Установка SSL-сертификата

Для установки сертификата потребуется:

• Файл сертификата и цепочка сертификата.
• Ключ сертификата. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.
• Root доступ к серверу.

Где взять данные для установки SSL-сертификата?

---

Архив с данными для установки SSL-сертификата отправляется после выпуска сертификата на контактный e-mail, который вы указали при регистрации на сайте ispsystem.ru.

Также вы можете скачать архив в личном кабинете на сайте ispsystem.ru в разделе Товары — SSL сертификаты — кнопка Просмотр.

Где взять приватный ключ сертификата?

---

Если при заказе SSL сертификата вы не устанавливали галочку “Не сохранять ключ в системе”, то тогда ключ можно найти в личном кабинете в разделе SSL сертификаты — Просмотр.

Если же данную галочку установили, либо запрос CSR вы генерировали не на сайте ispsystem.ru, то приватный ключ должен быть у вас. Если по какой-то причине вы его не сохранили, либо потеряли, то сертификат необходимо будет перевыпускать с новым CSR запросом.

Как установить SSL-сертификат на VPS или выделенный сервер?

Установка SSL сертификата через панель управления ISPmanager

1. Зайдите в ISPmanager под пользователем, которому принадлежит домен. Войдя под root’ом это можно сделать так: ISPmanager — Пользователи — выделите пользователя — нажмите «Вход» (справа вверху кнопка с изображением лестницы и двери).

Не забудьте для пользователя включить возможность использования SSL (это можно сделать в разделе Пользователи — двойной клик по пользователю — вкладка «Доступ»)

2. В разделе WWW — «SSL-сертификаты» — справа вверху кнопка «Создать». Укажите «Тип сертификата» — “Существующий” и заполните все поля:

Имя сертификата — имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и —

Приватный ключ — укажите содержимое файла приватного ключа

Сертификат — укажите содержимое файла SSL-сертификата

Пароль — указывайте, если ключ сертификата зашифрован (обычно не требуется)

Цепочка сертификатов — Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат. В письме от центра сертификации обычно приходит архив, в котором есть два файла — сам сертификат и цепочка сертификата (файл с расширение .ca-bundle)

3. После успешного добавления сертификата в разделе «WWW домены» его можно включить для сайта (двойной клик — установить галочку «Повышенная безопасность SSL» — выбрать из списка нужный сертификат)

4. Детальная проверка установленного сертификата доступна по ссылкам: https://www.ssllabs.com/ssltest/analyze.html https://www.sslshopper.com/ssl-checker.html

Ручная установка SSL сертификата

---

Установка SSL-сертификата на Apache

Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:

 

# netstat -napt | grep 443

 

Для установки сертификата откройте конфигурационный файл Apache.

 

Debian - /etc/apache2/apache2.conf
Centos - /etc/httpd/conf/httpd.conf.

 

Найдите VirtualHost вашего домена. Отредактируйте блок «VirtualHost», добавив в него следующие строки:

 

<VirtualHost 10.0.0.1:443>
        DocumentRoot /var/www/user/data/www/domain.com
        ServerName domain.com SSLEngine on
        SSLCertificateFile /path/to/domain.crt
        SSLCertificateKeyFile /path/to/domain.key
        SSLCACertificateFile /path/to/ca.crt
</VirtualHost>

 

Где domain.com — имя вашего домена.

10.0.0.1 — ip адрес, на котором находится домен.

/var/www/user/data/www/domain.com — путь до домашней директории вашего домена.

/path/to/domain.crt — файл, в котором находится сертификат.

/path/to/domain.key — файл, в котором находится ключ сертификата.

/path/to/ca.crt — файл корневого сертификата.

Перезапустите Apache командой

 

apachectl restart
или
apache2ctl restart

 

Установка SSL-сертификата на Nginx

Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

1. Для начала вам необходимо объединить 3 сертификата (сам SSL-сертификат, промежуточный и корневой сертификаты) в один файл. Для этого создайте на локальном ПК новый текстовый документ с именем your_domain.crt, например, при помощи блокнота.

Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь такой вид:

 

-----BEGIN CERTIFICATE-----
#Ваш сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Промежуточный сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Корневой сертификат#
-----END CERTIFICATE-----

 

Обратите внимание!

Между сертификатами нет пустых строк

Данные сертификаты вы можете найти в электронном сообщении, отправленным на ваш контактный e-mail после выпуска сертификата. Также можете скачать их вместе с основным сертификатом в личном кабинете на сайте ispsystem.ru

2. Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата;

3. Загрузите файл your_domain.crt и приватный ключ сертификата your_domain.key на сервер, в директорию /etc/ssl/. Директория может быть и любой другой;

4. Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, добавив следующие строки:

 

server{
listen 443;
ssl on;
ssl_certificate /etc/ssl/your_domain.crt;
ssl_certificate_key /etc/ssl/your_domain.key;
server_name your.domain.com;

 

/etc/ssl/your_domain.crt и /etc/ssl/your_domain.key — пути до загруженных вами файлов.

Если необходимо, чтобы сайт работал и с защищенным соединением (https:// ) и с незащищенным (http:// ), вам необходимо иметь две секции server{} для каждого типа соединения: для этого создайте копию секции server{} и оставьте её без изменения, а вторую отредактируйте согласно коду выше;

5. Чтобы изменения вступили в силу, перезагрузите сервер Nginx командой:

 

/etc/init.d/nginx restart