Как установить SSL-сертификат на сайте
SSL-сертификаты необходимы для обеспечения безопасности передачи информации. Начиная с 2018 года веб-домены, не получившие его, считаются небезопасными, поэтому поднять их в выдаче очень сложно. Расскажем, как получить SSL сертификат.
Выбор SSL
Выбор типа сертификата зависит от размеров и назначения вашего сайта. Более подробно про типы SSL можно почитать здесь. Перечислим, где каждый из них стоит использовать:
- Сертификат с расширенной проверкой EV SSL подойдёт для крупных и солидных информационных порталов, интернет магазинов и других ресурсов, на которых пользователи должны вводить свои личные данные;
- OV SSL - предназначен, в большей мере, для коммерческих компаний, занимающихся приёмом платежей через сайт;
- DV SSL обычно устанавливается на информационных сайтах и блогах, то есть там, где нет больших требований к безопасности данных;
- Wildcard используется на доменах с несколькими поддоменами;
- Мультидоменный MDC рекомендуется для нескольких доменов. Но при этом следует учитывать, что поддомены в пакет не входят и их следует указать при заказе.
- Мультидоменный UUC от компании Microsoft можно применять так же, как EV SSL, но стоит он немного дешевле.
Существуют также сервисы, предоставляющие бесплатные сертификаты SSL - Let’s Encrypt, Cloudflare, Free SSL Space и т.д. Следует помнить, что это протоколы низшего уровня, то есть с подтверждением домена — DV, и подходят они исключительно для для небольших веб-ресурсов, не предполагающих обмена конфиденциальной информацией с посетителями.
Как получить SSL-сертификат
Получить SSL сертификат проще у провайдера, например, regru, hosntland или у нас по ссылке - https://www.datahata.by/services/other/ssl-sertifikatyi.html.
При желании сделать все самостоятельно, протокол можно купить напрямую у удостоверяющего центра, такого как Comodo или GeoTrust. При этом потребуется указать желаемый тип протокола, имя используемого домена и оплатить заказ. Также потребуется сгенерировать CSR запрос.
Как сгенерировать CSR запрос
В CSR запросе указывыают информацию о домене и компании или владельце в зашифрованном виде. Существует три режима генерации запроса:
- При покупке он формируется автоматически, без участия пользователя;
- С помощью генератора, находящегося на сайте компании, которая занимается выдачей сертификатов, например, ЦОД ДатаХата;
- Вручную на собственном web-сервере.
При использовании любого способа должно получиться два файла: domain.csr (будет нужен для дальнейшей генерации SSL-сертификата) и private.key (личный ключ).
Сертификация с использованием первых двух сервисов (автоматическая и с помощью генератора) очень проста и не должна вызвать никаких затруднений. Расскажем, как сгенерировать сертификат самостоятельно.
Для того, чтобы сгенерировать SSL, нужен пакет, который по умолчанию установлен практически на все компьютеры с UNIX-подобными ОС.
Порядок действий при формировании CSR-запроса
-
Подключаемся к web-серверу по протоколу SSH и переходим в домашнюю папку: cd ~
-
Создаём ключ: openssl genrsa -out prvate.key 4096
где prvate.key – имя ключа; 4096 – его длина.
- При появлении сообщения «Enter pass phrase for prvate.key» указываем пароль доступа, после этого подтверждаем его.
- Скопируйте сгенерированный prvate.key на свой компьютер.
- Введите и выполните команду создания CSR запроса:
openssl req -new -key prvate.key -out doman.csr -sha256
где domain.csr имя CSR-запроса, который необходимо сгенерировать.
После этого введите такие данные (вся информация вводится латинскими символами):
- Country Name –код вашей страны по стандарту ISO-3166;
- State or Provnce Name: область;
- Localty Name: населённый пункт;
- Organizaton Name: название компании (физические лица должны написать «Prvate Person»);
- Organizatonal Unit Name: подразделение, например, при заказе для IT-отдела требуется указать IT (данный параметр не является обязательным, его можно пропустить);
- Common Name: наименование домена;
- Emal Address: e-mal адрес, например admin@doman, (вместо admin можно использовать administrator, webmaster, hostmaster или postmaster;
- A chalenge password: не заполняется;
- An optonal company name: альтернативное название фирмы (необязательный параметр, можно не указывать).
В результате будет сформирован запрос doman.csr. После этого рекомендуется проверить корректность предоставленной информации с помощью команды:
openssl req -noout -text -in doman.csr
Как выпустить SSL-сертификат
После формирования CSR запроса можно приступать к выпуску SSL. Для этого зайдите на сайт хостинг-провайдера или сертификационного центра и введите имеющийся CSR запрос. Далее потребуется подтвердить право на домен. Существет несколько способов подтверждения:
- По e-mail. В этом случае на ящик, указанный при создании запроса, придёт письмо со ссылкой, по которой нужно перейти, или с кодом, который следует ввести на сайте.
- Используя CNAME-запись. В этом случае нужно будет добавить в DNS CNAME домена данные, предоставленные вам компанией, выпускающей сертификат.
- Через ТХТ-запись. При использовании этого способа выпускающая компания даёт вам информацию, которую требуется занести в ТХТ-запись.
- Через HTTP, создав в папке домена файл с данными, указанными выпускающей сертификат компанией.
После окончания процедуры подтверждения домена сертификаты придут на электронную почту или их можно будет скачать с сайта выпускающей компании. В загруженном архиве присутствуют следующие файлы сертификатов: SSL, корневой и промежуточные.
Установка SSL-сертификата
Проще всего загрузить сертификат, выпущенный хостинг-провайдером, используя панель управления сайтом. Если такой возможности нет, придётся устанавливать его вручную. Расскажем, как установить его на Apache и Nginx.
Добавляем сертификат на Apache
Чтобы добавить сертификат, потребуются три файла:
- Сам сертификат — он должен находиться в domain.crt.
- Ключ, полученный при создании CSR запроса — его нужно переименовать из prvate.key в domain.key.
- Документ chain.crt. В него требуется записать цепочку сертификатов (чтобы это сделать, нужно добавить в этот файл информацию из промежуточного сертификата, а потом из корневого).
После этого:
- положите все три файла в папку /etc/ssl/;
- откройте файл Apache (чаще всего это apache2.conf);
- чтобы удостовериться, что этот файл конфигурационный найдите в нём строку Server Name (в ней записано имя домена);
- сделайте копию раздела «Virtual Host», установите номер порта равным 443 и запишите следующие строки:
SSLEngne on
SSLCertifcateFile /etc/ssl/doman_name.crt
SSLCertifcateKeyFile /etc/ssl/prvate.key
SSLCertifcateChainFile /etc/ssl/chan.crt
- перезапустите Apache.
После этого установка SSL сертификата окончена.
Добавляем сертификат на Nginx
Прежде, чем начать добавлять сертификат, требуется подготовить два файла:
- ключ, полученный при генерации CRS (назовите его в doman.key);
- doman.crt, в который требуется записать содержимое всех сертификатов, предоставленных выпускающей компанией (сначала SSL, затем корневой и промежуточный).
Положите файлы в /etc/ssl/ (в некоторых версиях ОС это может быть папка /etc/ngnx/ssl/).
После этого отредактируйте файл хоста web сайта, который обычно находится по адресу etc / nginx / sites-available / site.conf. Для этого поместите в него следующие строки:
Чтобы проверить правильность настроек введите команду:
nginx -t
Теперь можно перезагрузить Nginx:
sudo /etc /int.d/nginx restart
На этом настройка SSL будет завершена.
Какие изменения следует внести на сайте
После того, как все настройки выполнены, проверьте внутренние ссылки своего сайта и изменить их так, чтобы они начинались не с HTTP, а с HTTPS.
После этого требуется настроить переадресацию (то есть 301 редирект) так, чтобы страницы по умолчанию загружались у пользователя по протоколу HTTPS, а не по HTTP. Чтобы этого добиться в файле .htaccess, сервера Apache добавьте строки:
RewriteEngne On
RewrteCond %{ PORT} !^443$
RewrteRule .* https://%{NAME}%{URI} [R=301,L]
Чтобы поисковые системы знали, что сайт использует протокол HTTPS, в robots.txt нужно изменить ссылку на Sitemap.xml. Также требуется добавить новый адрес в ЯндексВебмастер и в GoogleSearchConsole.
Заключение
Теперь вы знаете, как выбрать сертификат, подготовиться к его установке, добавить его на web-сервер и что рекомендуется сделать после его активации.
Если у Вас возникли сложности при установке цифрового протокола, обращайтесь в нашу техническую поддрежку по реквизитам, указанным на сайте.