Очень часто приходится отвечать/помогать с вопросом установки SSL сертификатов на хостинг, поэтому решено было написать данную статью, которая должна значительно уменьшить задаваемые вопросы по поводу SSL сертификатов.
SSL сертификат – это цифровая подпись домена, которая дает возможность веб-клиенту (интернет-браузеру пользователя) удостоверится в подлинности веб-сервера (сайта) и обмениваться данными в зашифрованном виде. Для этого используется HTTPS протокол, который обеспечивает безопасное соединение и передачу данных. HTTPS соединение гарантирует защиту, целостность и сохранность передаваемых данных.
Более подробно про виды SSL сертификатов.
В Личном Кабинете раздел SSL Сертификаты слева можно видеть Типы SSL сертификатов и Подписчики SSL, Коды стран. Чтобы подобрать нужный SSL, можно воспользоваться данными фильтрами. Также, внизу страницы есть видео по Типам SSL сертификатов
Ознакомимся с установкой SSL сертификата на примере Ukrnames Trial SSL
Основной панелью управления хостинга Ukrnames является — CPanel. Поэтому было решено продемонстрировать полный процесс установки SSL на хостинг с cPanel.
Рекомендуем прочитать всю статью полностью, прежде чем приступать к выпуску сертификата SSL.
ВЫПУСК SSL СЕРТИФИКАТА
Заказываем нужный сертификат на сайте Ukrnames.com
ШАГ 1. Способ 1. Мастер регистрации SSL
Сразу после заказа SSL, система автоматически переведет на Мастер регистрации SSL сертификата, который сам заполнит поля, взяв данные из Профиля, остается указать домен и организацию. Можно также нажать на кнопку «Мастер регистрации SSL» возле сертификата и приступить к заполнению данных, как на картинке ниже.нажимаем «Продолжить»
Примечание: если CSR уже есть, то нажимаем на «У меня уже есть CSR / Внести CSR вручную». Процедура получения CSR-запроса через генератор CRS Укрнеймс или иной другой генератор CRS описана ниже (Способ 2).
Копируем наши CSR-запрос и Private key в текстовый файл и нажимаем «Продолжить». Примечание: разница между Мастером SSL и вносом CSR вручную, в том, что Мастер заполняет поля, сгенерирует CSR и после сразу вставит его для отправки подписчику. При этом, Мастер отправит на почту Кабинета CSR-запрос и Private key, что бы вы не потеряли их и могли взять из письма.
Способ 2. (можно использовать в случае отказа от Способ 1) Сгенерировать CSR можно с помощью CSR-генератора компании Укрнеймс https://ssl.ukrnames.com/ или на сервере, или любым иным генератором. Как указано выше, полученный CSR-запрос можно вставить «У меня уже есть CSR / Внести CSR вручную» или в Кабинете – Управление SSL — Управление – Внести CSR запрос (если вы решили подать запрос именно так). В любом случае, результатом будет подача CSR-запроса и отправка сертификата на выпуск.
При генерировании CSR необходимо ввести следующие данные:
Домен (Common name), без HTTPS://
Организация/Имя (латиницей):
Департамент (пример: IT): *
Город (Locality/City) (пример: Kyiv): *
Регион (State/Province) (пример: Kyivska oblast):
Э-почта (Email):
Страна (Country)
Особенности заполнения данных при генерировании CSR:
Данные необходимо вводить латиницей.
Домен (Common name) — доменное имя, на которое приобретается сертификат, например: ukrnames.com или support.ukrnames.com или *.ukrnames.com (для WildCard SSL)
“Организация” — юридическое название компании или ФИО предпринимателя, если сертификат оформляется на него.
“Отдел/Департамент” — отдел организации, который занимается покупкой сертификата, например “SUPPORT”.
“Регион” и “Город” должны содержать полные названия, например “Kharkivska Oblast”, “Kharkiv”.
“Страна” — выбираем из списка. Некоторые генераторы требуют указать код страны. Для Украины код “UA”, для России “RU”, для других стран воспользуйтесь «списком кодов стран».
Заполняем поля и нажимаем «Сгенерировать CSR»
Получаем запрос CSR на подпись сертификата( CERTIFICATE REQUEST) и приватный/закрытый ключ (PRIVATE KEY). Важно! Сохраняем их в текстовом файле, private key нужен для установки сертификата на хостинге/сервере.
Далее возвращаемся в аккаунт Кабинета – Управление SSL — Управление – Внести CSR запрос и вставляем данные включая теги CERTIFICATE REQUEST в поле «Введите запрос на подпись сертификата (CSR):»
Нажимаем «Продолжить»
Обратите внимание: «Что такое CSR запрос?» и «CSR генератор» – это ссылки на данную статью и на csr-генератор.
ШАГ 2. Подтверждение данных SSL сертификата
Внимательно проверьте корректность ввода данных, после подтверждения их изменить будет нельзя.
Примечание: если нет желания вводить данные Административного и Технического контактов вручную, то нажимаем «Использовать данные профиля» и «Использовать данные Административного контакта» (эти данный мы заполняли при регистрации аккаунта и заказе домена,так что вводить повторно от руки мы их не будем).
Внимание: центр сертификации (CA) отправит письмо валидации домена на email с именем нашего домена. Важно помнить, что произвольный ящик указать не получится. Ящики имеют строгий шаблон, можно выбрать только один из списка:
admin@
administrator@
hostmaster@
postmaster@
webmaster@
Примечание: для этого в панели хостинга cPanel в категории «Почтовые аккаунты» создаем почтовый ящик admin@имя_домена. Если почта есть и она может принять письмо от CA, нажимаем «Подтверждаю». На указанный ящик придет письмо от организации предоставившей SSL.
Внимание: если нет возможности пройти подтверждение сертификата по email, ниже описаны иные способы проверки домена. Если на вашем домене нет Email адресов – выберите любой Email из списка, после отправления заявки вы сможете изменить метод подтверждения на HTTP или DNS.
Нажимаем «Подтверждаю» и отправляем сертификат на подпись в CA.
На нашу почту admin@mydomain.ua было выслано письмо подтверждения домена. Проверяем почту и выполняем инструкцию из письма. Для нашего сертификата это письмо с Темой: ORDER #123456789 – Domain Control Validation for mydomain.ua
To permit the issuance of the certificate please browse here
and enter the following "validation code":
Kn*B9WaQdM7Hp*******************hn
Перейдя по ссылке, вводим присланный нам validation code
Жмем «Next», получаем сообщение:
Thank you
You have entered the correct Domain Control Validation code. Your certificate will now be issued and emailed to you shortly. Please close this window now.
Нужно подождать около 10 минут и сертификат будет Выдан (архив с сертификатом и цепочкой bundle придет на почту Кабинета). Скачать SSL можно и в самом Кабинете – Управление ssl – Управление – Скачать SSL Сертификат
Когда сертификат будет Выдан, скачиваем архив (mydomain_ua.zip) в Кабинете и открываем его, он содержит 4 или 3 файла (зависит от подписчика): внутри сам сертификат (mydomain_ua.crt) и промежуточные сертификаты цепочки CABUNDLE (ca_1.crt, ca_2.crt, ca_3.crt (опционально)). Если скачивать сертификат, через почту Кабинета, там подписчик может сразу соединить цепочку в один файл (mydomain_ua.ca-bundle).
Примечание: файлы сертификата открываем текстовым редактором, например, Блокнот или Notepad++
1 – Можно указать иной email из списка и на него сразу будет отправлено письмо подтверждения.
2 – Будет отправлено новое письмо, если нажать несколько раз, в последнем письме будет верный код.
3 – Можно пройти проверку домена иным способом.
в Кабинете – Управление ssl – Управление – Изменить метод подтверждения (3)
Нажимаем “Изменить метод подтверждения” и выбираем между EMAIL, HTTP/ HTTPS и DNS
EMAIL – подтверждение сертификата по email
HTTP – подтверждение через файл проверки
Пожалуйста, загрузите файл проверки (Скачать файл): httр://domain.ua/.well-known/pki-validation/D1CC1A0EA474FB6XXXXXXXX1141F73C8.txt
DNS – подтверждение через CNAME-запись
Пожалуйста, создайте DNS запись:
_D1CC1A0EA474FB6XXXXXXXX1141F73C8.DOMAIN.UA CNAME e3fc5ebc04ecb692b2853d6d25be51f9.05db7c7ffca9ae0d559be472de11e7fe.t0037062001549633360.comodoca.сom
ШАГ 3. УСТАНОВКА СЕРТИФИКАТА НА ХОСТИНГ CPANEL
Переходим в cPanel в раздел «SSL/TLS» – Установка и управление SSL для сайта (HTTPS) и нажимаем на «Управление сайтами с SSL»Если сертификат для домена уже есть, то нажимаем «Обновить сертификат»Если сертификата нет, то в поле Домен: выбираем наш домен.
Далее заполняем поля, взяв данные из файлов, ранее открытых Блокнотом.
В поле Сертификат: (CRT) вводим данные из файла основного сертификата mydomain_ua.crt
В поле Закрытый ключ (KEY) вводим закрытый ключ, который мы получили при генерации CSR запроса и сохранили локально ранее.
В поле Пакет центра сертификации: (CABUNDLE) вводим последовательно данные из промежуточных сертификатов. Это значит, что сперва мы вводим данные из ca_1, далее из ca_2. Если архив скачан через почту Кабинета в виде одного файла mydomain_ua.ca-bundle, то это значит, что подписчик CA уже соединил все ключи цепочки в один и предоставил нам. Открывает его Блокнотом выделяем все (Ctrl + A) – копируем (Ctrl + C) – вставляем (Ctrl + V)Нажимаем «Установить сертификат»
Примечание: большинство сертификатов SSL дают защиту и для поддомена www, выпустив ssl для «mydomain.ua» мы сразу получим защиту и для «www.mydomain.ua».
Обновляем страницу и видим наш установленный сертификат
Переходим на наш сайт через https:// соединение. Видим замок и сведениями о нашем SSL сертификате.
Внимание!
Данная статья описывает выпуск и установку SSL Сертификата с проверкой домена (Domain Validation SSL), это значит, что сертификат можно получить на любой домен (на поддомен тоже, например, shop.mydomain.ua или info.blog.mydomain.ua).
Но если необходим SSL Сертификат с поддержкой субдоменов (WildCard SSL Certificates), тогда генерируем CSR-запрос указав домен через *.mydomain.ua, что даст защиту всем прямым поддоменам (info.mydomain.ua, mail.mydomain.ua и т.д.). Если сгенерируем CSR-запрос указав домен через *.list.mydomain.ua получим защиту всех его прямых поддоменав (1.list.mydomain.ua, 2.list.mydomain.ua, 3.list.mydomain.ua, 99.list.mydomain.ua).
Внимание!
Если сертификат истекает и его необходимо продлить, то это означает, что нужно повторно пройти процедуру выпуска SSL и его установку на сервер/хостинг.