Правильная установка SSL-сертификата на VPS
11:00, 05.01.2022
SSL-сертификат выдается сайту как цифровое доказательство того, что передача данных от сайта к браузеру и обратно осуществляется по защищенному протоколу. Аутентификация ключей обмена при использовании протокола Secure Sockets Layer происходит с использованием асимметричной криптографии и симметричного шифрования, что позволяет гарантировать высокий уровень конфиденциальности.
Использование SSL-сертификата обеспечивает 4 важных преимущества:
- Повышает уровень доверия к сайту со стороны посетителей. Сертификат EV SSL демонстрирует зеленую адресную строку в браузере, что является сигналом для посетителей о безопасности посещаемого ресурса.
- Подтверждение верификации. Сертификат как бы служит подтверждением для посетителей, что вы являетесь именно тем, за кого себя выдаете.
- Гарантия целостности данных. Перехватить и расшифровать зашифрованные данные практически невозможно, не говоря уж о том, чтобы как-то их модифицировать.
- Качественное влияние на ранжирование. Поисковые системы при формировании выдачи всегда в первую очередь продвигают сайты с установленным TLS/SSL-сертификатом.
Короче говоря, безопасность, доверие и конфиденциальность – вот, что дает вашему сайту защищенное соединение (SSL).
Что нужно для установки SSL- сертификата
Важно подчеркнуть, что процедура генерации и установки сертификата на сервер могут варьироваться для разных операционных систем и веб-серверов. Наша инструкция применима в первую очередь для пользователей веб-сервера Apache, так как он самый распространенный и популярный.
Итак, первым делом вам потребуется сгенерировать CSR для домена, это запрос на выпуск сертификата. По умолчанию Apache содержит утилиту OpenSSL – она нам и понадобится. Вводим команду:
openssl req -newkey rsa:2048 -nodes -keyout domain.com.key -out domain.com.csr
Только вместо «domain.com» вводите свое доменное имя. Дальше от вас потребуется ввести данные для запроса на подпись: она отображена в сертификате. На всякий случай проверьте CSR на корректность с помощью команды:
openssl req -noout -text -in domain.com.csr
Если ваш запрос сформулирован верно, вы получите текст приблизительно такого содержания:
Certificate Request: Data: Version: 0 (0x0) Subject: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=domain.com Subject Public Key Info Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): […]
Следствием всей этой работы будет два новых файла – запрос на сертификат domain.com.csr и секретный ключ domain.com.key. Когда оплатите выдачу сертификата через Мои услуги, вы сможете приступить непосредственно к его установке. Сделать это можно несколькими способами.
Установка SSL-сертификата через ISPmanager
В панели управления ISPmanager сперва потребуется перейти в раздел «Пользователи» и предоставить пользователю, который владеет доменом, возможность использовать SSL. Затем нужно авторизоваться и перейти в соответствующий раздел с SSL-сертификатами, после чего кликнуть на пункт «Добавить сертификат».
В меню «тип сертификата» выбирайте «Существующий». Здесь вам нужно заполнить пять ключевых полей:
- Имя сертификата — доменное имя, для которого выписан SSL.
- Ключ — шифрованные данные приватного (RSA) ключа, которые автоматически генерируются вместе с CSR-запросом и начинаются с тега ---BEGIN PRIVATE KEY---. Связку ключей CSR-RSA можно найти на почте, если только вы не отменили эту опцию.
- Сертификат — содержимое сертификата, который хранится в архиве и имеет расширение .crt. Открыть его можно при помощи блокнота.
- Пароль — его придется указать, если нужно добавить SSL-сертификат с шифрованным ключом.
- Цепочка сертификатов — содержимое файла цепочки SSL-сертификатов в PEM-формате. Как правило, центр сертификации присылает архив, содержащий два файла – сам сертификат и цепочку сертификата с расширением .ca-bundle.
Как только вы добавите сертификат, его можно будет включить для сайта. Для этого посетите пункт WWW-доменов, выберите соответствующий домен и активируйте опцию повышенной безопасности SSL, выбрав соответствующий сертификат. Таким нехитрым образом всё делается в панели управления ISPmanager, но существует также возможность ручной установки на Apache и Nginx. О них мы расскажем в другой раз.
Установка Let's Encrypt
Let's Encrypt – Organization Validation (OV SSL). Этот центр сертификации способен подтвердить право на владение доменом через специальное программное обеспечение – протокол ACME. Прелесть Let's Encrypt в том, что посредством услуг этой компании вы сможете бесплатно привязать SSL к сайту на VDS, в то время как большинство других подобных организаций взимают за это определенную плату. Но есть свои нюансы:
- Срок валидности сертификата Let's Encrypt составляет 90 дней, в то время как платные сертификаты обычно активны от одного до двух лет. В целом это не такой уж недостаток, ведь этот проект предусматривает возможность автоматического обновления.
- Let's Encrypt не работает на некоторых платформах. По актуальным данным, в этот список входят Blackberry < v10.3.3, Android < v2.3.6, Windows XP (до версии SP3) и еще ряд других платформ, полный список которых вы сможете найти на официальном сайте проекта. Да, это устаревшие платформы, и для многих компаний они уже давно утратили всякую актуальность, но бывают и исключения.
- Организация выпускает только сертификаты с базовой проверкой владения доменом. Проверка компании — это особенность платных сертификатов. Таким образом, наличие SSL сертификата от Let's Encrypt не гарантирует, что сайт не мошеннический, так как организация не проводит проверку регистрации владельца как юридического или физического лица.
Таким образом, для крупных компаний и предприятий такой сертификат не подойдет, и гораздо надежнее использовать вариант с платным SSL. Если же для ваших задач хватает даже базовой верификации домена, то можно приступать к установке. Рассмотрим последовательность действий на примере ПУ cPanel:
- В разделе «Безопасность» найти пункт «Let’s Encrypt SSL».
- Из списка доступных доменов выбрать тот, для которого необходимо выписать сертификат.
- В блоке «Installing certificate to: domain_name» нужно выбрать несколько поддоменов, для которых нужна защита сертификатом Let’s Encrypt.
- В блоке «Please choose an SSL validation method» выбираем способ валидации, затем кликните на «Issue».
После этого остается запустить процедуру установки, которая обычно длится не более 20-30 секунд. Когда процедура будет завершена, вы получите соответствующее уведомление. Возвращайтесь на главную страницу раздела: здесь вы сможете найти информацию о доменах, для которых был установлен сертификат, а также о сроках действия. При необходимости можно удалить SSL-сертификат или переустановить его по новой.
Почему стоит заказывать SSL- сертификат в панели хостинга HostZealot
При аренде VDS в HostZealot вы сможете выбрать любую удобную панель управления, через которую в пару кликов можно будет установить SSL-сертификат. Пройти процедуру Domain Validation (DV SSL) вы сможете как в ручном, так и в автоматическом режиме. Обращайтесь по указанным на сайте номерам телефонов, чтобы получить больше сведений по интересующим вопросам. Наши специалисты всегда предложат любую помощь касательно условий обслуживания и работы с выделенными серверами.