Как установить SSL сертификат. Какие подводные камни вас ждут

С каждым днем необходимость в защищенном соединения стает все острее. Во-первых, это более безопасная работа с сайтом, потому что все данные передаются в шифрованном виде, во-вторых, это зелёный замочек рядом с адресом сайта, что вызывает некое доверие к порталу, в-третьих, по заявлению представителей Google, сайты работающие на https имеют преимущество в поисковой выдаче.

SSL-сертификатов существует несколько видов: от простых с проверкой домена, до мультидоменных с информацией о компании (зеленой строкой). Рассматривать все виды и преимущества каждого мы не будем, главная задача, разобраться как получить SSL-сертификат бесплатно .

Получения и установка SSL-сертификата Let’s Encrypt

1. Для получения сертификата воспользуемся сайтом https://www.sslforfree.com/ . Переходим по ссылке и прямо на главной странице видим основное поле. Вбиваем туда имя нашего домена и нажимаем кнопку “Create Free SSL Certificate” .

2. Далее сайт нам предлагают на выбор несколько вариантом подтверждения домена. Нажимаем “Manual Verification” , после “Retry Manual Verification” . В итоге, мы получаем два файла которые необходимо залить на сайт в папку /.well-known/acme-challenge . Выполняем данные действия и нажимаем “Download SSL Certificate” .

3. Наш SSL-сертификат готов, срок его действия 90 дней , после необходимо повторить процедуру. Остается только установить его на сайт.

4. Процесс установки сертификата на каждом хостинге может немного отличаться, если у вас установлена какая-либо панель управления (ISP Manager, cPanel и т.д.), то сделать через нее не составит большого труда. Для этого переходим в раздел “SSL сертификаты” и выполняем установку по инструкции. В случае отсутствия панели установка происходит через конфиги web-сервера, подробнее о процессе установки SSL-сертификата на Apache в CentOS.

5. Настройка редиректа с http на https . Сделать это можно несколькими способами, через панель хостинга, через файл.htaccess, через конфигурацию вашего web-сервера или через PHP (любой другой язык, на котором сделан сайт).

Все способы рассматривать не будем, это материал для другой статьи. Самый распространённый пример, редирект с http на https через.htaccess . Добавляем нижеуказанный код в начало файла.htaccess:

RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI}

< IfModule mod_rewrite . c > RewriteEngine On RewriteCond % { HTTPS } off RewriteRule ^ (. * ) $ https : //%{HTTP_HOST}%{REQUEST_URI} < / IfModule >

6. Процесс установки закончен, теперь необходимо проверить сайт, чтобы все картинки, стили, скрипты подгружались по https соединению , в противном случае сайт не будет помечаться как безопасный. Проще всего вообще удалить “http:” из подключаемых файлов, то есть сделать так.

Установка SSL сертификата

Для установки сертификата потребуется:

• Файл сертификата и цепочка сертификата . Центр сертификации присылает эти данные на почтовый ящик владельца сертификата.
• Ключ сертификата. Он у вас должен быть. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.
• Root доступ к серверу.

Инструкция по установке SSL-сертификата на домен средствами панели ISPmanager

После выпуска заказанного сертификата, на email, который был указан при заказе, Вы получите все необходимые файлы.

1. Зайдите в ISPmanager под пользователем, которому принадлежит домен. Войдя под root"ом это можно сделать так: ISPmanager - Пользователи - выделите пользователя - нажмите "Вход" (справа вверху кнопка с изображением лестницы и двери).

Примечание: не забудьте для пользователя включить SSL (ISPmanager - Пользователи - двойной клик по пользователю - вкладка "Права")

2. В разделе World Wide Web - "SSL-сертификаты" - справа вверху кнопка "Создать". Укажите "Тип сертификата" - существующий и заполните все поля:

Имя сертификата - имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -

Приватный ключ - укажите содержимое файла приватного ключа

Сертификат - укажите содержимое файла SSL-сертификата

Пароль - указывайте, если ключ сертификата зашифрован (обычно не требуется)

Цепочка сертификатов - Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат. Подробнее о цепочках, в зависимости от типа сертификата, можно узнать в специальной статье .

3. После успешного добавления сертификата в разделе "WWW домены" можно его включить для сайта (двойной клик - установить галочку "SSL" - выбрать из списка нужный сертификат)

4. Детальная проверка установленного сертификата доступна по ссылкам:

Ручная установка SSL сертификата

Веб-сервер Apache

Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:

• Linux:

# netstat -napt | grep 443 tcp 0 0 188.120.233.16:443 0.0.0.0:* LISTEN 731/apache2

• FreeBSD:

# sockstat |grep 443 root httpd 83299 19 tcp4 188.120.225.20:443 *:*

Для установки сертификата откройте конфигурационный файл Apache. На FreeBSD это /usr/local/etc/apache22/httpd.conf. Debian - /etc/apache2/apache2.conf. Centos - /etc/httpd/conf/httpd.conf. Найдите VirtualHost вашего домена.

Иногда вы можете найти блоки в отдельных файлах, в директории веб сервера.

Создайте блок для подключения SSL соединения. Пример:

DocumentRoot /var/www/user/data/www/domain.com ServerName domain.com SSLEngine on SSLCertificateFile /path/to/domain.crt SSLCertificateKeyFile /path/to/domain.key SSLCACertificateFile /path/to/ca.crt

• /var/www/user/data/www/domain.com - путь до домашней директории вашего домена.
• /path/to/ca.crt - файл корневого сертификата.

Перезапустите Apache командой apachectl restart или apache2ctl restart

Веб-сервер Nginx

Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

Откройте конфигурационный файл Nginx. На Linux - /etc/nginx/nginx.conf

Создайте серверный модуль для SSL соединения. Пример:

Server { listen 10.0.0.1:443; server_name domain.com; ssl on; ssl_certificate /path/to/domain.crt; ssl_certificate_key /path/to/domain.key ; }

• domain.com - имя вашего домена.
• 10.0.0.1 - ip адрес, на котором находится домен.
• /path/to/domain.crt - файл, в котором находится сертификат.
• /path/to/domain.key - файл, в котором находится ключ сертификата.

Цепочка сертификатов дописывается в файл с сертификатом.

Возьмем пример с Comodo Positive SSL. Центр сертификации присылает файлы domain.crt, PositiveSSLCA2 и AddTrustExternalCARoot. Цепочкой сертификата будет содержание файла PositiveSSLCA2 + AddTrustExternalCARoot. В итоге файл domain.crt должен содержать сертификат домена + сертификаты PositiveSSLCA2 + AddTrustExternalCARoot.

Перезапустите Nginx

• Linux:

/etc/init.d/nginx restart

Несколько SSL сертификатов на одном ip адресе

Если используется несколько сертификатов на одном ip адресе, то браузер получит сертификат сервера по умолчанию, независимо от запрашиваемого имени сервера. Это связано с поведением протокола SSL. SSL-соединение устанавливается до того, как браузер посылает HTTP-запрос, и веб сервер не знает имени запрашиваемого сервера. Следовательно, он лишь может предложить сертификат сервера по умолчанию.

Решение для работы нескольких HTTPS-серверов на одном IP-адресе - расширение Server Name Indication протокола TLS (SNI, RFC 6066), которое позволяет браузеру передать запрашиваемое имя сервера во время SSL handshake, а значит сервер будет знать, какой сертификат ему следует использовать для соединения. Почти все современные браузеры поддерживают SNI, однако чтобы использовать SNI, соответствующая поддержка должна присутствовать также в библиотеке OpenSSL. OpenSSL поддерживает SNI начиная с версии 0.9.8f.

Полезные команды Openssl

• Создание ключа для SSL-сертификата.

openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key

• Генерация CSR-запроса:

openssl req -new -key cert.key -out cert.csr

• Убрать пароль с ключа:

openssl rsa -in cert.key -out cert.key

• Посмотреть данные CSR:

openssl req -noout -text -in cert.csr

• Данные сертификата (проверить кем выдан, например):

openssl x509 -noout -text -in cert.crt

• Проверить, что ключ соответствует сертификату:

openssl x509 -noout -modulus -in cert.crt | openssl md5 openssl rsa -noout -modulus -in cert.key | openssl md5

Два значения должны совпадать.

• Узнать длину запроса:

echo "(" `openssl req -noout -modulus -in cert.csr | cut -d"=" -f2 | wc -c` "-1)*4" | bc

• Проверить выдачу HTTPS:

openssl s_client -host ulanovka.ru -port 443

Создание CSR запроса для Microsoft IIS

• Нажмите на имя сервера.

• Затем справа из меню Actions выберите Create Certificate Request. Откроется окно мастера создания запроса.

• Введите всю необходимую информацию.

Нажмите Next.

• В следующем окне можно все оставить без изменений. Нажмите Next.

• Введите имя вашего CSR файла.

• Откройте файл, используя текстовый редактор. Для оформления сертификата передайте свой CSR вместе с тэгами BEGIN и END.

Установка SSL сертификата на Microsoft IIS

• Нажмите Start - Administrative Tools - Internet Information Services (IIS) Manager.

• Нажмите на имя сервера.

• В разделе IIS откройте Server Certificates.

• Затем справа из меню Actions выберите Complete Certificate Request. Откроется окно мастера.

• Загрузите выданный Вам центром сертификации сертификат. Затем введите имя сертификата (оно необходимо только администратору для дальнейшей работы).

• Нажмите Оk, и сертификат будет установлен на сервер.

• Для того, чтобы установить данный сертификат на нужный веб-домен, перейдите в раздел Sites и выберите сайт, для которого заказан сертификат. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.

• В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.

• В меню Type выберите https. В меню IP address должен быть IP адрес сайта или All Unassigned. Порт - 443. В поле SSL Certificate выберите Ваш сертификат.

Нажмите Ok.

• Ваш сертификат установлен.

Приветствую Вас друзья на своем блоге! Настройка SSL сертификата на своем сайте сегодня очень актуальна, вот о ней и поговорим.

Я уверен, что многие из Вас когда создавали свои сайты, даже и не думали на каком протоколе они работают.

Сейчас пришло время задуматься об этом. На WordPress создать сайт довольно просто, но его надо довести до ума, правильно составить семантическое ядро, установить нужные плагины и многое другое.

Наверняка все уже слышали о безопасном протоколе HTTPS и необходимости перехода на него. Все крупные порталы, банки, интернет-магазины давно перешли на HTTPS, вот и нам пришло время заняться этим.

Содержание

Для переезда на защищенный протокол HTTPS надо установить и настроить SSL сертификат на блог.

Я не буду вдаваться в тонкости и подробности работы защищенного протокола, а также модификациях SSL сертификатов (их несколько видов), просто имейте в виду, что на сайтах/блогах работающих по HTTPS протоколу обмен данными происходит в зашифрованном виде.

Этап 1. Настройка SSL сертификата на стороне хостинга

Сегодня, наверное все хостинги, предоставляют бесплатные SSL сертификаты для своих клиентов. В частности мои сайты находятся на , который бесплатно предоставляет SSL сертификат: SSL Let"s Encrypt. Вот его мы и будем устанавливать на сайт созданный на платформе WordPress. Вот так выглядит сайт в разных браузерах, пока не установлен SSL сертификат:

Итак начнем настройку сертификата SSL на сайте, я буду устанавливать на своем тестовом домене.

Заходим в панель управления хостинга TimeWeb, далее меню Дополнительные услуги:

В появившемся окне нажимаем SSL-сертификаты, нам выбор возможных сертификатов и наших доменов. Соответственно выбираем из списка сертификат SSL Let’s Encrypt (0 руб.) и нужное доменное имя.

После нажатия кнопки заказать выдает сообщение:

Заказ на SSL-сертификат успешно отправлен. О завершении установки сертификата будет выслано почтовое уведомление.

По истечении нескольких минут в списке подключенных услуг появится наш SSL сертификат:

Далее нам необходимо настроить переадресацию нашего сайта с протокола HTTP на защищенный HTTPS. Переходим в меню Сайты, находим нужный нам сайт (для которого устанавливаем SSL сертификат), нажимаем зеленую шестеренку напротив него и включаем режим безопасного соединения:

Режим безопасного соединения

На этом первый этап установки SSL сертификата на сайт завершен, переходим ко второму этапу — внутренней настройке сайта.

Этап 2. Восстанавливаем внешний вид сайта

Итак мы установили SSL сертификат и перешли на безопасный протокол HTTPS. Но какой ужас — наш сайт исказился, все съехало и зелененького замочка, указывающего на защищенное соединение все-равно нет, и более того невозможно зайти в админку сайта.

Но прошу не паниковать, таблетка есть. Для этого необходимо вставить одну строку кода в файл.htaccess. Это процедуру необходимо проделать для всех хостингов.

На Таймвэбе действия такие: меню Файловый менеджер — находим Ваш сайт — папка public_html — редактирование файла .htaccess :

Открываем файл.htaccess на редактирование и в самый конец вставляем такую строку:

SetEnvIf X-HTTPS 1 HTTPS

Суть этого действия — сказать серверу чтобы он все открывал по протоколу HTTPS. После этого шага наш сайт открывается как и прежде, ура! Но это еще не все. Надо еще проделать ряд операций для окончательного перехода на защищенный протокол HTTPS.

Этап 3. Настройка блога после переезда на HTTPS

Для устранения проблемы входа в админ панель, в файл wp-config.php необходимо внести такую строку:

define (‘FORCE_SSL_ADMIN’, true);

Найди файл wp-config.php легко, он находится в том же каталоге где и.htaccess:

Вот мы подошли к последнему этапу перевода нашего сайта на безопасный протокол HTTPS.

Этап 4. Решаем проблему смешанного контента

Настройка ssl сертификата прошла успешно, перевод сайта на безопасный проток сделали, но все равно нет заветного зеленого замочка, почему? А все потому что в нашей базе есть ссылки с протоколом HTTP, т.е. на сайте присутствует смешанный контент. Для браузер очень важно, чтобы абсолютно все ссылки были защищенными, только тогда он считает страницу защищенной.

Решить данную проблему можно несколькими способами:

• изменить все ссылки в базе данных вручную

Все очень просто в строку поиска вводите НTTP/ HTTPS Remover, устанавливаете и активируете плагин. Никаких дополнительных настроек не нужно.

После этого действия закончена настройка ssl сертификата и наш сайт полностью переведен на защищенный протокол HTTPS. Осталось сообщить поисковым системам о нашей проделанной работе.

Этап 5. Информирование поисковых систем

Редактирование robots.txt

В первую очередь необходимо внести изменение в файл robots.txt. Сделать это можно на хостинге таким же способом как мы редактировали файлы.htaccess и wp-config.php. Отредактируйте как у меня на картинке:

Не забываем сохранять изменения.

Следующим шагом необходимо уведомить сервис Яндекс.Вебмастер о том, что Ваш сайт перешел на защищенный протокол HTTPS. Обязательным условием является подтверждение прав на сайт, но я думаю у всех это сделано.

Подтверждение в Google webmaster

Идем далее по нашему плану в переходе сайта на защищенный протокол. Следующий шаг — подтверждение прав в Google webmaster. Заходим по ссылке , добавляем, именно добавляем новый сайт с протоколом HTTPS (старый оставляем нетронутым) и подтверждаем на него свои права.

После генерации CSR-запроса и заказа SSL-сертификата через необходимо установить полученные сертификаты .CRT и .CA на сервер. Эта пошаговая инструкция поможет вам установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS .

После получения SSL-сертификата файлы для его установки появятся в :
.CA - файл цепочки сертификатов Центра Сертификации (Certificate Authority).
.CRT - файл сертификата для вашего сайта (сайтов).

Загрузка необходимых файлов на веб-сервер

Прежде всего, необходимо загрузить представленные в файлы .ca и .crt на веб-сервер. Если ваш сервер не имеет графического окружения рабочего стола, вы можете загрузить эти файлы на другой компьютер, а затем перенести их одним из приведенных ниже способов.

Примечание : подразумевается, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа.key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.

Перенос сертификатов с компьютера Linux/Mac OS:

Самый простой способ загрузки сертификатов на сервер - опция SCP , встроенная в возможность терминала вашего компьютера:

1. Загрузите файлы .CA и .CRT из на локальный компьютер.
2. Откройте терминал и перейдите в папку, в которую вы сохранили сертификаты (напр., Downloads):
   cd ~/Downloads
   Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:
   scp crt.crt ca.crt [email protected]:/etc/ssl
   Где:
   scp - команда копирования файлов
   mydomain.ru_crt.crt - имя загруженного из панели файла сертификата вашего веб-сайта
   mydomain.ru_ca.crt - имя загруженного из панели файла сертификата Центра Авторизации
   user - имя вашего пользователя для подключения к серверу через ssh (часто используется root)
   1.22.33.444 - IP-адрес вашего веб-сервера
   /etc/ssl - директория на удаленном сервере, в которую в хотите сохранить загружаемые файлы.

Перенос сертификатов с компьютера Windows:

1. Установите программу WinSCP . Скачать ее можно .
2. Запустите WinSCP. В открывшемся окне введите данные, которые вы используете для подключени я к вашему серверу по SSH .
   В левой части окна программы отображаются файлы на локальном компьютере, в правой - на подключенном удаленном сервере. Выберите или создайте директорию, в которую вы хотите сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.

Примечение: для удобства в дальнейшем рекомендуем перенести файл закрытого ключа (.key) в ту же директорию, в которую вы скопировали файлы сертификатов. Вы можете не делать этого, но таком случае запомните путь до этого файла и в дальнейшем укажите его в файле конфигурации Apache вместо пути, приведеленного в нашем примере.

Если закрытый ключ .key был сгенерирован непосредственно на сервере, то для его копирования в другую директорию вы можете использовать команду:
cp /home/root/private.key /etc /ssl/private.key
Где:
cp - команда копирования
/home/root/ - путь до файла ключа
private.key - имя файла ключа
/etc/ssl/private.key - путь, по которому необходимо скопировать файл ключа

Удалить файл ключа из старого расположения вы можете с помощью команды:
rm /home/root/private.key
(синтаксис команды аналогичен предыдущему примеру)

Настройка веб-сервера Apache на использование SSL-сертификата

После копирования файлов сертификата сайта и Центра Сертификации необходимо отредактировать параметры вашего веб-сервера Apache . Для этого подключитесь к вашему серверу по SSH от имени пользователя root и выполните следующие операции:

1. Активируйте использование опции SSL веб-сервером Apache:
   Ubuntu/Debian:
   a2enmod ssl
   CentOS:
   yum install mod_ssl
2. Откройте файл конфигурации сайта, для которого вы хотите установить SSL-сертификат.
   Например, если параметры веб-сайта хранятся в файле /etc/apache2/sites-enabled/000-default.conf :
   nano /etc/apache2/sites-enabled/000-default.conf
   Примечание: На Ubuntu/Debian файлы параметров сайтов Apache как правило находятся в директории /etc/apache2/sites-enabled/ . На CentOS стандартное расположение - /etc/httpd/conf.d/
   Для поиска нужной конфигурации вы можете использовать команду ls /директория/конфигураций (напр. ls /etc/apache2/sites-enabled) , которая отображает полный список файлов в указанной директории.
   Затем с помощью команды nano вы можете открыть определенный файл (напр. nano /etc/apache2/sites-enabled/000-default.conf ). Проверить, что открытый файл действительно является конфигурацией вашего сайта можно, найдя в нем строку ServerName . Ее значение должно соответствовать домену, для которого вы устанавливаете SSL-сертификат (напр. www.mydomain.ru)
   Примечание для CentOS: если редактор nano не установлен на вашем сервере, вы можете установить его с помощью команды yum install nano
3. Добавьте приведенные ниже параметры в открытый файл конфигурации:
   SSLEngine on
   
   
   SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key
   Где:
   /etc/ssl/mydomain.ru_crt.crt - путь до файла сертификата вашего сайта
   /etc/ssl/mydomain.ru_ca.crt - путь до файла цепочки сертификатов Центра Сертификации (CA)
   /etc/ssl/mydomain.ru_key.key - путь к файлу вашего закрытого ключа

   Примечание: если вы хотите, чтобы после установки SSL-сертификата ваш сайт был доступен только по безопасному протоколу https (порт 443) , отредактируйте файл его конфигурации по аналогии с приведенным ниже Примером 1. Если же вы хотите, чтобы сайт также оставался по-прежнему доступен по незащищенному протоколу http (порт 80) , воспользуйтесь Примером 2.
   Вносимые изменения выделены жирным шрифтом.

   Пример 1 (только HTTPS):

   # The ServerName directive sets the request scheme, hostname and port that
   
   
   
   
   
   
   #ServerName www.mydomain.ru
   
   DocumentRoot /var/www/html
   
   
   
   # modules, e.g.
   #LogLevel info ssl:warn
   
   
   
   
   
   
   
   
   SSLEngine on
   SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt
   SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt
   
   

   Пример 2 (HTTPS + HTTP):

   
   
   # the server uses to identify itself. This is used when creating
   # redirection URLs. In the context of virtual hosts, the ServerName
   # specifies what hostname must appear in the request"s Host: header to
   # match this virtual host. For the default virtual host (this file) this
   # value is not decisive as it is used as a last resort host regardless.
   # However, you must set it for any further virtual host explicitly.
   #ServerName www.mydomain.ru
   ServerAdmin webmaster@localhost
   DocumentRoot /var/www/html
   # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
   # error, crit, alert, emerg.
   # It is also possible to configure the loglevel for particular
   # modules, e.g.
   #LogLevel info ssl:warn
   ErrorLog ${APACHE_LOG_DIR}/error.log
   CustomLog ${APACHE_LOG_DIR}/access.log combined
   # For most configuration files from conf-available/, which are
   # enabled or disabled at a global level, it is possible to
   # include a line for only one particular virtual host. For example the
   # following line enables the CGI configuration for this host only
   # after it has been globally disabled with "a2disconf".
   #Include conf-available/serve-cgi-bin.conf
   SSLEngine on
   SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt
   SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt
   SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key
   
   
   # The ServerName directive sets the request scheme, hostname and port that
   # the server uses to identify itself. This is used when creating
   # redirection URLs. In the context of virtual hosts, the ServerName
   # specifies what hostname must appear in the request"s Host: header to
   # match this virtual host. For the default virtual host (this file) this
   # value is not decisive as it is used as a last resort host regardless.
   # However, you must set it for any further virtual host explicitly.
   #ServerName www.mydomain.ru
   ServerAdmin webmaster@localhost
   DocumentRoot /var/www/html
   # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
   # error, crit, alert, emerg.
   # It is also possible to configure the loglevel for particular
   # modules, e.g.
   #LogLevel info ssl:warn
   ErrorLog ${APACHE_LOG_DIR}/error.log
   CustomLog ${APACHE_LOG_DIR}/access.log combined
   # For most configuration files from conf-available/, which are
   # enabled or disabled at a global level, it is possible to
   # include a line for only one particular virtual host. For example the
   # following line enables the CGI configuration for this host only
   # after it has been globally disabled with "a2disconf".
   #Include conf-available/serve-cgi-bin.conf
   

4. Перезапустите сервис apache :
   Ubuntu/Debian:
   /etc/init.d/apache2 restart
   CentOS:
   apachectl restart
5. Если на вашем сервере настроен файрвола iptables, вам необходимо разрешить входящие подключения по протоколу https (порт 443) для вашего файрвола. Для этого воспользуйтесь документацией к вашей ОС, т.к. в разных дистрибутивах Linux работа с iptables осуществляется по разному. Ниже приведено несколько примеров:
   Ubuntu 16.04:
   ufw allow 443/tcp
   Debian:
   iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
   CentOS:
   iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Проверка настроек

На этом процедура установки SSL-сертификата на веб-сервер Apache завершена. Для проверки корректности настроек откройте откройте ваш-веб сайт в браузере по протоколу HTTPS (например, https://mydomain.ru) . Если сертификат установлен корректно, в адресной строке вашего браузера вы увидите иконку замка, при клике на которую будет отображена информация о приобретенном вами SSL-сертификате.

В этой статье мы рассмотрим, как заказать бесплатный SSL–сертификат и установить его на облачный VPS от Infobox . Базовые SSL–сертификаты бесплатно выдает центр сертификации StartCom .

Бесплатные сертификаты StartSSL класса 1 служат для подтверждения доменных имен и адресов электронной почты. Проверки заказчиков, как правило, производятся автоматически и требуют минимального участия со стороны сотрудников StartCom. В процессе проверки подтверждается то, что подписчик является владельцем домена и действующего ящика электронной почты.

Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена. Если вам необходима сертификация более высокого уровня - можно заказать SSL сертификат в панели управления Infobox на главной странице в блоке «Мои услуги» -> «Заказать новую услугу». Доступ к панели управления предоставляется при заказе любой услуги, например VPS или облачных VPS .

Для обеспечения секретности передаваемых данных простых сайтов сертификаты StartCom подходят неплохо.
Бесплатные сертификаты от StartCom на самом деле не совсем бесплатные. Если потребуется отзыв сертификата - эта процедура стоит $24 у StartCom.

Заказ бесплатного SSL–сертификата

Откройте страницу заказа бесплатного сертификата SSL. Заполните информацию о вас (данные должны быть реальными, это очень важно).

На следующем шаге от вас потребуется код подтверждения, отправленный на указанную электронную почту.

Введите код и нажмите «Continue»

После этого необходимо дождаться подтверждания регистрации от StartCom (может занимать до 6 часов, но обычно ссылка для доступа и код подтверждения приходит гораздо быстрее). После получения письма введите код из него по ссылке, указанной в письме. Далее выберите длинну сертификата (лучше выбирать максимальную).

После этого будет сгенерирован сертификат для доступа к сертифицирующему центру StartCom. Сохраните его в безопасном месте и установите в систему, выполнив по нему двойной клик мышью и нажав «Install».

Теперь у вас есть доступ к сертифицирующему центру. На следующем шаге введите имя домена, для которого хотите получить сертификат.

Для подтверждения домена необходимо создать на нем один из трех адресов:

• postmaster@domain
• hostmaster@domain
• webmaster@domain

Если у вас еще не подключена почта для домена, можно привязать домен к бесплатной Яндекс.Почте или воспользоваться бизнес-почтой «Офис 24»

После создания почтового ящика на домене выберите его у StartCom и подтвердите принадлежность домена вам.

После подтверждения владения доменом вы можете сгенерировать секретный ключ, как показано на скриншоте ниже:

Рекомендуется пропустить этот шаг и сгенерировать CSR на вашем облачном VPS. Так секретный ключ не окажется у StartCom.
Для генерации CSR подключитесь к виртуальному серверу по SSH (подробнее в следующем разделе) и выполните команду:
openssl req -new -newkey rsa:4096 -nodes -keyout /etc/ssl/private.key -out /etc/ssl/domain.csr

В FQDN укажите ваш домен. E–mail адрес обязательно должен быть в этом домене, например [email protected].

После генерации выведите на экран консоли содержимое файла domain.csr:
cat /etc/ssl/domain.csr
и вставьте в поле мастера выдачи сертификатов, который появится после нажатия на Skip окна генерации сертификатов.

Согласитесь с предложенным именем домена.

На следующем шаге добавьте поддомен www к сертификату.

Завершите процесс получения ssl.crt и сохраните его.

Вам понадобится корневой и промежуточный сертификаты StartCom. Для их получения перейдите в раздел Toolbox -> StartCom CA Certificates.
Сохраните файлы по ссылке Class 1 Intermediate Server CA (sub.class1.server.ca.pem) и StartCom Root CA (ca.pem).

В итоге у вас будут сохранены на локальном компьютере следующие полезные файлы:

• ca.pem
• sub.class1.server.ca.pem
• ssl.crt

На сервере в папке /etc/ssl/:

• private.key

Копируем файлы на сервер

Создайте сервер из шаблона Ubuntu 14.04 lamp в облаке . Процесс создания сервера был рассмотрен в статье ранее.
Необходимо скопировать ca.pem, sub.class1.server.ca.pem и ssl.crt в папку /etc/ssl (если ее нет - создать).

Это можно сделать например через Filezilla (установка клиента рассмотрена также в статье). Однако способ подключения будет отличаться, так как нужен доступ не только к папке сайта, но и ко всему серверу.

Добавьте новое SFTP подключение, как показано на скриншоте ниже. Используйте логин и пароль от сервера, которые пришли на вашу электронную почту после создания сервера, а также внешний ip–адрес сервера.

При подключении подтвердите, что вы подключаетесь к известному вам серверу, нажав OK.

Подключение будет успешно установлено.

Перейдите в папку "/etc/ssl" и скопируйте туда файлы ca.pem, sub.class1.server.ca.pem и ssl.crt.

Теперь подключитесь к серверу по SSH .

Включаем SSL в NGINX

В шаблоне LAMP настраивать SSL нужно на реверс-прокси NGINX.

Если ранее при генерации CSR вы установили пароль, расшифруйте приватный ключ командой:
openssl rsa -in /etc/ssl/ssl.key -out /etc/ssl/private.key

Объедините корневой и промежуточный сертификаты командой:
cat /etc/ssl/sub.class1.server.ca.pem >> /etc/ssl/cau.pem

Добавьте к объединению ваш сертификат
cat /etc/ssl/ssl.crt /etc/ssl/cau.pem >> /etc/ssl/group.crt

Откройте результат в nano:
nano /etc/ssl/group.crt
Сохраните изменения (Ctrl+X, Y, Enter).

Перенесите начало каждого нового сертификата на новую строчку после окончания предыдущего сертификата и сохраните изменения.

Теперь установите права для доступа к private.key:
chmod 600 /etc/ssl/private.key

Отредактируйте файл конфигурации nginx:
nano /etc/nginx/sites-enabled/default

Внесите изменения, как показано на скриншоте ниже (вместо le-vert.ru используйте ваш домен):

Перезапустите NGINX.
service nginx restart

Если вы попробуете зайти на сайт по ip–адресу по протоколу HTTPS, то вы увидите предупреждение о том, что сертификат небезопасен.

Для безопасного соединения заходите на сайт по имени домена.

Для этого в DNS-записи А для домена и поддомена www укажите ip–адрес сайта и дождитесь обновления DNS. Либо для тестирования пропишите соответствие ip–адреса сервера и домена в файле hosts вашей ОС.

Единственное небезопасное что осталось - картинкa на странице загружается по http. Для того, чтобы сайт был доверенным, загружайте картинки по https.

 

Возможно, будет полезно почитать:

• Аббатство - это католический монастырь ;
• Самые распространенные расклады ;
• Быт и обычаи Обычаи и нравы 19 века ;
• К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
• Основные характеристики марса ;
• Должностная инструкция транспортного экспедитора ;
• Татаро-монгольское иго или история о том, как ложь стала правдой ;
• Журавль толкование сонника ;