Вход

Продажи и обслуживание клиентов

telegram mail phone-a1 A1 phone-mts MTC

Техническая поддержка 24/7

telegram mail phone-a1 A1 phone-mts MTC
Войти в аккаунт

Как установить SSL-сертификат на сайте

SSL-сертификаты необходимы для обеспечения безопасности передачи информации. Начиная с 2018 года веб-домены, не получившие его, считаются небезопасными, поэтому поднять их в выдаче очень сложно. Расскажем, как получить SSL сертификат.

Устанавливаем SSL протокол

Выбор SSL

Выбор типа сертификата зависит от размеров и назначения вашего сайта. Более подробно про типы SSL можно почитать здесь. Перечислим, где каждый из них стоит использовать:

  • Сертификат с расширенной проверкой EV SSL подойдёт для крупных и солидных информационных порталов, интернет магазинов и других ресурсов, на которых пользователи должны вводить свои личные данные;
  • OV SSL - предназначен, в большей мере, для коммерческих компаний, занимающихся приёмом платежей через сайт;
  • DV SSL обычно устанавливается на информационных сайтах и блогах, то есть там, где нет больших требований к безопасности данных;
  • Wildcard используется на доменах с несколькими поддоменами;
  • Мультидоменный MDC рекомендуется для нескольких доменов. Но при этом следует учитывать, что поддомены в пакет не входят и их следует указать при заказе.
  • Мультидоменный UUC от компании Microsoft можно применять так же, как EV SSL, но стоит он немного дешевле.

Существуют также сервисы, предоставляющие бесплатные сертификаты SSL - Let’s Encrypt, Cloudflare, Free SSL Space и т.д. Следует помнить, что это протоколы низшего уровня, то есть с подтверждением домена — DV, и подходят они исключительно для для небольших веб-ресурсов, не предполагающих обмена конфиденциальной информацией с посетителями.

Как получить SSL-сертификат

Получить SSL сертификат проще у провайдера, например, regru, hosntland или у нас по ссылке - https://www.datahata.by/services/other/ssl-sertifikatyi.html.

При желании сделать все самостоятельно, протокол можно купить напрямую у удостоверяющего центра, такого как Comodo или GeoTrust. При этом потребуется указать желаемый тип протокола, имя используемого домена и оплатить заказ. Также потребуется сгенерировать CSR запрос.

Как сгенерировать CSR запрос

В CSR запросе указывыают информацию о домене и компании или владельце в зашифрованном виде. Существует три режима генерации запроса:

  • При покупке он формируется автоматически, без участия пользователя;
  • С помощью генератора, находящегося на сайте компании, которая занимается выдачей сертификатов, например, ЦОД ДатаХата;
  • Вручную на собственном web-сервере.

При использовании любого способа должно получиться два файла: domain.csr (будет нужен для дальнейшей генерации SSL-сертификата) и private.key (личный ключ).

Сертификация с использованием первых двух сервисов (автоматическая и с помощью генератора) очень проста и не должна вызвать никаких затруднений. Расскажем, как сгенерировать сертификат самостоятельно.

Для того, чтобы сгенерировать SSL, нужен пакет, который по умолчанию установлен практически на все компьютеры с UNIX-подобными ОС.

Порядок действий при формировании CSR-запроса

  • Подключаемся к web-серверу по протоколу SSH и переходим в домашнюю папку: cd ~

  • Создаём ключ: openssl genrsa -out prvate.key 4096

где prvate.key – имя ключа; 4096 – его длина.

  • При появлении сообщения «Enter pass phrase for prvate.key» указываем пароль доступа, после этого подтверждаем его.
  • Скопируйте сгенерированный prvate.key на свой компьютер.
  • Введите и выполните команду создания CSR запроса:

openssl req -new -key prvate.key -out doman.csr -sha256

где domain.csr имя CSR-запроса, который необходимо сгенерировать.

После этого введите такие данные (вся информация вводится латинскими символами):

  • Country Name –код вашей страны по стандарту ISO-3166;
  • State or Provnce Name: область;
  • Localty Name: населённый пункт;
  • Organizaton Name: название компании (физические лица должны написать «Prvate Person»);
  • Organizatonal Unit Name: подразделение, например, при заказе для IT-отдела требуется указать IT (данный параметр не является обязательным, его можно пропустить);
  • Common Name: наименование домена;
  • Emal Address: e-mal адрес, например admin@doman, (вместо admin можно использовать administrator, webmaster, hostmaster или postmaster;
  • A chalenge password: не заполняется;
  • An optonal company name: альтернативное название фирмы (необязательный параметр, можно не указывать).

В результате будет сформирован запрос doman.csr. После этого рекомендуется проверить корректность предоставленной информации с помощью команды:

openssl req -noout -text -in doman.csr

Как выпустить SSL-сертификат

После формирования CSR запроса можно приступать к выпуску SSL. Для этого зайдите на сайт хостинг-провайдера или сертификационного центра и введите имеющийся CSR запрос. Далее потребуется подтвердить право на домен. Существет несколько способов подтверждения:

  • По e-mail. В этом случае на ящик, указанный при создании запроса, придёт письмо со ссылкой, по которой нужно перейти, или с кодом, который следует ввести на сайте.
  • Используя CNAME-запись. В этом случае нужно будет добавить в DNS CNAME домена данные, предоставленные вам компанией, выпускающей сертификат.
  • Через ТХТ-запись. При использовании этого способа выпускающая компания даёт вам информацию, которую требуется занести в ТХТ-запись.
  • Через HTTP, создав в папке домена файл с данными, указанными выпускающей сертификат компанией.

После окончания процедуры подтверждения домена сертификаты придут на электронную почту или их можно будет скачать с сайта выпускающей компании. В загруженном архиве присутствуют следующие файлы сертификатов: SSL, корневой и промежуточные.

Установка SSL-сертификата

Проще всего загрузить сертификат, выпущенный хостинг-провайдером, используя панель управления сайтом. Если такой возможности нет, придётся устанавливать его вручную. Расскажем, как установить его на Apache и Nginx.

Добавляем сертификат на Apache

Чтобы добавить сертификат, потребуются три файла:

  1. Сам сертификат — он должен находиться в domain.crt.
  2. Ключ, полученный при создании CSR запроса — его нужно переименовать из prvate.key в domain.key.
  3. Документ chain.crt. В него требуется записать цепочку сертификатов (чтобы это сделать, нужно добавить в этот файл информацию из промежуточного сертификата, а потом из корневого).

После этого:

  • положите все три файла в папку /etc/ssl/;
  • откройте файл Apache (чаще всего это apache2.conf);
  • чтобы удостовериться, что этот файл конфигурационный найдите в нём строку Server Name (в ней записано имя домена);
  • сделайте копию раздела «Virtual Host», установите номер порта равным 443 и запишите следующие строки:

SSLEngne on

SSLCertifcateFile /etc/ssl/doman_name.crt

SSLCertifcateKeyFile /etc/ssl/prvate.key

SSLCertifcateChainFile /etc/ssl/chan.crt

  • перезапустите Apache.

После этого установка SSL сертификата окончена.

Добавляем сертификат на Nginx

Прежде, чем начать добавлять сертификат, требуется подготовить два файла:

  • ключ, полученный при генерации CRS (назовите его в doman.key);
  • doman.crt, в который требуется записать содержимое всех сертификатов, предоставленных выпускающей компанией (сначала SSL, затем корневой и промежуточный).

Положите файлы в /etc/ssl/ (в некоторых версиях ОС это может быть папка /etc/ngnx/ssl/).

После этого отредактируйте файл хоста web сайта, который обычно находится по адресу etc / nginx / sites-available / site.conf. Для этого поместите в него следующие строки:

Установка SSL сертификата на Nginx

Чтобы проверить правильность настроек введите команду:

nginx -t

Теперь можно перезагрузить Nginx:

sudo /etc /int.d/nginx restart

На этом настройка SSL будет завершена.

Какие изменения следует внести на сайте

После того, как все настройки выполнены, проверьте внутренние ссылки своего сайта и изменить их так, чтобы они начинались не с HTTP, а с HTTPS.

После этого требуется настроить переадресацию (то есть 301 редирект) так, чтобы страницы по умолчанию загружались у пользователя по протоколу HTTPS, а не по HTTP. Чтобы этого добиться в файле .htaccess, сервера Apache добавьте строки:

RewriteEngne On

RewrteCond %{ PORT} !^443$

RewrteRule .* https://%{NAME}%{URI} [R=301,L]

Чтобы поисковые системы знали, что сайт использует протокол HTTPS, в robots.txt нужно изменить ссылку на Sitemap.xml. Также требуется добавить новый адрес в ЯндексВебмастер и в GoogleSearchConsole.

Заключение

Теперь вы знаете, как выбрать сертификат, подготовиться к его установке, добавить его на web-сервер и что рекомендуется сделать после его активации.

Если у Вас возникли сложности при установке цифрового протокола, обращайтесь в нашу техническую поддрежку по реквизитам, указанным на сайте.