Как установить SSL-сертификат на сайт

Количество сайтов, работающих через защищенное соединение, растет с каждым годом. Это защищает данные пользователей от кражи. Поисковые системы отдают предпочтение таким сайтам при ранжировании, что побуждает все больше владельцев сайтов переходить на защищенный протокол. В ближайшем будущем Интернет будет заполнен только сайтами, использующими защищенное соединение — ведь никто не хочет потерять свою аудиторию.

Что такое SSL-сертификат и зачем он нужен

Протокол https необходим для безопасного обмена информацией. При его использовании данные между пользователем и интернет-ресурсом передаются в зашифрованном виде, что делает их защищенными от перехвата и модификации. Https также проверяет, действительно ли ресурс, с которым осуществляется взаимодействие, является тем, за который себя выдает. Это важно для персональных данных, паролей, переписки и осуществления платежей. Однако даже если сайт собирает только минимальную информацию о пользователях, такую как имя и электронная почта, он уже становится оператором персональных данных и по закону обязан соблюдать меры по защите информации — установка ssl-сертификата является одной из них. ssl-сертификат — это цифровая подпись для интернет-ресурса, необходимая для работы https. Сайт, защищенный ssl-сертификатом, в начале своего url вместо http будет иметь https («s» означает secure). Пользователи такого сайта увидят характерный «замочек» рядом со строкой браузера, означающий безопасную передачу данных. Нажав на «замочек», пользователь сможет увидеть доменное имя, на которое выдан сертификат, срок его действия, информацию о компании, выдавшей сертификат, а также организацию владельца сертификата (для сертификатов уровня «бизнес») и его местонахождение. Помимо защиты данных, сертификат может быть полезен и для seo-продвижения сайта. С 2017 года поисковые системы (google, yandex и др.) ранжируют сайты, работающие через защищенное соединение, выше, чем сайты без https.

ssl-сертификат, при использовании в сочетании с грамотной конфигурацией сервера, обеспечивает три ключевые гарантии: конфиденциальность, целостность и аутентификацию. Это делает обмен информацией безопасным, а также повышает уровень доверия посетителей и поисковых систем к ресурсу.

Необходимость в SSL

Если сайт не имеет шифрования, опасно ли его использовать? Да, если вы отправляете на сайт свои данные. Например, если на сайте есть регистрационная форма и нет шифрования, лучше не пользоваться им. Когда вы отправляете регистрационную форму, данные могут быть легко перехвачены. Однако нет никакой опасности в посещении сайтов, на которых вы не оставляете никакой информации. Например, личные блоги: зашли, прочитали статью и закрыли сайт. В таких случаях информация передается от сайта к пользователю, а не от пользователя к сайту.

Типы SSL-сертификатов

Существует несколько типов ssl-сертификатов. Сертификат проверки домена, например domainssl или alphassl. Самый простой и дешевый тип ssl-сертификата. Проверяет только домен. Не содержит информации о владельце, поэтому не предназначен для предоставления коммерческих услуг на сайте. Этот тип сертификата могут использовать только физические лица, но он доступен и для предприятий. Сертификат с подтверждением домена и организации (organization validation), например, organizationssl. Он подтверждает не только домен, но и принадлежность компании. Центр авторизации проверит его наличие, а пользователь может увидеть его название на сайте в информации о сертификате, нажав на «замочек» рядом с адресной строкой браузера. Они используются, например, для интернет-магазинов. Такие сертификаты могут регистрировать только юридические лица и индивидуальные предприниматели. Важно, чтобы доменное имя было зарегистрировано на организацию, а не на физическое лицо. Сертификат с расширенной проверкой — например, extendedssl. Он считается самым надежным и предназначен для крупных организаций. При его выдаче центр сертификации проводит расширенную проверку налоговой и хозяйственной деятельности компании. Выдача сертификата займет длительное время (от 5 дней до нескольких недель), в зависимости от скорости предоставления необходимых документов в центр сертификации.

Различные типы ssl-сертификатов: сертификаты проверки домена, такие как domainssl или alphassl — это самый простой и дешевый способ проверки доменного имени; сертификаты проверки организации.

Если вы хотите покрыть несколько поддоменов одним сертификатом, вам лучше выбрать сертификат с поддержкой подстановочных знаков. Это означает, что он будет работать как на основном домене, так и на любом количестве поддоменов без каких-либо ограничений.

При заказе сертификатов расширенной проверки или проверки организации центр сертификации может запросить различные типы документов, например, сертификат инн/кпп, сертификат огрн, приказ о назначении директора, свидетельство о регистрации доменного имени или устав организации (первые 3 и последние 3 страницы). Центр сертификации может запросить и другие документы, не указанные в списке. С вами могут связаться по телефону, чтобы подтвердить номер телефона организации и заказать сертификат.

Где взять SSL сертификат

Существуют специальные фирмы, у которых вы должны покупать ssl-сертификаты. Цена сертификатов варьируется в зависимости от гарантийных обязательств (т. е. Чем больше гарантий безопасности, тем дороже будет стоить сертификат). Стоимость самого дешевого сертификата аналогична стоимости годовой регистрации доменного имени. Самые дорогие могут стоить в сотни и тысячи раз дороже. Однако с развитием безопасных соединений появились общественные организации, которые предоставляют бесплатные сертификаты. Одной из таких организаций является let’s encrypt. Бесплатные сертификаты от let’s encrypt вполне подходят для большинства сайтов в Интернете — если, конечно, это не банковский сайт, который в идеале должен иметь очень надежный сертификат.

Бесплатный SSL-сертификат от Let’s Encrypt

До недавнего времени единственным способом получить ssl-сертификат было либо купить его, либо установить самоподписанный сертификат. Это вызывало ряд проблем: либо его устанавливали на серверы крупные предприятия и сайты с большим потоком посетителей, либо сертификаты не считались браузерами действительными. Это привело к тому, что доступ к большинству сайтов в Интернете можно было получить только через незащищенное соединение. Со временем ситуация изменилась. Появилась некоммерческая организация Let’s encrypt, которая выпускает бесплатные ssl-сертификаты для сайтов. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей. Бесплатный сертификат относится к типу dv (domain validation). Сертификаты Let’s encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s encrypt никогда не хранит закрытые ключи на своих серверах, информация о сертификате находится в открытом доступе. Основным недостатком сертификата let’s encrypt является то, что он действителен не более 90 дней. После этого его необходимо перевыпустить. Это можно сделать вручную или автоматически через планировщик задач cron. Например, вы можете настроить автоматическую перевыпуск прямо в панели.

Платный SSL-сертификат

Существует три основных типа платных ssl-сертификатов — dv, ov и ev. Они обеспечивают более высокий уровень защиты данных для пользователей и гарантируются сертифицированным органом. В случае если сеансовый ключ сертификата будет скомпрометирован, центр выплатит пользователю определенную сумму в качестве компенсации. Если у вас возникли проблемы с сертификатом, вы всегда можете обратиться за помощью в службу технической поддержки центров сертификации.

Сертифицированные центры (CA)

Если вы хотите получить ssl-сертификат для своего сайта, вы можете обратиться в доверенный центр сертификации (ca). К числу доверенных центров относятся:

  • Let’s encrypt — это надежная и заслуживающая доверия организация, предоставляющая бесплатный ssl. Многие крупные компании поддерживают проект финансово, чтобы повысить безопасность интернета.
  • Gmo’s globalsign — один из крупнейших в мире центров сертификации. Он выпускает ssl-сертификаты с 1996 года и пользуется доверием таких крупных компаний, как microsoft, netflix и airbnb.
  • Sectigo (ранее comodo) является одним из наиболее авторитетных центров для получения сертификата. К сожалению, в настоящее время он не работает в Российской Федерации.
  • Компания symantec известна тем, что производит множество продуктов для сферы IT, признанных во всем мире. Они работают уже около 30 лет. К сожалению, они не выдают сертификаты пользователям из Российской Федерации.

Выбирая центр сертификации, вы должны знать о его надежности. Различные браузеры часто проверяют сертификаты различных компаний на качество. Если какие-либо правила безопасности нарушены, то сертификаты этих компаний будут непригодны для использования в данном браузере.

Что нужно сделать чтобы установить SSL-сертификат

Для получения и установки ssl-сертификата необходимо выполнить несколько шагов. В общем, вам нужно будет купить сертификат, создать запрос на сертификат csr, получить ssl-сертификат и установить его на своем хостинге или сервере. Возможно, вам также потребуется внести некоторые изменения в настройки вашего сайта.

Приобретение SSL-сертификата

Если вы хотите купить ssl-сертификат, вы можете сделать это непосредственно в центре сертификации. Однако зачастую проще приобрести сертификат у своего хостинг-провайдера. Это связано с тем, что ваш хостинг-провайдер, скорее всего, уже знаком с вашим доменом, сервером и сайтом. Когда вы будете на этапе покупки, обязательно укажите тип сертификата и домен, для которого он приобретается. Затем оплатите сертификат. В зависимости от поставщика сертификата, вам необходимо будет сформировать csr-запрос на сертификат до или после оплаты. В некоторых случаях эта процедура может быть включена в процесс покупки.

Генерация CSR запроса на сертификат

Запрос на подписание сертификата (csr) — это зашифрованный файл, содержащий информацию о вашем домене и организации. Вы можете сгенерировать csr одним из трех способов: автоматически в процессе заказа ssl-сертификата, онлайн с помощью генератора csr или на собственном веб-сервере. Во всех случаях вам потребуется получить два файла: файл запроса (domain.csr) и файл закрытого ключа (private.key). Файл запроса используется для генерации сертификата, а закрытый ключ понадобится позже при установке сертификата на хостинг или сервер.

Создание собственного сервера не должно быть сложным, процесс описан ниже. Но сначала необходимо отметить несколько важных моментов:

Доменное имя, для которого заказывается ssl-сертификат (за исключением зон.ru и. рф), должно иметь отключенную конфиденциальность. Все остальные данные запроса должны быть заполнены на английском языке. При заказе сертификатов с подстановочным знаком доменное имя указывается со звездочкой (пример: *.domain.com).

Если вы хотите, чтобы ваш сертификат защищал обе версии вашего домена (с префиксом www и без него), вам нужно указать домен с префиксом www. Например: www.domain.ru. В противном случае сертификат будет защищать только версию домена без www, даже если он его поддерживает.

Для создания запроса на csr потребуется адрес электронной почты. Лучше всего заранее создать почтовый ящик (например. Admin@domain, administrator@domain, hostmaster@domain, postmaster@domain или webmaster@domain) и использовать его в качестве контактной информации. Этот же адрес пригодится позже для подтверждения владения доменом.

Генерация CSR запроса на собственном сервере

Требуется криптографический пакет с открытым исходным кодом. Он поставляется с большинством unix-подобных операционных систем. Многие инструкции предполагают, что закрытый ключ и запрос csr должны быть сгенерированы на сервере, где будет выдан сертификат. Однако в этом нет необходимости.

— для подключения к серверу по ssh и перехода в домашний каталог введите: cd ~

— для генерации закрытого ключа введите: openssl genrsa -out private.key 4096. В этой команде «private.key» — это выходной файл, который будет содержать ключ; 4096 — это размер ключа. Вы также можете сбросить его до 2048.

— Когда появится запрос «введите парольную фразу для private.key», введите пароль, который вы хотите использовать для защиты закрытого ключа. Затем, когда появится сообщение «verifying — enter pass phrase for private.key», подтвердите пароль, введя его еще раз.

— Закрытый ключ будет создан и сохранен в файле под названием «private.key». Обязательно сохраните копию этого файла на своем компьютере! Если ключ будет скомпрометирован или вы потеряете пароль, вам придется получить новый сертификат.

На следующем этапе создайте запрос csr. Для этого используйте команду openssl req и укажите закрытый ключ, созданный на предыдущем шаге, а также выходной файл для csr. Не забудьте также использовать аргумент -sha256. Когда появится запрос на ввод пароля, введите пароль для закрытого ключа.

  • Далее последовательно латиницей укажите следующие данные:
    • Country Name – двухсимвольный код страны согласно ISO-3166, например RU для России;
  • State or Province Name: область или регион без сокращений;
  • Locality Name: название города или населенного пункта;
  • Organization Name: название организации, для физ. лиц укажите «Private Person»;
  • Organizational Unit Name: подразделение (необязательно), для которого заказывается сертификат, например для IT-отдела можно указать IT;
  • Common Name: доменное имя (полностью) для которого заказывается сертификат;
  • Email Address: контактный e-mail адрес, вида admin@domain, administrator@domain, hostmaster@domain, postmaster@domain или webmaster@domain;
  • A challenge password: не заполняется;
  • An optional company name: альтернативное имя компании (необязательно).

Запрос csr на сертификат будет сохранен в файле domain.csr в виде закодированного текста.

Чтобы проверить правильность введенных данных, выполните следующую команду: openssl req -noout -text -in domain.csr

Далее вам понадобится ваш закрытый ключ и файл запроса csr. Вы можете использовать команду cat для вывода и копирования содержимого файла. Например, чтобы просмотреть содержимое вашего закрытого ключа, введите less private.key. Чтобы просмотреть содержимое запроса csr, введите less domain.csr. Нажмите q для выхода.

Выпуск SSL-сертификата

Теперь вы можете создать сертификат на основе этого запроса. В зависимости от того, где вы приобрели сертификат — в личном кабинете хостинга или в центре сертификации,— вам откроется страница, на которой необходимо ввести запрос на сертификат csr, сгенерированный ранее.

После отправки запроса вам необходимо подтвердить владение доменом. Это можно сделать одним из четырех способов: подтверждение по электронной почте; подтверждение через cname-запись (comodo); подтверждение через txt-запись (geotrust, thawte); подтверждение через http (comodo, geotrust).

Для управления доменом вам необходимо использовать один из следующих почтовых ящиков: admin@domain, administrator@domain, hostmaster@domain, postmaster@domain или webmaster@domain. На этот почтовый ящик будет отправлено письмо с уникальной ссылкой или кодом, который необходимо ввести для подтверждения управления доменом. Если вы следовали приведенным выше рекомендациям, у вас уже должен быть настроен один из этих почтовых ящиков.

Подтверждение через CNAME-запись

Вам будут предоставлены хэш-значения, которые необходимо ввести в запись dns cname для подтверждения домена.

Формат CNAME: _.<ваш домен=””>. CNAME.[.]comodoca.com.

Например:

_09f7e02f1290be211da707a266f153b3.subdomain1.yourdomain.com. CNAME 3d874ab7b199418a9753111648448163.9eb1f2608f4da5aa3560154ca1b0df53.comodoca.com.

Хеш SHA-256 разделен символом «.» (точка) на две метки, каждая длиной 32 символа;
В доменном имени в конце должна стоять точка.

Подтверждение через TXT-запись

Вам будет предоставлено хеш-значение, которое нужно добавить в TXT-запись домена, который подтверждается.

Подтверждение через HTTP

Вам будут предоставлены хэш-значения, которые вы должны использовать для создания текстового файла. Этот файл должен быть помещен в подпапку подтвержденного домена.

Путь файла:

http://<ваш домен=””>/.well-known/pki-validation/<значение хеша=”” md5=”” в=”” верхнем=”” регистре=””>.txt

Содержимое:

<значение хеша=”” sha-256=””>
comodoca.com

После подтверждения права собственности на домен любым из вышеперечисленных способов, вы сможете скачать файлы сертификатов или они придут по почте.

В скачанном архиве или письме будет несколько файлов: SSL-сертификат, один или несколько промежуточных и один корневой.

Например, для сертификатов Comodo:

  • domain_ru.crt — SSL-сертификат;
  • AddTrustExternalCARoot.crt (или AAACertificateServices.crt) — корневой;
  • SectigoRSADomainValidationSecureServerCA.crt, USERTrustRSAAddTrustCA, USERTrustRSAAAACA.crt- промежуточные.

Часто цепочка сертификатов может поставляться в виде одного файла – .CA-BUNDLE.

Установка SSL-сертификата

Дальнейшие шаги будут зависеть от хостинга вашего сайта или наличия у вас собственного сервера, а также от того, какую среду он использует.

Как установить SSL-сертификат на хостинг

Если ssl-сертификат вашего сайта был приобретен у того же хостинг-провайдера, где размещен ваш сайт, вам, скорее всего, нужно будет просто привязать сертификат к домену (хостингу), как показано на скриншоте ниже у хостинг-провайдера. Если вы приобрели сертификат из другого источника, вам нужно будет загрузить файлы сертификата, файл закрытого ключа и домена (хостинга) вручную. Подробные инструкции можно получить у хостинг-провайдера.

Как установить SSL-сертификат в панели управления ISPmanager

Войдите в панель управления ispmanager. В разделе «ssl-сертификаты» нажмите «создать». Выберите «существующий» в качестве типа сертификата и нажмите «далее».

Когда откроется страница, заполните следующие поля: — ssl certificate name: любое имя латинскими буквами; сертификат будет отображаться в панели управления. — ssl-сертификат: содержимое файла ssl-сертификата. — ssl certificate key: закрытый ключ сертификата. — ssl certificate chain: укажите сначала корневой сертификат, затем с новой строки без пробелов — промежуточный. Затем нажмите «finish.» в разделе «ssl certificates» появится добавленный сертификат.

Чтобы подключить сертификат к домену, перейдите в раздел «www-домены», дважды щелкните по нужному домену, установите флажок для безопасного соединения (ssl) и нажмите «ok». здесь же можно включить перенаправление с http на https.

Как установить SSL-сертификат на сервер с Nginx

Чтобы создать файл domain.crt, содержащий все три сертификата, откройте текстовый редактор, например, блокнот, и скопируйте в него содержимое каждого сертификата по очереди (без лишних пробелов и пустых строк).

—–BEGIN CERTIFICATE—– #SSL-сертификат# —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– #Корневой сертификат# —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– #Промежуточный сертификат (один или несколько)# —–END CERTIFICATE—–

Также потребуется закрытый ключ, который был получен во время генерации csr-запроса на сертификат. Его следует переименовать в domain.key.

Оба файла загрузите на сервер в директорию /etc/ssl/ или /etc/nginx/ssl/

Для сайта, для которого вы устанавливаете сертификат, отредактируйте виртуальный хост в файле /etc/nginx/sites-available/site.conf (или другом файле, в зависимости от конкретной конфигурации вашего сервера).

server { listen 443 ssl; server_name domain.com; ssl_certificate /etc/ssl/domain.crt; ssl_certificate_key /etc/ssl/domain.key; }

Эти настройки должны обеспечить правильную работу ssl.

Есть еще несколько настроек, которые вы можете использовать для работы https, но они необязательны. Оптимизация и безопасность Nginx — это тема для другой статьи, поэтому вы можете использовать эти настройки по своему усмотрению или просто придерживаться приведенной выше конфигурации.

server { listen 443 ssl; listen 80; server_name your_domain.com; ssl_certificate /etc/ssl/your_domain.crt; ssl_certificate_key /etc/ssl/your_domain.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; keepalive_timeout 70; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_trusted_certificate /etc/ssl/ca.crt; resolver 8.8.8.8; }

Где:

  • /etc/ssl/ca.crt – Файл корневого сертификата должен быть загружен на сервер, прежде чем к нему можно будет получить доступ.;
  • 8.8.8.8 – DNS-сервер.

После этого убедитесь, что в конфигурационном файле nginx нет ошибок.

nginx -t

Чтобы изменения вступили в силу, необходимо перезапустить Nginx.

Ubuntu

sudo /etc/init.d/nginx restart

CentOS 6

service nginx restart

CentOS 7

systemctl restart nginx.service

Как установить SSL-сертификат на сервер с Apache

Вам понадобится файл ssl-сертификата с именем domain.crt и закрытый ключ, полученный во время генерации csr-запроса на сертификат, переименованный в domain.key.

Вы можете создать текстовый документ, например, с именем chain.crt, и добавить в него содержимое промежуточного сертификата и корневого сертификата друг за другом — без лишних пробелов и пустых строк.

Загрузите эти три файла в каталог сервера. /etc/ssl/

Для сайта, на который вы хотите установить сертификат, откройте файл конфигурации apache. Если существует только один сайт, файл конфигурации, вероятно, является одним из следующих:

  • для CentOS: /etc/httpd/conf/httpd.conf;
  • для Fedora/CentOS/RHEL: /etc/apache2/apache2.conf;
  • для OpenServer конфиг в корневой папке.

Чтобы убедиться, что открытый файл действительно является конфигурацией сайта, найдите в нем строку servername. Указанное значение должно соответствовать домену, для которого установлен ssl-сертификат (например, Domain.ru).

В конце файла создайте копию раздела «virtualhost». Измените порт на 443 и добавьте следующие строки: Sslengine on Sslcertificatefile «/path/to/your/domain.crt» Sslcertificatekeyfile «/path/to/your/private.key»

SSLEngine on SSLCertificateFile /etc/ssl/domain_name.crt SSLCertificateKeyFile /etc/ssl/private.key SSLCertificateChainFile /etc/ssl/chain.crt

После этого проверьте, что в конфигурационном файле apache нет ошибок.

apachectl configtest

Чтобы изменения вступили в силу, необходимо перезапустить Apache.

Centos

/etc/init.d/httpd restart

Debian или Ubuntu

/etc/init.d/apache2 restart

Как установить SSL-сертификат на 1C-Bitrix

1с-битрикс предоставляет официальные инструкции, которым необходимо следовать для успешной установки.

Генератор конфигурационных файлов SSL

Mozilla предоставляет инструмент, который может генерировать файлы конфигурации ssl для многих популярных серверов. С помощью этого инструмента вы можете либо основывать свою конфигурацию на рекомендуемых настройках, либо проверить текущую конфигурацию на наличие ошибок.

Установка ssl-сертификата в cPanel

1. Для того чтобы установить сертификат, требуется следующее:

  • .crt – Сертификат домена
  • .key – Ключ сертификата
  • .crt – Пакет центра сертификации (он же: ca-bundle, Цепочка сертификатов удостоверяющего центра, промежуточный и корневой сертификаты и т.п.)

2. На главной странице в разделе «Безопасность» вы найдете то, что ищете и нажмите SSL/TLS

3. На открывшейся странице найдите пункт УСТАНОВКА И УПРАВЛЕНИЕ SSL ДЛЯ САЙТА (HTTPS) и нажмите ссылку Управление SSL-сайтами

4. Выберите сайт, для которого вы хотите установить сертификат, в поле Домен., а в поля Сертификат: (CRT), Закрытый ключ (KEY), Пакет центра сертификации (CABUNDLE) вставить полное содержимое файлов в п.1 соответственно. Извлекать содержимое файлов рекомендуется с помощью классического Блокнота Windows или схожего простого текстового просмотрщика.

5. Когда все содержимое файлов будет указано в нужных полях — нажмите кнопку install certificate, и если все данные введены правильно, появится сообщение об успешной установке ssl-сертификата.

Установка ssl-сертификата в Plesk

Для установки сертификата вам потребуется как минимум:

  • .crt – Файл сертификата
  • .key – Ключ сертификата
  • .crt – Цепочка сертификатов удостоверяющего центра

1. Вы можете добавить ssl/tls сертификат, перейдя на страницу сайтов и доменов, нажав ssl/tls сертификаты > добавить ssl/tls сертификат, а затем ввести имя сертификата. Затем прокрутите вниз до загрузки файлов сертификата и загрузите соответствующие файлы. И наконец, нажмите загрузить сертификат.

Чтобы сохранить сертификат в виде текста, прокрутите вниз до опции «загрузить сертификат в виде текста» и вставьте сертификат и закрытый ключ в соответствующие поля. Когда все будет готово, нажмите «загрузить сертификат», чтобы поместить сертификат в хранилище сертификатов репозитория. Вы можете просмотреть список всех ssl/tls сертификатов, перейдя на страницу «сайты и домены > ssl/tls сертификаты».

2. Вам необходимо установить только что созданный сертификат. Для этого перейдите на вкладку сайты и домены и нажмите на настройки хостинга. Затем установите флажок ssl/tls support, выберите ваш сертификат в меню сертификатов и нажмите OK.

Установка ssl-сертификата на Tilda

Покупатели безопасности остерегаются! Конструктор tilda поддерживает установку только бесплатного сертификата let’s encrypt и не позволяет установить сертификат стороннего производителя. Обязательно проведите исследование перед покупкой.

Установка Let’s Encrypt с помощью ISP manager

Вы можете установить бесплатный автовозобновляемый сертификат let’s encrypt через панель isp. Для этого выполните следующие действия: в меню isp manager выберите раздел «ssl-сертификаты». Затем выберите let’s encrypt. Выберите домен, для которого вы хотите установить сертификат (если вам нужен сертификат с подстановочным знаком, обязательно установите соответствующий флажок).

Проверка правильности установки SSL сертификата

Следующим шагом после установки и активации ssl-сертификата является проверка на наличие ошибок, которые могли возникнуть в процессе. Эти ошибки могут быть такими, как несоответствие между информацией в сертификате и информацией, хранящейся в центре сертификации, или ошибки в самом сертификате.

Рекомендуется использовать следующие сервисы для получения полного списка проблем перехода на https и сканирования вашего сайта на их наличие:

  1. https://www.ssllabs.com/ssltest
  2. https://www.digicert.com/help

В заключение хотелось бы сказать, что вы, вероятно, заметили, насколько проще заказывать, устанавливать и настраивать ssl-сертификаты при использовании хостинг-провайдера и панели управления хостингом. Если вы когда-либо устанавливали https-соединение для сайта на сервере вручную, без панели управления, вы, вероятно, почувствовали это.

Это, надо сказать, хорошая мотивация для использования первого типа хостера, где от пользователя не требуется много времени и знаний.

Людям, которые никогда не занимались веб-программированием или созданием сайтов, необходимо установить ssl-сертификат на свой сайт. Этот аргумент особенно ценен для них.

Если вы один из таких людей, рекомендуется воспользоваться услугами вашего хостинг-провайдера. Они избавят вас от лишней головной боли.

Несколько SSL-сертификатов на одном ip-адресе

Браузер будет получать сертификат сервера по умолчанию, только если на одном ip-адресе используется несколько сертификатов. Это связано с тем, как устанавливаются ssl-соединения. Веб-сервер не знает имени запрашиваемого сервера при первом установлении ssl-соединения, поэтому он может предложить только сертификат сервера по умолчанию.

Расширение указания имени сервера протокола tls (sni, rfc 6066) предоставляет решение для запуска нескольких https-серверов на одном ip-адресе. Это расширение позволяет браузеру передавать запрашиваемое имя сервера во время рукопожатия ssl, что означает, что сервер будет знать, какой сертификат ему следует использовать для подключения. Sni поддерживается почти всеми современными браузерами, но для того, чтобы использовать sni, он также должен поддерживаться библиотекой openssl. Openssl поддерживает sni начиная с версии 0.9.8f.

Заключение

В одной статье невозможно рассказать обо всех нюансах установки ssl-сертификата, однако основы будут рассмотрены. Большинство административных хостинг-панелей имеют схожий алгоритм установки. После завершения работы проверьте, правильно ли был установлен сертификат.