три файла на свой компьютер и приступаем к следующему шагу установки SSL – сертификата на хостинг.

Подготовка сайта к установке сертификата

Я использую CMS WordPress, если используете другие CMS настройки могут отличаться.

Перед любым вмешательством в код сайта обязательно сделайте резервную копию.

Далее заходим в общие настройки сайта: Настройки -> Общие, изменяем протокол на https.

Изменение абсолютных ссылок на относительные

  • http://site/ – абсолютная ссылка с http
  • https://site/ – абсолютная ссылка с https
  • //site/ – относительная ссылка

Сейчас все ссылки абсолютные с http, а нам нужно абсолютную с https или относительную.

Самое простое сделать ссылки относительными. Для этого существует специальный плагин HTTP / HTTPS Remover.

HTTP / HTTPS Remover

Плагины -> Добавить новый, вводим HTTP / HTTPS Remover в строку поиска, а после активируем. Готово.

Если посмотреть исходный код, то все ссылки теперь будут выглядеть так.

Такой способ быстрый, а значит не без минусов. Проблема возникнет в каноническом URL.

При проведении планово аудита сайта, с помощью программы ComparseR, увидела, что URL и rel=”canonical” не совпадают.

Атрибут rel=”canonical” важен, так как не правильно указанный атрибут может привести к ненужным дублям или вовсе неиндексации страниц.

Поэтому было принято решение о переходе на абсолютную ссылку с https.

Измение ссылок необходимо проводить в phpMyAdmin, поэтому я сделала с помощью скрипта Search Replace DB.

Search Replace DB

Скачиваем скрипт Search Replace DB и загружаем папку на хостинг.

Внимание! Не забудьте после работы со скриптом обязательно удалить, так как программа имеет доступ к вашей базе данных!

Открываем скрипт и заполняем поля.

После нажатия кнопки live run, происходит замена из поля replace на поле with. Обязательно проверьте ссылки в коде сайта.

Теперь все правильно, адрес сайта и атрибут rel=”canonical” совпадают.

Как установить SSL – сертификат

Неважно на каком движке сайт, мой сайт на движке WordPress, но установка сертификата будет происходить на хостинге.

Мой сайт находится на хостинге от компании REG.RU, панель управление веб-хостингом ISPmanager 5.

Установить SSL – сертификат на REG.RU  достаточно легко, так предусмотрено два варианты установки: через форму на сайте или в панели управления хостингом.

  1. Установка сертификата через форму на сайте – переходите по ссылке, загружаете все файлы сертификата, указываете хостинг, отправляете заявку, готово! 
  2. Установка сертификата в ISPmanager 5   – все настройки по установке SSL-сертификата в панели управления ISPmanager 5, проводите самостоятельно.

Шаг 1. Заходим в панель управления хостингом.

Шаг 2. Открываем меню сбоку -> SSL-сертификаты -> Создать.

Шаг 3. Далее шаг за шагом, выбираем и заполняем необходимые поля. Тип SSL-сертификата -> Существующий.

Шаг 4. Необходимо в первое поле вставляем свой SSL-сертификат, файл с расширением *.crt. В следующее поле секретный ключ из файла с расширением *.key. В третье поле указывается цепочка сертификатов из файла *.ca-bundle

Шаг 5. В меню выбираем WWW-домены -> далее свой домен.

Шаг 6. Обязательно отмечаем поле Защищенное соединение (SSL) и в поле SSL-сертификат выбираем установленный сертификат.

Можно отметить еще поле Перенаправлять HTTP-запросы в HTTPS и если отметить это поле сайт будет доступен по новому адресу начинающийся с https.

Правда возникает проблема, о которой я расскажу ниже в статье. Я не отмечаю поле Перенаправлять HTTP-запросы в HTTPS  и перехожу к шагу 7.

Шаг 7. Теперь нужно сделать редирект с http на https. В корне сайта находим файл .htaccess и в начале файла прописываем команды:

RewriteEngine On
RewriteCond %{HTTPS} =off
RewriteCond %{REQUEST_URI} !^/robots.txt
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

Редирект с http на https через htaccess, сделать просто, плюс есть возможно добавить или исключить страницы из переадресации.  В моем случае из переадресации исключила файл robots.txt.

После этого сайт доступен по https.

Шаг 8. Настройка robots.txt

Так же вносим изменения в robots.txt, указав какой сайт будет основным зеркалом. Изменяем протокол и до sitemap_index.xml.

 

Проверка правильности работы сертификата

Проверить можете с помощью этого сервиса https://www.ssllabs.com/ssltest/analyze.html

Такой отчет увидите, если все правильно.

Ошибки при редиректе

Ошибка: Сервер отвечает редиректом на запрос /robots.txt

Так как после редиректа сайт будет доступен по новому адресу, и склейка адресов будет не быстрой (где то около двух недель), файл robots.txt в Яндекс Вебмастере не будет доступен по старому адресу, и за это время в поисковую выдачу могут попасть ненужные страницы.

Для того чтобы это не произошло, нужно исключить файл robots.txt при редиректе. Строка RewriteCond %{REQUEST_URI} !^/robots.txt

 

Переезд сайта на https в Яндекс Вебмастер

После того как сайт стал доступен по новому адресу, заходим в панель Яндекс Вебмастер -> Индексирование -> Переезд сайта.

Отмечаем поле Добавить HTTPS -> Сохранить.

Ждем около двух недель, далее заходим в Яндекс Вебмастер и добавляем сайт в панель Яндекс Вебмастер. Еще немного ждем.

После этого появятся все данные по сайту.

 

Переезд сайта в Google Search Console

В Google Search Console переезд сайта на новый адрес настроить проще, нужно просто добавить свой сайт как новый и все.

Подтверждаем права на владение сайтом.

 

Ну вот и все, статья получилась очень большая, но я думаю достаточно подробная. Смело осуществляйте перевод сайта на https. Появились вопросы напишите в комментарии, я обязательно отвечу.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Установка SSL-сертификата на сайт, делаем https легко и бесплатно

С каждым днем необходимость в защищенном соединения стает все острее. Во-первых, это более безопасная работа с сайтом, потому что все данные передаются в шифрованном виде, во-вторых, это зелёный замочек рядом с адресом сайта, что вызывает некое доверие к порталу, в-третьих, по заявлению представителей Google, сайты работающие на https имеют преимущество в поисковой выдаче.

SSL-сертификатов существует несколько видов: от простых с проверкой домена, до мультидоменных с информацией о компании (зеленой строкой). Рассматривать все виды и преимущества каждого мы не будем, главная задача, разобраться как получить SSL-сертификат бесплатно.

Получения и установка SSL-сертификата Let’s Encrypt

1. Для получения сертификата воспользуемся сайтом https://www.sslforfree.com/. Переходим по ссылке и прямо на главной странице видим основное поле. Вбиваем туда имя нашего домена и нажимаем кнопку “Create Free SSL Certificate”.

2. Далее сайт нам предлагают на выбор несколько вариантом подтверждения домена. Нажимаем “Manual Verification”, после “Retry Manual Verification”. В итоге, мы получаем два файла которые необходимо залить на сайт в папку /.well-known/acme-challenge. Выполняем данные действия и нажимаем “Download SSL Certificate”.

3. Наш SSL-сертификат готов, срок его действия 90 дней, после необходимо повторить процедуру. Остается только установить его на сайт.

4. Процесс установки сертификата на каждом хостинге может немного отличаться, если у вас установлена какая-либо панель управления (ISP Manager, cPanel и т.д.), то сделать через нее не составит большого труда. Для этого переходим в раздел “SSL сертификаты” и выполняем установку по инструкции. В случае отсутствия панели установка происходит через конфиги web-сервера, подробнее о процессе установки SSL-сертификата на Apache в CentOS.

5. Настройка редиректа с http на https. Сделать это можно несколькими способами, через панель хостинга, через файл .htaccess, через конфигурацию вашего web-сервера или через PHP (любой другой язык, на котором сделан сайт).

Все способы рассматривать не будем, это материал для другой статьи. Самый распространённый пример, редирект с http на https через .htaccess. Добавляем нижеуказанный код в начало файла .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

6. Процесс установки закончен, теперь необходимо проверить сайт, чтобы все картинки, стили, скрипты подгружались по https соединению, в противном случае сайт не будет помечаться как безопасный. Проще всего вообще удалить “http:” из подключаемых файлов, то есть сделать так:

<script type="text/javascript" src="//site.com/static/js/jquery.js"></script>

В данном случае протокол не указан и будет использован тот, по которому вы зашли на сайт.

На этом все, можете радоваться “зеленому замочку”. Если возникли какие-то вопросы или дополнения пишите в комментариях.

 

 

Установка SSL-сертификата на сайт | Интернет-маркетинг. Простые решения

Мы будем рассматривать варианты для владельцев сайтов, расположенных на стандартных хостингах. Те, у кого есть свой сервер, разберутся самостоятельно.

У вас есть несколько вариантов.

Приобретение SSL-сертификата (бесплатного или платного) у своего хостера.

Это самый простой вариант, потому что вам просто нужно в панели управления своим хостингом найти опцию заказа сертификата, выбрать нужный, заказать, оплатить (если необходимо). Обычно ваш хостер сам установит заказанный сертификат, бесплатно или за разумную сумму. Вам останется проверить корректность установки и настроить свой сайт для работы по https.

Если ваш сайт абсолютно новый, сделать настройки легко. Если сайт уже наполнен контентом, придется сделать немного больше движений, но все решаемо, поговорим об этом ниже.

 

Приобретение SSL-сертификата в центрах сертификации.

 

1. Регистрируетесь на сайте центра сертификации или на сайте партнера.

2. Выбираете тип сертификата. Если у вас один свой блог или один сайт без финансовых операций, подойдет сертификат для одного домена с минимальной проверкой — DV.

3. Генерируете CSR-запрос на сертификат. Этот запрос — Certificate Signing Request — представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ. Обычно CSR генерируется в процессе заказа SSL-сертификата.

4. Файл ключа, который вы получите при генерации запроса, обязательно сохраните!

5. Оплачиваете сертификат, если он платный.

6. Подтверждаете владение доменом. Для этого вам пришлют письмо (может понадобиться почтовый ящик именно в зоне домена), в котором нужно кликнуть по ссылке для подтверждения, либо скопировать код, который вводится в форму на странице центра сертификации.

Так же вы можете столкнуться с вариантом, когда вас попросят создать на своем домене TXT-запись определенного содержания. После создания записи центр сертификации автоматически проверит владение доменом.

7. Дожидаетесь выпуска сертификата, скачиваете его или получаете в виде письма на почту.

8. Устанавливаете сертификат на сайт.  Вам понадобится файл ключа (см. п.4) и файл сертификата (п.7). Некоторые хостинг-провайдеры предусмотрели на своих хостингах удобные формы для установки сертификата, в этом случае вам просто нужно добавить в эти формы информацию ключа и сертификата.

Если же у вашего хостера таких опций нет, вы можете установить сертификат своими силами, если имеете достаточно опыта, либо обратиться в техподдержку хостинга и вам помогут с установкой или бесплатно, или за небольшие деньги. Этот вариант предпочтителен для новичков. Можно так же найти помощь по установке сертификата на биржах фрилансеров, но в данном случае воспользоваться помощью хостинг-провайдера будет надежнее.

9. Проверяете корректность установки сертификата

10. Настраиваете сайт для работы по https.

 

Приобретение SSL-сертификата у регистратора доменных имен

Процесс похож на приобретение сертификата в центре сертификации, но несколько проще — вам не нужна дополнительная регистрация, и процесс подтверждения владения доменом будет проще, тк регистратор и так знает, что домен ваш.

В личном кабинете на сайте регистратора закажите сертификат, получите инструкции на свой почтовый ящик и действуйте в соответствии с ними. Как правило, вас попросят подтвердить физический доступ к сайту, создав на сайте TXT-запись заданного содержания. После выполнения действий, указанных в инструкции, вы получите письмо с сертификатом, которое будет содержать сам сертификат и ключевой файл.

Установка сертификата будет такой же, как в случае получения сертификата в центрах сертификации.

Установка SSL сертификата

Если Вы еще не приобрели SSL сертификат для своего веб-сайта, добро пожаловать в наш мастер выбора SSL сертификатов, где Вы сможете выбрать необходимое решение в зависимости от необходимого количества доменов и поддоменов, уровня валидации и цены.

Если процесс оформления SSL сертификата прошел успешно и Вы получили письмо с файлами сертификата или же скачали их в личном кабинете, можно сразу же установить SSL сертификат на сайт. Как правило, мы высылаем цифровые SSL сертификаты в виде файлов с расширением .crt. Внутри содержится зашифрованная информация, начинающаяся тегом BEGIN и заканчивающаяся тегом END. При установке SSL сертификата Вам нужно будет копировать содержимое файла, не забывайте о тегах, иначе Ваш сервер не сможет распознать SSL сертификат. Мы рекомендуем сохранить файлы сертификатов в отдельном месте, чтобы Вы имели к ним доступ во время установки. Позаботьтесь также о том, чтобы это место было безопасным, иначе при потере/краже секретного ключа SSL сертификат должен быть аннулирован. 

Как установить SSL сертификат на сайт? 

Процесс установки SSL сертификатов зависит от программного обеспечения, установленного на Вашем сервере. Ниже находятся инструкции по установке SSL сертификатов для наиболее популярных серверов. Если в списке отсутствует инструкция для Вашего сервера или возникли какие-либо проблемы с установкой, обращайтесь в нашу службу поддержки или к администратору сервера. 

Apache (OpenSSL)

Citrix Access Gateway

Courier Imap

HSphere

IBM HTTP

Lotus Domino

Mac OS X (версия 10.5)

Microsoft IIS 5.X/6.X

Microsoft IIS 7.X

Microsoft Outlook Web Access (OWA)

Nginx

Oracle Wallet Manager

Plesk 7 и Plesk 8

Sonicwall SSL VPN

Tomcat

WHM/cPanel

Zeus Web Server

Инструкции для платформ, работающих с SSL сертификатом Unified Communications (UCC):

Exchange 2007

Exchange 2010

Консоль MMC (установка корневого и промежуточного сертификатов)

Полезная информация:

Как создать цепочку сертификатов (ca-bundle)?

Что такое корневой сертификат?

Что такое промежуточный сертификат?

Как установить сертификат SSL на ваш сайт WordPress

Согласно различным поисковым системам, таким как Google, безопасные веб-сайты будут иметь более высокий приоритет при определении рейтинга. Это означает, что ваш сайт может получить более высокий рейтинг, если он начинается с префикса «HTTPS:». Это связано с тем, что уровни защищенных сокетов защищают посетителей от нескольких типов мошенничества путем шифрования передачи данных. Это значительно усложняет «слежку» и кражу информации таким образом.

Если вы хотите защитить своих пользователей, одновременно улучшая поисковый рейтинг своих страниц, установка SSL-сертификата WordPress — один из самых простых и экономичных способов.

Что такое сертификат SSL?

Прежде чем я покажу вам, как установить SSL, давайте посмотрим, что именно они собой представляют. Сертификат SSL на самом деле представляет собой набор небольших файлов данных, которые в цифровой форме связывают криптографический ключ с данными организации.

SSL означает Secure Sockets Layer, который является глобальной стандартной технологией безопасности. Это обеспечивает шифрованную связь между веб-браузером и веб-сервером.

Когда вы устанавливаете один на своем веб-сайте (веб-сервере), он активирует замок и протокол https.Это обеспечивает безопасное соединение веб-сервера с браузером. В прошлом году. SSL-сертификат обычно можно найти только на веб-сайтах, которые выполняли финансовые операции и получали личную информацию.

Со временем они стали популярными для всех социальных сетей. Затем Google начал поощрять все сайты иметь SSL. На этом этапе настоятельно рекомендуется иметь его. По сути, сертификат SSL связывает вместе следующие две вещи:

  1. Доменное имя, сервер или имя хоста.
  2. Идентификационные данные организации (например, название компании) и местонахождение.

Сколько дополнительных SSL-сертификатов в год?

Фактическая стоимость сертификата SSL будет варьироваться от одного хостинг-провайдера к другому. Вам также необходимо принять во внимание, какой SSL вам нужен. Например, стандартный сертификат для личных и деловых веб-сайтов может быть значительно меньше по сравнению с более высоким уровнем безопасности, предлагаемым для электронной коммерции.

GreenGeeks на самом деле предлагает бесплатный шаблон SSL с нашими планами хостинга.

Такие функции, как мультидоменность (SAN), проверка домена, самоподписывание, гарантии SSL и другие параметры, также будут влиять на стоимость в год.

Установка SSL-сертификата на ваш сайт WordPress

Установка SSL-сертификата WordPress относительно проста. С вашей стороны очень мало кода или изменений. За очень короткое время вы можете предлагать своим посетителям безопасные страницы, одновременно повышая свой авторитет в Интернете. Хотя вы можете вручную вносить изменения в перенаправления, это намного проще, если вы используете правильный плагин.

Получение сертификата SSL

Для начала вам необходимо приобрести SSL у своего хостинг-провайдера или получить бесплатный сертификат SSL с подстановочными знаками от GreenGeeks . Некоторые сервисы позволят вам передавать сертификат от третьих лиц.

Однако, вероятно, неплохо было бы убедиться, что у вас его еще нет. Если у вас другой план хостинга, вы могли бы использовать SSL по умолчанию. Вы узнаете об этом, связавшись с вашим провайдером веб-хостинга.

Установка сертификата SSL

После того, как вы приобрели SSL, его необходимо установить. Это делается путем определения домена, у которого будет сертификат. Если у вас есть учетная запись хостинга с неограниченным количеством доменов и несколько веб-сайтов, вам нужно будет выбрать, какой из них будет получать новый SSL.

Если у вас есть тарифный план хостинга с нами, вы можете довольно легко сделать это из области администратора вашей учетной записи. У нас есть установщик в один клик, который прост в использовании.

Использование подключаемого модуля для внесения необходимых изменений

Использование подключаемого модуля может потребовать значительных усилий при использовании SSL для вашего сайта.Многие из них автоматически вносят необходимые изменения после покупки сертификата.

Некоторые настроят сайт, просто активировав плагин, без дополнительных действий с вашей стороны. Вот несколько лучших плагинов SSL для WordPress. Вы можете искать и получать доступ ко всем перечисленным ниже плагинам со страницы плагинов в панели управления администратора WordPress.

Просто найдите плагин по имени, установите и активируйте его прямо оттуда. После того, как плагин будет установлен и активирован, вы можете выполнить необходимый процесс, перейдя на соответствующую страницу настроек для каждого плагина.

Really Simple SSL

Плагин Really Simple SSL не требует дополнительной настройки, кроме установки и активации. Он автоматически внесет изменения в файл .htaccess, если на вашем сайте будет обнаружен SSL. Вы также можете просмотреть настройки конфигурации того, что контролировалось плагином.

Этот плагин идеально подходит для плавного и чистого процесса перехода на SSL.

Cloudflare Гибкий SSL

Для тех, кто использует Cloudflare для своего SSL, этот плагин автоматически установит все необходимые изменения, включающие гибкий SSL на WordPress и предотвращающие бесконечные циклы перенаправления при загрузке сайтов WordPress.Это еще один из тех плагинов, которые внесут соответствующие изменения после установки и активации.

Cloudfare Flexible SSL — лучший способ выполнить этот процесс, если вы используете Cloudfare для своего SSL. Посмотри.

WP Force SSL

WP Force SSL — это плагин, предназначенный для предотвращения доступа к страницам и сообщениям через HTTP, а не через безопасный HTTPS. Он автоматически перенаправляет весь трафик вашего сайта на правильный контент, управляемый сертификатами.Этот плагин внесет необходимые коррективы за вас.

Все вышеперечисленные плагины помогут вам легко перейти на SSL и перейти с протокола HTTP на протокол HTTPS. Тот, который вы выберете, может быть основан на личных предпочтениях, простоте использования или потребностях.

Изменение настроек WordPress

После установки плагина для управления вашим SSL пора изменить настройки в WordPress. Процесс несложный. На панели управления нажмите «Настройки»> «Общие».

Вы увидите текстовое поле для «Адрес сайта.»Убедитесь, что в префиксе вашего домена указано https. Это поможет перенаправить ваш защищенный контент и решит некоторые проблемы с некорректным отображением сообщений и страниц.

Вы также можете изменить страницу .htaccess вручную, если хотите и понимаете, как это сделать. Посмотрите, как это сделать, ниже.

Изменение страницы .htaccess вручную

Если вы хотите изменить файл .htaccess вручную, кодирование довольно простое.Просто откройте файл в редакторе и введите следующие строки:


# HTTP TO HTTPS #

RewriteEngine On
RewriteCond% {HTTPS} off
RewriteRule. * Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Последние мысли

Настройка SSL-сертификата WordPress менее сложна, чем вы думаете. Это может помочь посетителям чувствовать себя уверенно на ваших страницах, улучшая восприятие вашего сайта в поисковых системах.

Думайте о расходах как о способе расширения маркетинговых возможностей вашего веб-сайта. Ваш контент может быть более доступным по сравнению с конкурентами, просто установив SSL в домене. Кроме того, поскольку Google начал уделять больше внимания и рейтингу сайтам, поддерживающим SSL, определенно стоит переключиться, если вы еще этого не сделали.

Какие меры безопасности используются на вашем сайте WordPress? Как вы думаете, стоит ли дополнительная годовая стоимость безопасности и усилий, связанных с SSL?

Автор: Каумил Патель

Каумил Патель является главным операционным директором GreenGeeks и имеет более чем 13-летний опыт работы в индустрии веб-хостинга, работая на компании веб-хостинга и владея ими.Каумил специализируется на маркетинге, развитии бизнеса, операциях, приобретениях и слияниях.

.

Добавление сертификатов TLS / SSL и управление ими — Служба приложений Azure

  • 16 минут на чтение

В этой статье

Служба приложений Azure предоставляет хорошо масштабируемую службу веб-хостинга с автоматическими исправлениями. В этой статье показано, как создать, загрузить или импортировать частный сертификат или общедоступный сертификат в службу приложений.

После того, как сертификат добавлен в приложение службы приложений или приложение-функцию, вы можете защитить с его помощью настраиваемое DNS-имя или использовать его в коде приложения.

В следующей таблице перечислены варианты добавления сертификатов в службу приложений:

Опция Описание
Создание бесплатного управляемого сертификата службы приложений (предварительная версия) Частный сертификат, который легко использовать, если вам просто нужно защитить свой собственный домен www или любой другой домен в службе приложений.
Купить сертификат службы приложений Частный сертификат, управляемый Azure. Он сочетает в себе простоту автоматического управления сертификатами и гибкость опций продления и экспорта.
Импорт сертификата из Key Vault Полезно, если вы используете Azure Key Vault для управления своими сертификатами PKCS12. См. Требования к частному сертификату.
Загрузить частный сертификат Если у вас уже есть частный сертификат от стороннего поставщика, вы можете его загрузить.См. Требования к частному сертификату.
Загрузить публичный сертификат Общедоступные сертификаты не используются для защиты пользовательских доменов, но вы можете загрузить их в свой код, если они вам нужны для доступа к удаленным ресурсам.

Предварительные требования

Чтобы следовать этому руководству:

Требования к частному сертификату

Примечание

Веб-приложения Azure не поддерживают , а AES256, и все файлы pfx должны быть зашифрованы с помощью TripleDES.

Бесплатный управляемый сертификат службы приложений или сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы решите загрузить или импортировать частный сертификат в службу приложений, ваш сертификат должен соответствовать следующим требованиям:

  • Экспортировано как защищенный паролем файл PFX
  • Содержит закрытый ключ длиной не менее 2048 бит
  • Содержит все промежуточные сертификаты в цепочке сертификатов

Для защиты личного домена в привязке TLS к сертификату предъявляются дополнительные требования:

  • Содержит расширенное использование ключа для аутентификации сервера (OID = 1.3.6.1.5.5.7.3.1)
  • Подписано доверенным центром сертификации

Примечание

Сертификаты Elliptic Curve Cryptography (ECC) могут работать со службой приложений, но не рассматриваются в этой статье. Работайте со своим центром сертификации над точными шагами по созданию сертификатов ECC.

Подготовьте веб-приложение

Для создания настраиваемых привязок безопасности или включения клиентских сертификатов для приложения службы приложений ваш план службы приложений должен быть на уровне Basic , Standard , Premium или Isolated .На этом этапе вы убедитесь, что ваше веб-приложение находится на поддерживаемом ценовом уровне.

Войдите в Azure

Откройте портал Azure.

Перейдите в свое веб-приложение

Найдите и выберите Службы приложений .

На странице App Services выберите имя своего веб-приложения.

Вы попали на страницу управления своего веб-приложения.

Проверить ценовой уровень

В левой панели навигации страницы веб-приложения перейдите к разделу Настройки и выберите Увеличение масштаба (план службы приложений) .

Убедитесь, что ваше веб-приложение не относится к уровню F1 или D1 . Текущий уровень вашего веб-приложения выделен темно-синей рамкой.

Custom SSL не поддерживается на уровне F1 или D1 . Если вам нужно увеличить масштаб, выполните действия, описанные в следующем разделе. В противном случае закройте страницу Масштабирование и пропустите раздел «Масштабирование плана службы приложений».

Расширьте план службы приложений

Выберите любой из платных уровней ( B1 , B2 , B3 или любой уровень в категории Production ).Для дополнительных параметров щелкните См. Дополнительные параметры .

Щелкните Применить .

Когда вы увидите следующее уведомление, операция масштабирования завершена.

Создать бесплатный сертификат (предварительная версия)

Бесплатный управляемый сертификат службы приложений — это готовое решение для защиты настраиваемого DNS-имени в службе приложений. Это полнофункциональный сертификат TLS / SSL, управляемый службой приложений и автоматически обновляемый.Бесплатный сертификат имеет следующие ограничения:

  • Не поддерживает подстановочные сертификаты.
  • Не поддерживает голые домены.
  • Не подлежит экспорту.
  • не поддерживается в среде службы приложений (ASE)
  • Не поддерживает записи A. Например, автоматическое продление не работает с записями A.

Примечание

Бесплатный сертификат выдается DigiCert. Для некоторых доменов верхнего уровня необходимо явно разрешить DigiCert в качестве эмитента сертификатов, создав запись домена CAA со значением: 0 issue digicert.com .

Чтобы создать бесплатный сертификат, управляемый службой приложений:

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

На левой панели навигации приложения выберите Настройки TLS / SSL > Сертификаты закрытых ключей (.pfx) > Создать управляемый сертификат службы приложений .

В диалоговом окне отображается любой не голый домен, который правильно сопоставлен с вашим приложением с помощью записи CNAME.Выберите личный домен, для которого нужно создать бесплатный сертификат, и выберите Создать . Вы можете создать только один сертификат для каждого поддерживаемого личного домена.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Импорт сертификата службы приложений

Если вы приобрели сертификат службы приложений в Azure, Azure выполняет следующие задачи:

  • Обеспечивает процесс покупки в GoDaddy.
  • Выполняет проверку сертификата домена.
  • Поддерживает сертификат в Azure Key Vault.
  • Управляет обновлением сертификата (см. Обновление сертификата).
  • Автоматическая синхронизация сертификата с импортированными копиями в приложениях службы приложений.

Чтобы приобрести сертификат службы приложений, перейдите к Начать заказ сертификата.

Если у вас уже есть работающий сертификат службы приложений, вы можете:

Стартовый сертификат заказа

Запустите заказ сертификата службы приложений на странице создания сертификата службы приложений.

Используйте следующую таблицу, чтобы помочь вам настроить сертификат. Когда закончите, нажмите Создать .

Настройка Описание
Имя Понятное имя для вашего сертификата службы приложений.
Имя хоста голого домена Укажите здесь корневой домен. Выданный сертификат защищает как корневой домен , так и поддомен www и .В выданном сертификате поле Common Name содержит корневой домен, а поле Subject Alternative Name содержит домен www . Чтобы защитить только любой субдомен, укажите здесь полное доменное имя субдомена (например, mysubdomain.contoso.com ).
Подписка Подписка, которая будет содержать сертификат.
Группа ресурсов Группа ресурсов, которая будет содержать сертификат.Вы можете, например, использовать новую группу ресурсов или выбрать ту же группу ресурсов, что и ваше приложение службы приложений.
Сертификат SKU Определяет тип создаваемого сертификата: стандартный или подстановочный.
Юридические условия Щелкните, чтобы подтвердить свое согласие с юридическими условиями. Сертификаты получены от GoDaddy.

Примечание

Сертификаты службы приложений

, приобретенные в Azure, выдаются GoDaddy.Для некоторых доменов верхнего уровня необходимо явно разрешить GoDaddy в качестве эмитента сертификатов, создав запись домена CAA со значением: 0 issue godaddy.com

Store в хранилище ключей Azure

После завершения процесса покупки сертификата вам необходимо выполнить еще несколько шагов, прежде чем вы сможете начать использовать этот сертификат.

Выберите сертификат на странице Сертификаты службы приложений, затем щелкните Конфигурация сертификата > Шаг 1. Сохраните .

Key Vault — это служба Azure, которая помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Это предпочтительное хранилище для сертификатов службы приложений.

На странице «Состояние хранилища ключей » щелкните «Репозиторий хранилища ключей », чтобы создать новое хранилище, или выберите существующее хранилище. Если вы решили создать новое хранилище, используйте следующую таблицу, чтобы настроить хранилище, и нажмите «Создать». Создайте новое хранилище ключей внутри той же подписки и группы ресурсов, что и ваше приложение службы приложений.

.

Настройка Описание
Имя Уникальное имя, состоящее из буквенно-цифровых символов и тире.
Группа ресурсов В качестве рекомендации выберите ту же группу ресурсов, что и сертификат службы приложений.
Расположение Выберите то же расположение, что и ваше приложение службы приложений.
Ценовой уровень Дополнительные сведения см. В статье о ценах на хранилище ключей Azure.
Политики доступа Определяет приложения и разрешенный доступ к ресурсам хранилища. Вы можете настроить его позже, выполнив действия, описанные в разделе Назначение политики доступа Key Vault.
Доступ к виртуальной сети Ограничьте доступ к хранилищу для определенных виртуальных сетей Azure. Вы можете настроить его позже, выполнив действия, указанные в разделе Настройка брандмауэров и виртуальных сетей Azure Key Vault

После выбора хранилища закройте страницу Key Vault Repository .Для параметра Step 1: Store должна появиться зеленая галочка. Оставьте страницу открытой для следующего шага.

Подтвердите право собственности на домен

На той же странице конфигурации сертификата , которую вы использовали на последнем шаге, щелкните Шаг 2: Проверьте .

Выберите Проверка службы приложений . Поскольку вы уже сопоставили домен со своим веб-приложением (см. Предварительные требования), он уже проверен. Просто щелкните Проверить , чтобы завершить этот шаг.Нажимайте кнопку Обновить , пока не появится сообщение Сертификат подтвержден доменом .

Примечание

Поддерживаются четыре типа методов проверки домена:

  • Служба приложений — наиболее удобный вариант, когда домен уже сопоставлен с приложением службы приложений в той же подписке. Он использует тот факт, что приложение службы приложений уже подтвердило право собственности на домен.
  • Домен — проверьте домен службы приложений, который вы приобрели в Azure.Azure автоматически добавляет проверочную TXT-запись и завершает процесс.
  • Почта — Подтвердите домен, отправив электронное письмо администратору домена. Инструкции предоставляются при выборе опции.
  • Manual — Проверьте домен с помощью HTML-страницы (только сертификат Standard ) или записи DNS TXT. Инструкции предоставляются при выборе опции.

Импортировать сертификат в службу приложений

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Импорт сертификата службы приложений .

Выберите сертификат, который вы только что приобрели, и выберите OK .

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата.Следуйте инструкциям в разделе Создание привязки.

Импорт сертификата из Key Vault

Если вы используете Azure Key Vault для управления своими сертификатами, вы можете импортировать сертификат PKCS12 из Key Vault в службу приложений, если он удовлетворяет требованиям.

Авторизовать службу приложений для чтения из хранилища

По умолчанию поставщик ресурсов службы приложений не имеет доступа к Key Vault. Чтобы использовать Key Vault для развертывания сертификата, вам необходимо разрешить поставщику ресурсов доступ для чтения к KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd — это имя участника службы поставщика ресурсов для службы приложений, оно одинаково для всех подписок Azure. Для облачной среды Azure для государственных организаций используйте 6a02c803-dafd-4136-b4c3-5a6f318b4714 вместо основного имени службы поставщика ресурсов.

Импортируйте сертификат из вашего хранилища в приложение

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытых ключей (.pfx) > Импортировать сертификат хранилища ключей .

Используйте следующую таблицу, чтобы выбрать сертификат.

Настройка Описание
Подписка Подписка, которой принадлежит Key Vault.
Хранилище ключей Хранилище с сертификатом, который вы хотите импортировать.
Сертификат Выберите из списка сертификатов PKCS12 в хранилище. Все сертификаты PKCS12 в хранилище перечислены с их отпечатками, но не все поддерживаются в службе приложений.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа . Если импорт завершается ошибкой, сертификат не соответствует требованиям для службы приложений.

Примечание

Если вы обновите свой сертификат в Key Vault новым сертификатом, служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Загрузить частный сертификат

После получения сертификата от поставщика сертификатов выполните действия, описанные в этом разделе, чтобы подготовить его для службы приложений.

Слияние промежуточных сертификатов

Если ваш центр сертификации предоставляет вам несколько сертификатов в цепочке сертификатов, вам необходимо объединить сертификаты по порядку.

Для этого откройте каждый полученный сертификат в текстовом редакторе.

Создайте файл для объединенного сертификата с именем mergedcertificate.crt . В текстовом редакторе скопируйте содержимое каждого сертификата в этот файл. Порядок ваших сертификатов должен соответствовать порядку в цепочке сертификатов, начиная с вашего сертификата и заканчивая корневым сертификатом. Это похоже на следующий пример:

  ----- НАЧАТЬ СЕРТИФИКАТ -----
<весь ваш SSL-сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат 1 в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат в кодировке Base64 2>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь корневой сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----
  

Экспортный сертификат PFX

Экспортируйте объединенный сертификат TLS / SSL с закрытым ключом, с которым был создан ваш запрос сертификата.

Если вы сгенерировали запрос на сертификат с помощью OpenSSL, значит, вы создали файл закрытого ключа. Чтобы экспортировать сертификат в PFX, выполните следующую команду. Замените заполнители и на пути к вашему закрытому ключу и вашему объединенному файлу сертификата.

  openssl pkcs12 -export -out myserver.pfx -inkey  -in 
  

При появлении запроса укажите пароль экспорта.Вы будете использовать этот пароль при загрузке сертификата TLS / SSL в службу приложений позже.

Если вы использовали IIS или Certreq.exe для создания запроса на сертификат, установите сертификат на локальный компьютер, а затем экспортируйте сертификат в PFX.

Загрузить сертификат в службу приложений

Теперь вы готовы загрузить сертификат в службу приложений.

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

На левой панели навигации приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Загрузить сертификат .

В PFX Certificate File выберите PFX-файл. В поле Пароль сертификата введите пароль, который вы создали при экспорте файла PFX. Когда закончите, нажмите Загрузить .

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Загрузить публичный сертификат

Публичные сертификаты

поддерживаются в формате .cer .

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой части навигации по вашему приложению щелкните Настройки TLS / SSL > Публичные сертификаты (.cer) > Загрузить сертификат открытого ключа .

В поле Имя введите имя сертификата. В файле сертификата CER выберите свой файл CER.

Нажмите Загрузить .

После загрузки сертификата скопируйте отпечаток сертификата и см. Раздел Сделайте сертификат доступным.

Управление сертификатами службы приложений

В этом разделе показано, как управлять сертификатом службы приложений, приобретенным при импорте сертификата службы приложений.

Сертификат смены ключа

Если вы считаете, что закрытый ключ вашего сертификата скомпрометирован, вы можете изменить ключ сертификата. Выберите сертификат на странице Сертификаты службы приложений, затем выберите Rekey and Sync на левой панели навигации.

Нажмите Переключить , чтобы начать процесс. Этот процесс может занять 1–10 минут.

При повторном вводе сертификата создается новый сертификат, выданный центром сертификации.

После завершения операции смены ключей щелкните Sync . Операция синхронизации автоматически обновляет привязки имени хоста для сертификата в службе приложений, не вызывая простоя ваших приложений.

Примечание

Если вы не нажмете Sync , служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Продлить сертификат

Чтобы включить автоматическое продление сертификата в любое время, выберите сертификат на странице Сертификаты службы приложений, затем щелкните Параметры автоматического продления на левой панели навигации.По умолчанию сертификаты службы приложений имеют срок действия один год.

Выберите на и нажмите Сохранить . Сертификаты могут начать автоматически обновляться за 60 дней до истечения срока действия, если у вас включено автоматическое продление.

Чтобы вместо этого обновить сертификат вручную, нажмите Продлить вручную . Вы можете запросить обновление сертификата вручную за 60 дней до истечения срока его действия.

После завершения операции обновления щелкните Sync .Операция синхронизации автоматически обновляет привязки имени хоста для сертификата в службе приложений, не вызывая простоя ваших приложений.

Примечание

Если вы не нажмете Sync , служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Экспортный сертификат

Поскольку сертификат службы приложений является секретом хранилища ключей, вы можете экспортировать его копию в формате PFX и использовать ее для других служб Azure или за пределами Azure.

Чтобы экспортировать сертификат службы приложений в виде файла PFX, выполните следующие команды в Cloud Shell.Вы также можете запустить его локально, если вы установили Azure CLI. Замените заполнители на имена, которые вы использовали при создании сертификата службы приложений.

  secretname = $ (az resource show \
    --resource-group <имя-группы> \
    - тип ресурса "Microsoft.CertificateRegistration / certificateOrders" \
    --name  \
    --query "properties.certificates.  .keyVaultSecretName" \
    - выход цв)

az keyvault секрет скачать \
    --file appservicecertificate.pfx \
    - имя-хранилища <имя-хранилища> \
    --name $ secretname \
    - кодирование base64
  

Загруженный файл appservicecertificate.pfx представляет собой необработанный файл PKCS12, содержащий как общедоступные, так и частные сертификаты. В каждом запросе используйте пустую строку для пароля импорта и парольной фразы PEM.

Удалить сертификат

Удаление сертификата службы приложений является окончательным и необратимым. Удаление ресурса сертификата службы приложений приводит к отзыву сертификата.Любая привязка в службе приложений к этому сертификату становится недействительной. Чтобы предотвратить случайное удаление, Azure блокирует сертификат. Чтобы удалить сертификат службы приложений, сначала необходимо снять блокировку удаления сертификата.

Выберите сертификат на странице Сертификаты службы приложений, затем выберите Блокирует на левой панели навигации.

Найдите блокировку вашего сертификата с типом блокировки Удалите . Справа от него выберите Удалить .

Теперь вы можете удалить сертификат службы приложений. На левой панели навигации выберите Обзор > Удалить . В диалоговом окне подтверждения введите имя сертификата и выберите OK .

Автоматизация с помощью скриптов

Azure CLI

  #! / Bin / bash

fqdn = 
pfxPath = <заменить-с-путем-к-вашему-.PFX-файлу>
pfxPassword = <заменить-на-ваш = .PFX-пароль>
resourceGroup = myResourceGroup
webappname = mywebapp $ RANDOM

# Создайте группу ресурсов.az group create --location westeurope --name $ resourceGroup

# Создайте план службы приложений на базовом уровне (минимум, необходимый для пользовательских доменов).
az appservice plan create --name $ webappname --resource-group $ resourceGroup --sku B1

# Создать веб-приложение.
az webapp create --name $ webappname --resource-group $ resourceGroup \
--plan $ webappname

echo "Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net"
read -p "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https: // aka.ms / appservicecustomdns, чтобы настроить запись CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.

# Сопоставьте подготовленное пользовательское доменное имя с веб-приложением.
az webapp config hostname add --webapp-name $ webappname --resource-group $ resourceGroup \
--hostname $ fqdn

# Загрузите сертификат SSL и получите отпечаток.
thumbprint = $ (az webapp config ssl upload --certificate-file $ pfxPath \
--certificate-password $ pfxPassword --name $ webappname --resource-group $ resourceGroup \
--query thumbprint --output tsv)

# Связывает загруженный сертификат SSL с веб-приложением.az webapp config ssl bind --certificate-thumbprint $ thumbprint --ssl-type SNI \
--name $ webappname --resource-group $ resourceGroup

echo "Теперь вы можете перейти по адресу https: // $ fqdn"
  

PowerShell

  $ fqdn = "<Замените на свое собственное доменное имя>"
$ pfxPath = "<Замените на путь к вашему файлу .PFX>"
$ pfxPassword = "<Замените своим паролем .PFX>"
$ webappname = "mywebapp $ (Get-Random)"
$ location = "Западная Европа"

# Создайте группу ресурсов.
New-AzResourceGroup -Name $ webappname -Location $ location

# Создайте план службы приложений на уровне бесплатного пользования.New-AzAppServicePlan -Name $ webappname -Location $ location `
-ResourceGroupName $ webappname -Tier Free

# Создать веб-приложение.
New-AzWebApp -Name $ webappname -Location $ location -AppServicePlan $ webappname `
-ResourceGroupName $ webappname

Write-Host «Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net»
Read-Host "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https://aka.ms/appservicecustomdns для настройки записи CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.# Обновите план службы приложений до уровня Basic (минимум, необходимый для пользовательских сертификатов SSL)
Set-AzAppServicePlan -Name $ webappname -ResourceGroupName $ webappname `
-Уровень базовый

# Добавить собственное доменное имя в веб-приложение.
Set-AzWebApp -Name $ webappname -ResourceGroupName $ webappname `
-HostNames @ ($ fqdn, "$ webappname.azurewebsites.net")

# Загрузить и привязать сертификат SSL к веб-приложению.
New-AzWebAppSSLBinding -WebAppName $ webappname -ResourceGroupName $ webappname -Name $ fqdn `
-CertificateFilePath $ pfxPath -CertificatePassword $ pfxPassword -SslState SniEnabled
  

Дополнительные ресурсы

.

Установка CSR и SSL (OpenSSL)

Создайте CSR с помощью OpenSSL и установите свой сертификат SSL на свой сервер Apache

Используйте инструкции на этой странице, чтобы использовать OpenSSL для создания запроса на подпись сертификата (CSR), а затем для установки сертификата SSL на сервере Apache.

Примечание о перезапуске: После установки сертификата SSL / TLS и настройки сервера для его использования необходимо перезапустить экземпляр Apache.

Инструкции для Ubuntu см. В разделе Сервер Ubuntu с Apache2: создание CSR и установка сертификата SSL (OpenSSL). Инструкции по другим ОС / платформе см. В разделе Создание CSR (запрос на подпись сертификата).

Вы можете использовать эти инструкции для создания OpenSSL CSR и установки всех типов SSL-сертификатов DigiCert на вашем сервере Apache: Standard SSL, EV SSL, Multi-Domain SSL, EV Multi-Domain SSL и Wildcard SSL.

  1. Чтобы создать запрос на подпись сертификата (CSR), см. Apache: Создание CSR с помощью OpenSSL.

    Для руководства на испанском языке посетите страницу Apache Crear CSR.

  2. Чтобы установить сертификат SSL, см. Apache: установка и настройка сертификата SSL.

    Посетите новые инструкции на испанском языке для Apache Instalar Certificado SSL.

I. Apache: создание CSR с помощью OpenSSL

Используйте инструкции в этом разделе, чтобы создать свои собственные команды оболочки для генерации вашего Apache CSR с OpenSSL.

Рекомендовано: Сэкономьте время.Используйте DigiCert OpenSSL CSR Wizard, чтобы сгенерировать команду OpenSSL для создания вашего Apache CSR. Просто заполните форму, щелкните Generate , а затем вставьте настроенную команду OpenSSL в свой терминал.

Как создать CSR для Apache с использованием OpenSSL

Если вы предпочитаете создавать собственные команды оболочки для создания CSR Apache, следуйте приведенным ниже инструкциям.

  1. Войдите на свой сервер через терминальный клиент (ssh).

  2. Команда запуска

    В командной строке введите следующую команду:

    Примечание: Не забудьте заменить server на имя вашего сервера.

       openssl req –new –newkey rsa: 2048 –nodes –keyout server.key –out server.csr 
      

  3. Создать файлы

    1. Теперь вы начали процесс создания следующих двух файлов:

      • Файл закрытого ключа : используется для создания CSR и более поздних версий для защиты и проверки соединений с помощью сертификата.
      • Файл запроса подписи сертификата (CSR) : используется для заказа вашего сертификата SSL, а затем для шифрования сообщений, которые может расшифровать только соответствующий закрытый ключ.
    2. Когда будет предложено ввести Common Name (имя домена), введите полный домен (FQDN) для сайта, который вы собираетесь защищать.

      Примечание: Если вы создаете CSR Apache для сертификата Wildcard, убедитесь, что ваше обычное имя начинается со звездочки (например, * .example.com ).

    3. При появлении запроса введите информацию о вашей организации, начиная с географической информации.

      Примечание: Возможно, вы уже установили информацию по умолчанию.

    4. Теперь ваш файл OpenSSL .csr создан.

  4. Закажите сертификат SSL / TLS

    1. Открыть .csr, созданный вами в текстовом редакторе.

    2. Скопируйте текст, включая теги —— НАЧАТЬ НОВЫЙ ЗАПРОС СЕРТИФИКАТА —— и —— КОНЕЦ НОВОГО ЗАПРОСА СЕРТИФИКАТА ——, и вставьте его в форму заказа DigiCert.

  5. Сохранить закрытый ключ

    Сохраните (сделайте резервную копию) сгенерированный.ключевой файл. Он понадобится вам позже, чтобы установить сертификат SSL.

  6. Установить сертификат

    После того, как вы получили сертификат SSL от DigiCert, вы можете установить его на свой сервер.

II.Apache: установка и настройка сертификата SSL

Если вам все еще нужно создать запрос на подпись сертификата (CSR) и заказать сертификат, см. Apache: Создание CSR с помощью OpenSSL.

После того, как мы проверили и выпустили ваш сертификат SSL, вы можете установить его на свой сервер Apache (где был сгенерирован CSR) и настроить сервер для использования сертификата.

Как установить и настроить сертификат SSL на сервере Apache

  1. Скопируйте файлы сертификатов на свой сервер.

    1. Войдите в свою учетную запись DigiCert и загрузите файлы промежуточного (DigiCertCA.crt) и основного сертификата ( your_domain_name.crt ).

    2. Скопируйте эти файлы вместе с файлом .key, который вы создали при создании CSR, в каталог на сервере, где вы храните файлы сертификата и ключей.

      Примечание: Сделайте их доступными для чтения только root, чтобы повысить безопасность.

  2. Найдите файл конфигурации Apache (httpd.conf), который нужно отредактировать.

    Расположение и имя файла конфигурации могут отличаться от сервера к серверу, особенно если вы используете специальный интерфейс для управления конфигурацией сервера.

.Установка сертификата SSL

Apache — Ensim Webppliance

Установка SSL-сертификата Apache в Ensim Webppliance

Если вы еще не создали запрос на подпись сертификата (CSR) и не заказали сертификат, см.

Создание CSR сертификата SSL :: Сервер Apache Ensim.

Установка файла первичного сертификата SSL (your_domain_name.crt)

  1. Для начала сохраните свой сертификат в каталог для ваших SSL-сертификатов.Мы будем использовать / etc / ssl / crt /
    В качестве примера. Файлы открытого и закрытого ключей должны
    уже быть в том же каталоге. В приведенном ниже примере закрытый ключ будет
    быть приватным. ключ. Открытый ключ будет называться yourdomainname.crt. Сделать
    этот каталог доступен для чтения только root.

  2. Войдите в консоль администратора и выберите веб-сайт, который вы защищаете.

  3. Щелкните Службы, затем щелкните Действия рядом с Веб-сервером Apache.
    Теперь выберите Настройки SSL. (Самоподписанный сертификат уже должен быть
    сохранен.)

  4. Выберите «Импорт». Скопируйте свой сертификат (включая BEGIN и
    END) в показанное поле.

  5. Сохраните свой сертификат и выйдите из системы.

Установка файла промежуточного сертификата (DigiCertCA.crt)

Ensim в настоящее время не предоставляет пользовательский интерфейс (UI) для установки
Сертификат промежуточного корневого центра сертификации.Эта установка должна быть
выполняется напрямую с использованием SFTP или SSH. Промежуточный сертификат должен
быть установлен на вашем сервере, прежде чем ваш сертификат станет доверенным.

  1. Найдите файл виртуального сайта

    1. Найдите файл виртуального сайта, который вы хотите редактировать. Для этого иди
      в следующий каталог на вашем сервере Ensim.

      / и т. Д. / Httpd / conf / виртуальный

      Пример файлов, которые вы можете увидеть в виртуальном каталоге (
      количество файлов сайта зависит от того, сколько виртуальных сайтов вы размещаете
      на вашем сервере Ensim):

      site1

      site2

      site3

      и др…

    2. Теперь просматривайте каждый файл сайта (используя HTML / текстовый редактор), пока
      Номер сайта Идентифицирован файл для сайта / домена, который вы ищете. В верхней части
      Файлы сайта вы найдете, например, следующую информацию:

      ServerName www.yourdomain.com

    3. После того, как вы определили файл сайта, который ищете, обратите внимание
      номер для использования в будущем. Теперь вы отредактируете этот же файл (см.
      инструкции ниже).

  2. Редактировать файл виртуального сайта

    1. Теперь вы отредактируете свой файл сайта, добавив следующую строку
      ниже (эта линия выделена жирным шрифтом). Убедитесь, что вы заменили сайт # фактическим
      номер виртуального сайта (пример: site1)



      SetEnv SITE_ROOT / home / virtual / site # / fst

      SetEnv SITE_HTMLROOT / home / virtual / site # / fst / var / www / html

      Включить / etc / httpd / conf / site #

      SSLEngine включен

      SSLCertificateFile / home / virtual / site # / fst / etc / httpd / conf / ssl.crt / server.crt

      SSLCertificateKeyFile /home/virtual/site#/fst/etc/httpd/conf/ssl.key/server.key

      SSLCACertificateFile /home/virtual/site#/fst/etc/httpd/conf/ssl.crt/DigiCertCA.crt



    2. Скопируйте файл корневого сертификата промежуточного ЦС (DigiCertCA.crt)
      в каталог, в котором был сохранен ваш сертификат сервера, как в
      пример выше:

      / домашний / виртуальный / сайт # / fst / etc / httpd / conf / ssl.crt / DigiCertCA.crt

      Снова вам нужно будет заменить site #

    3. Создайте резервную копию текущего файла сайта.

    4. Сохраните отредактированный файл сайта.

  3. Перезапустите Apache

    После того, как вы скопировали / загрузили промежуточный корень (DigiCertCA.crt)
    файл. Теперь вы перезапустите Apache.

Примечание. Приведенные выше инструкции предназначены для установки сертификата на сайт, управляемый через Ensim.Если вы хотите
установите сертификат SSL на сам Ensim, а не на сайт, управляемый через Ensim, конфигурация хоста в основном такая же, но
файл конфигурации хоста для интерфейса Ensim — /usr/lib/opcenter/fastcgi/httpd-templ.conf

Установка сертификатов SSL в Ensim Webppliance для Apache

Как установить цифровой сертификат SSL.

КУПИ СЕЙЧАС

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *