Приветствую вас, друзья! 🙂
В сегодняшней статье будет рассмотрена установка SSL сертификата. Мы поговорим о том, как создать SSL сертификат самому и подключить его к сайту для осуществления обмена информацией с пользователями по защищённому протоколу HTTPS.
Сразу скажу, что установить SSL сертификат на сайт можно двумя путями: через интерфейс панели управления сервером и с помощью ручного копирования файлов сертификата с последующими настройками веб-сервера (Apache или Nginx) в случае, если ваш хостинг не имеет графической панели управления.
Информация по установке SSL сертификата будет представлена в виде пошаговой инструкции, при составлении которой я воспользовался первым способом и своим хостингом TheHost, к панели управления которого (используется ISPManager) у меня есть доступ.
TheHost позволяет как устанавливать SSL сертификаты, приобретённые у него, так и выполнять подключение SSL сертификата, приобретённого у других поставщиков.
Также в панели управления хостингом есть возможность сделать бесплатный SSL сертификат от Let’s Encrypt и самоподписанный с последующей их установкой.
Все эти варианты мы сегодня и рассмотрим, т.к. на практике случаются разные ситуации, для которых бывают нужны различные типы SSL сертификатов безопасности.
Поехали 🙂
- Как установить SSL сертификат на сайт: этапы
- Создание SSL сертификата
- Как заказать SSL сертификата на хостинге?
- Создание самоподписанного SSL сертификата
- Подключение SSL сертификата, оформленного в другом месте
- Создание запроса SSL сертификата у CA
- Как получить бесплатный SSL сертификат Lets Encrypt?
- Установка SSL сертификата на хостинг
- Проверка правильности установки SSL сертификата
Надеюсь, на данный момент вы уже определились с тем, что такое SSL сертификат и какой он бывает.
Если говорить о том, как подключить SSL сертификат к сайту, то весь процесс состоит из нескольких этапов:
- Генерация SSL сертификата. Заключается в создании самоподписанного сертификата на сервере самостоятельно либо в формировании запроса на выпуск данного документа в центр сертификации (CA).
- Установка SSL сертификата на хостинг.
- Подключение SSL сертификата к сайту.
После этого необходимо будет произвести некоторые настройки для вашего движка сайта, чтобы он корректно обменивался данными с пользователями по HTTPS, о чём мы поговорим в следующих публикациях, т.к. каждая платформа требует индивидуального подхода.
Итак, рассмотрим каждый этап подробнее, начиная с создания SSL сертификата.
Создание SSL сертификата
Поскольку все сегодняшние действия будут производиться на хостинге TheHost, то сперва нужно создать учётную запись, чтобы они были возможны.
Для этого регистрируемся на сайте thehost.ua, после чего вам на электронную почту придёт письмо с учётными данными пользователя, а также ссылкой на кабинет пользователя и панель управления хостингом.
Как я уже сказал, SSL сертификаты можно создавать разные и различными способами. Начнём с самого простого с технической точки способа, который потребует от вас минимума знаний.
Как заказать SSL сертификата на хостинге?
Сразу скажу, что у данного способа создания SSL сертификата есть целых три преимущества над остальными, благодаря чему я настоятельно рекомендую воспользоваться им большинству людей.
Во-первых, сгенерировать SSL сертификат данного типа сможет даже ребёнок: не нужно скачивать и запускать какие-то утилиты, а также вникать в тонкости того, как установить SSL сертификат на сервер.
Всё, что от вас потребуется — просто ввести нужную информацию о сайте и свои персональные данные. Создание и установка SSL сертификата на сайт произойдёт автоматически.
Во-вторых, по сравнению с заказом SSL сертификата у официальных регистраторов, хостинг-провайдеры, которые выступают посредниками, часто вводят различные акции и бонусы, в результате чего сертификат можно приобрести со существенной скидкой или вообще бесплатно.
Официальные регистраторы, насколько я знаю, таким покупателей не балуют.
В-третьих, по сравнению с бесплатными сертификатами, коммерческие имеют бОльший срок действия. Их можно оформлять на год и дольше, в то время, как бесплатные действуют в течении считанных месяцев, из-за чего их нужно постоянно продлевать.
И не дай Бог вам забыть это сделать — пользователи ваш сайт вообще не увидят, а только лишь сообщение об угрозе безопасности на весь экран браузера.
Чтобы сделать заказ, сперва нам нужно зайти в кабинет пользователя через сайт thehost.ua либо по ссылке, содержащейся в письме, сгенерированном при регистрации. После того, как войдёте в систему, выберите пункт бокового меню «SSL сертификаты» и нажмите кнопку «Заказать» вверху страницы.
После проделанных действий на экране появится диалоговое окно, которое выглядит так:
Здесь нам нужно выбрать тип SSL сертификата, который вы хотите купить и срок его действия. Цена услуги, естественно, будет зависеть от этих двух параметров.
Более подробно о доступных SSL сертификатах, которые можно заказать через TheHost, можете прочитать здесь — https://thehost.ua/services/ssl
Сразу скажу, что у данного провайдера цены на сертификат безопасности SSL начинаются от 7$ за год использования, чего я не встречал больше ни у кого на данный момент.
В зависимости от того, какой тариф вы выберете, у вас могут присутствовать или отсутствовать некоторые из приведённых далее шагов. Имейте ввиду!
После выбора необходимого тарифа нажимаем Далее и переходим к следующему шагу создания SSL сертификата:
Он представляет из себя формирование запроса в сертификационный центр, необходимого для того, чтобы получить SSL сертификат.
Запрос должен быть в виде файла с вашими зашифрованными персональными данными с расширением csr.
Если вы его уже сгенерировали (а о том, как это сделать прямо в ISPManager админки TheHost, я расскажу вам дальше), то на данном шаге просто введите его содержимое.
Для этого нужно выбрать для пункта «Способ ввода CSR» значение «Ввод имеющегося CSR», которое выбрано по умолчанию.
Если же такового файла у вас ещё нет или формат вашего запроса был не принят, то сгенерировать его можно здесь же, не вникая в подробности.
Для этого выберите в качестве способа ввода CSR в выпадающем списке значение «Генерация CSR и Private key».
При этом данное диалоговое окно примет следующий вид:
Вводим всю необходимую информацию максимально внимательно, т.к. в дальнешем вам придётся её подтвердить независимо от того, какой тип SSL сертификата вы оформляете.
О том, какие данные следует вводить и откуда их брать, вы можете прочитать в статье о том, что такое HTTPS.
Нажимаем «Далее», и на следующем экране, если вы генерировали запрос, вы увидите следующую информацию:
Здесь приводится содержимое вашего секретного ключа, который будет использоваться при шифровании передаваемой информации по HTTPS протоколу.
Рекомендуется его сохранить в файлике на компьютере для большей безопасности, чтобы никто не мог получить к нему доступ при взломе TheHost, например 🙂
Либо же можно сохранить его в системе, чтобы не вводить на дальнейших шагах, чем я и воспользовался.
Если же вы вводили текст существующего запроса, то данный код у вас уже должен быть и обычно он хранится в файле с расширением key, приходящим вам на почту после генерации запроса через сторонние утилиты. Поэтому данного шага у вас не будет.
На следующем шаге от нас снова требуется ввод контактной информации администратора и технической поддержки, с которыми могут связаться представители CA для подтверждения информации, введённой в заявке на выпуск SSL сертификата:
Далее нам предстоит ввод данных организации, которые также могут проверяться с помощью письма или звонка, например, так что указывайте корректно почтовые данные:
Следующим этапом является ввод email, на который будет высылаться ссылка для подтверждения генерации SSL сертификата:
Если у вас нет готового email, присутствующего среди вариантов выпадающего списка, то заведите его.
В случае же, если вы не подтвердите запрос, сертификат вы не получите, равно как можно будет не рассчитывать на компенсацию потраченных на его выпуск денег.
Что вполне справедливо, т.к. TheHost сам сертификат не выпускает, а заказывает его у официальных сертификационных центров.
Ну, и на финальном этапе от вас потребуется выбрать способ оплаты и срок продления SSL сертификата, на который он будет автоматически выпускаться при истечении своей действительности:
Нажимаем на Готово и всё, что теперь остаётся — это дождаться запроса подтверждения выпуска SSL сертификата из центра сертификации и самого сертификата.
После того, как он будет у вас на руках, останется только подключить его к сайту. Но об этом мы поговорим немного позже, когда я рассмотрю все способы создания SSL сертификатов у TheHost, которые, как я уже говорил ранее, могут быть разных видов.
Создание самоподписанного SSL сертификата
Итак, как сделать заказ генерации SSL сертификата у официальных центров сертификации, я вам показал.
Однако, бывают ситуации, когда нужны и другие виды сертификатов. Например, для тестирования настроек движка сайта для HTTPS передачи данных на локальном сервере и тестовом домене.
В таком случае вполне подойдёт бесплатный самоподписанный SSL сертификат, который создать у TheHost можно за считанные секунды.
Для этого заходим в ISPManager по ссылке из письма, пришедшего при регистрации на thehost.ua, либо в панель управления сервером можно попасть прямо из кабинета пользователя следующим способом:
Если вам плохо видно изображённое на картинке, то для перевода в ISPManager из кабинета пользователя нужно выбрать пункт меню «Хостинг», выбрать необходимый сервер (может быть несколько в одной учётке юзера) и нажать на кнопку «На сервер», которая становится доступной после выбора сервера.
Находясь в ISPManager, выбираем пункт меню SSL сертификаты и нажимаем на кнопку «Создать в самом» верху страницы.
В появившемся диалоговом окне выбираем для поля Тип сертификата значение «самоподписанный», после чего окно примет следующий вид:
Вводим необходимую информацию, аналогичную той, которую мы указывали при оформлении SSL сертификата в CA, после чего нажимаем «ОК».
Сертификат появится в списке существующих SSL сертификатов.
Обратите внимание, что преимуществом самоподписанного SSL сертификата является его бесплатность и практически неограниченный срок действия.
Минусом же выступает то, что он не обеспечивает безопасность данных, что помечается в браузерах и отпугивает ваших клиентов.
Поэтому я настоятельно рекомендую использовать коммерческие, выпускаемые официальными сертифицирующими центрами.
Подключение SSL сертификата, оформленного в другом месте
Если же вам по какой-то причине не подошли сертификаты или их стоимость от TheHost, и вы заказали SSL сертификат в другом месте, но у вас есть сайт, расположенный на данном хостинге, то вы можете подключить свой сертификат к имеющемуся сайту.
Сделать это можно в том же диалоговом окне, которое использовалось для создания самоподписанного SSL сертификата.
Только для добавления на сервер TheHost существующего документа нужно будет в поле «Тип сертификата» выбрать значение «существующий», после чего всё диалоговое окно примет следующий вид:
Вводим информацию, содержащуюся в вашем готовом SSL сертификате для домена, в соответствующие поля и нажимаем «ОК».
Если у вас возникнут трудности при добавлении данного документа, то вы всегда сможете обратиться к технической поддержке TheHost для консультации.
Создание запроса SSL сертификата у CA
Ну, и ещё одной возможностью, доступной в данном диалоговом окне создания SSL сертификата, является генерация запроса на выпуск данного документа в центре сертификации.
Данная возможность вам может пригодиться, как уже говорилось ранее, при заказе SSL сертификата не через своего хостинг провайдера, а через других, в том числе и при обращении в CA
напрямую.
Сгенерировать запрос на выпуск SSL сертификата для домена можно прямо у себя на рабочем компьютере с помощью специальных утилит.
Наиболее распространённой является OpenSSL, которая доступна как под Linux, так и под Windows благодаря CygWin или использованию других эмуляторов консоли Linux (та же самая командная строка Git поддерживает Linux команды или утилита PuTTY).
Также есть масса онлайн генераторов запросов на выпуск SSL сертификата. Вот наиболее популярные из них:
- https://www.rapidsslonline.com/ssl-tools/csr-generator.php
- https://csrgenerator.com/
- https://www.ssl.com/online-csr-and-key-generator/
Также, данные генераторы предоставляют все официальные сертифицирующие центры и многие хостинг провайдеры.
Есть такой и у TheHost, который доступен в данном окне.
Чтобы его запустить, выбираем в поле «Тип ключа» значение «Запрос», после чего диалоговое окно примет следующий вид:
Вводим необходимую информацию и нажимаем ОК. После этого на сервере TheHost сгенерируются файлы csr и key, которые вы сможете в дальнейшем использовать для выпуска сертификата.
Чтобы можно было использовать их содержимое, вам нужно будет выбрать запись с типом «Запрос» в списке всех SSL сертификатов в панели управления хостингом TheHost и нажать кнопку «Скачать» в самом верху экрана, после чего вам на компьютер будет загружен архив с указанными файлами.
Открывайте их обычным текстовым редактором и копируйте код запросов при оформлении SSL сертификатов как через TheHost, так и у других регистраторов.
Как получить бесплатный SSL сертификат Lets Encrypt?
Ну, и напоследок я решил оставить обзор способа создания самого нужного и востребованного у большинства вебмастеров варианта SSL сертификата для домена, который существует у TheHost.
Речь идёт о генерации бесплатного SSL сертификата LetsEncrypt, создать который можно за считанные секунды.
Среди его преимуществ можно выделить не только то, что за его оформление вам не придётся платить, но и то, что процедура его выпуска самая быстрая из всех указанных (по крайней мере, у TheHost), т.к. при генерации не придётся указывать абсолютно никакой дополнительной информации, кроме доменного имени сайта, для которого документ будет выпускаться.
Из минусов можно отметить только то, что он выпускается лишь на 3 месяца, после чего его нужно будет продлевать.
Итак, чтобы создать SSL сертификат от Lets Encrypt, заходим на страницу «SSL сертификаты» в ISPManager и нажимаем на кнопку «Lets Encrypt», после чего откроется следующее диалоговое окно:
Выбираем из списка домен, для которого сертификат будет выпускаться, и нажимаем «ОК».
После этого, без всяких лишних вопросов, сертификат добавится в список. Если просмотреть информацию, содержащуюся в нём (нужно выбрать сертификат и нажать на кнопку «Информация»), то можно увидеть следующее:
Как видите, для всех LetsEncrypt SSL сертификатов TheHost указывает абсолютно идентичную информацию, упрощая и ускоряя процедуру их выпуска.
При желании вы можете произвести настройку SSL сертификата и изменить содержащуюся в нём информацию на данном этапе. Кстати, настоятельно рекомендую это сделать, т.к. этот шаг повысит ваше доверие у ваших пользователей, которые решат просмотреть данные сертификата.
Отсутствие персональных данных владельца в нём может серьёзно насторожить их, а для некоторых может даже послужить сигналом отказа от использования данного сайта.
Установка SSL сертификата на хостинг
Итак, создание SSL сертификата, я надеюсь, прошло у вас успешно. Теперь всё, что осталось сделать для успешной передачи данных по HTTPS, — это подключить SSL сертификат к сайту, для которого он оформлялся.
В качестве наглядного примера я решил продемонстрировать подключение SSL сертификата к своему тестовому сайту, для которого с этой целью был специально зарегистрирован поддомен. О том, как создать поддомен сайта в ISPManager на примере TheHost вы можете прочитать в статье по указанной ссылке.
Итак, для подключения SSL сертификата к сайту в панели управления хостингом ISPManager открываем пункт меню «WWW домены», выбираем необходимый и нажимаем на кнопку «Изменить», которая становится доступной в самом верху страницы.
После этого на экране появляется следующее диалоговое окно:
Чтобы установить SSL сертификат на выбранный домен, нам нужно поставить галочку в поле «SSL» и выбрать из выпадающего списка имя нужного документа.
Вот и всё. SSL сертификат на сайт установлен. Сами могли убедиться, насколько это просто и быстро благодаря TheHost и ISPManager, в частности.
Да, пусть он выглядит неказисто, но со своими задачами справляется на отлично 🙂
Теперь нам останется только произвести настройки движка сайта, чтобы он корректно работал по новому HTTPS протоколу. Среди них будут редиректы с HTTP на HTTPS, настройка зеркал, правки карты сайта и robots.txt, а также много другое.
Но мы поговорим об этом в следующих статьях, т.к. каждая платформа требует индивидуального подхода.
В завершение обзора настроек сайта в ISPManager, связанных с SSL, хочу обратить ваше внимание на поле «Только SSL» в диалоговом окне, изображённом на скриншоте выше. С помощью него возможно сделать редиректы с HTTP на HTTPS для URL сайта на уровне веб сервера Nginx.
Установив галочку в данном поле, в файл конфигурации веб сервера Nginx на хостинге добавится следующий код:
if ($ssl_protocol = "") {
rewrite ^ https://$server_name$request_uri? permanent;
}
Можете взять данный способ организации редиректов с HTTP на HTTPS себе на заметку, особенно, если вы не пользуетесь услугами shared хостингов и панелями управления хостингом, в частности, а редирект настроить нужно.
Преимущество данного способа перенаправления трафика над редиректом в коде сайта заключается в том, что он происходит быстрее. В количественном выражении эти изменения не существенны, но при больших размерах проекта они станут заметны.
Проверка правильности установки SSL сертификата
После того, как SSL сертификат на сайт установлен и активирован, логическим завершением данного процесса будет проверка наличия ошибок, которые могли возникнуть в процессе.
Они могут быть разнообразны: начиная от несовпадения информации в сертификате с той, которая хранится в центре сертификации, заканчивая ошибками в работе самого сертификата.
Чтобы получить полный список проблем перехода на HTTPS и просканировать свой сайт на их наличие, я рекомендую воспользоваться следующими сервисами:
- https://www.ssllabs.com/ssltest
- https://www.digicert.com/help
В качестве вывода хотелось бы сказать, что в ходе чтения статьи вы сами заметили, насколько хостинг провайдер и панель управления хостингом упрощает жизнь при заказе, установке и настройке SSL сертификатов. Особенно вы могли это ощутить, если когда-либо устанавливали HTTPS соединение для сайта на сервере вручную, не располагающего панелью управления.
А это, надо сказать, неплохая мотивация пользоваться первым типом хостеров, где от пользователя не требуется много времени и знаний.
Особенно ценен данный аргумент для людей, которые никогда не были связаны с веб-программированием и созданием сайтов, но установка SSL сертификата на их сайты необходима.
Поэтому, если вы относитесь к данной категории, то советую воспользоваться услугами именно своего хостинг-провайдера. Я более, чем уверен, что он избавит вас от ненужной головной боли.
Ну, а если вы ещё только выбираете такового, то хочу порекомендовать TheHost, инструкция по созданию и установке SSL сертификата в панели управления которого и была представлена в данной статье.
На этом всё. До новых встреч! 🙂
P.S.: если вам нужен сайт либо необходимо внести правки на существующий, но для этого нет времени и желания, могу предложить свои услуги.
Более 5 лет опыта профессиональной разработки сайтов. Работа с PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angular и другими технологиями web-разработки.
Опыт разработки проектов различного уровня: лендинги, корпоративные сайты, Интернет-магазины, CRM, порталы. В том числе поддержка и разработка HighLoad проектов. Присылайте ваши заявки на email cccpblogcom@gmail.com.
И с друзьями не забудьте поделиться 😉
Переиздание сертификата необходимо, если:
- потерян или скомпрометирован приватный ключ,
- изменено ПО сервера (IIS, Other),
- изменились данные сертификата (например, Organization Unit).
Важная информация о переиздании:
- сертификат переиздается от одного часа до нескольких дней в зависимости от предоставленной информации;
- переиздание сертификата не влияет на дату окончания срока его действия (expired date не изменяется);
- переиздание доступно неограниченное количество раз без дополнительной оплаты;
- во время переиздания в CSR-запросе запрещено изменять имя домена и название организации;
- если все указанные данные будут совпадать, переиздание займет минимум времени.
Переиздание SSL-сертификатов GlobalSign
Эта инструкция подойдет для сертификатов:
- AlphaSSL,
- DomainSSL,
- OrganizationSSL,
- ExtendedSSL.
Чтобы переиздать сертификат:
-
1.
Авторизуйтесь на сайте REG.RU и перейдите в Личный кабинет.
-
2.
Кликните по названию SSL-сертификата:
-
3.
Перейдите во вкладку «Операции» и нажмите Переиздать SSL-сертификат:
-
4.
Во всплывающей шторке справа ознакомьтесь с информацией и нажмите Продолжить:
-
5.
После автоматической генерации CSR-запроса сохраните приватный ключ и запрос на сертификат:
Они понадобятся при установке сертификата. Нажмите Продолжить заказ.
До момента переиздания прежний сертификат остаётся активным.
Переиздание SSL-сертификатов Thawte, GeoTrust и Symantec
Чтобы переиздать сертификаты Thawte, GeoTrust и Symantec, сгенерируйте новый CSR и отправить запрос на переиздание в нужный сертификационный центр.
Генерация CSR (запроса на сертификат)
Сгенерируйте CSR (запрос на сертификат) и Private key (приватный ключ) на этой странице. Для этого выберите нужный «тип сертификата», введите имя домена, «E-mail подтверждения», затем заполните блок «Данные организации или Частного лица» внизу страницы и нажмите Сгенерировать.
Сохраните полученные записи. CSR (запрос на сертификат) понадобится в 7 шаге инструкции, Private key нужен для установки переизданного SSL-сертификата.
Запрос на переиздание в сертификационный центр
После генерации CSR перейдите по ссылке, соответствующей вашему центру сертификации, и отправьте запрос на переиздание сертификата:
- GeoTrust;
- Symantec;
- Thawte.
Ниже приведен пошаговый пример переиздания Thawte-сертификата.
-
1.
Сгенерируйте CSR (запрос на сертификат) и Private key (приватный ключ) на данной странице. Сохраните полученные записи. CSR (запрос на сертификат) понадобится в 7 шаге инструкции, Private key нужен для установки переизданного SSL-сертификата.
-
2.
Перейдите по ссылке. Введите имя домена, для которого был заказан сертификат, и технический или административный email. Введите цифры с картинки и нажмите Continue:
-
3.
Откроется страница с перечислением заказанных сертификатов для вашего домена. Напротив необходимого сертификата нажмите Request Access:
-
4.
На ваш email будет отправлено сообщение с ссылкой на подтверждение переиздания сертификата:
-
5.
Перейдите по ссылке из письма «Thawte»:
-
6.
Перейдя по ссылке из письма, вы окажетесь в Личном кабинете на сайте «Thawte». В колонке слева выберите пункт Reissue Certificate для переиздания сертификата:
-
7.
Далее откроется окно подтверждения переиздания, введите в нем сгенерированный в 1-м шаге инструкции CSR (запрос на сертификат). Нажмите ОК и ожидайте выпуск сертификата в течение одного-двух дней. До момента переиздания прежний сертификат будет активен.
Переиздание остальных SSL-сертификатов
Для переиздания сертификатов от других центров сгенерируйте запрос на сертификат (CSR) и отправьте его в службу поддержки. При этом приватный ключ необходимо оставить себе. Он вам пригодится при установке SSL-сертификата.
Сгенерировать CSR вы можете при помощи инструкции Что такое CSR и как его сделать.
Заметим, что для переиздания SSL-сертификатов от Comodo вам, кроме вышеперечисленных действий, потребуется подтверждение по email на базе доменного имени, который был указан при заказе услуги.
До 2014 года протокол HTTPS на сайтах встречался редко. Сегодня же это обязательный элемент сайта, влияющий как на ранжирование в поисковых системах, так и на доверие пользователей. В этой статье поговорим о протоколе HTTPS и расскажем, чем отличается HTTP от HTTPS и как перейти на сайт с HTTPS.
- Что такое HTTPS и чем он отличается от HTTP
- Зачем переводить сайт на HTTPS
- Как перевести сайт на HTTPS
Что такое HTTPS и чем он отличается от HTTP
Для начала давайте разберемся, зачем нужны протоколы передачи данных и в чем разница между HTTP и HTTPS.
Любой вбитый в поисковую строку запрос проходит путь от пользователя к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP (Hypertext Transfer Protocol).
Но у HTTP есть один недостаток — он не шифрует данные. Это означает, что злоумышленники смогут в любой момент перехватить реквизиты банковских карт, номера телефонов, email-адреса и другую личную информацию пользователей.
Чтобы уберечь эти данные от хакеров, был внедрен протокол HTTPS — это HyperText Transfer Protocol Secure, в переводе «защищенный протокол». В этом случае передача данных осуществляется по такому же принципу, что и в HTTP, но с криптографическим шифрованием, о чем говорит дополнительная буква «S».
Работает HTTPS протокол благодаря SSL/TLS-сертификату — это цифровая подпись сайта, подтверждающая подлинность ресурса.
С SSL-сертификатом в схеме «клиент → сервер → клиент», появляется дополнительный шаг. Разница в том, что перед установкой защищенного соединения, браузер запрашивает SSL и обращается к центру сертификации, чтобы проверить легальность цифрового документа. Если он действителен, то браузер и сервер начинают доверять друг другу и договариваются о разовом обмене информацией. Это происходит каждый раз и абсолютно с любым сайтом.
Зачем переводить сайт на HTTPS
Здесь можно выделить несколько причин.
- Безопасность. Как вы уже поняли, основная цель использования протокола HTTPS – защита персональных данных. Но отметим, что использование SSL-сертификата — не лекарство от всех бед. Учтите, что злоумышленники могут перехватить данные до момента передачи их на сервер, если компьютер или устройство клиента было заражено. Но всё же использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
- Доверие клиентов. Пользователи просто привыкли, что на сайтах крупных компаний можно увидеть надпись «защищено» или замок в адресной строке. Кроме того, посетитель страницы может кликнуть на иконку замка и узнать:
- доменное имя, на которое оформлен SSL-сертификат;
- юридическое лицо, которое владеет сертификатом;
- физическое местонахождение его владельца (город, страна);
- срок действия сертификата;
- реквизиты компании-поставщика SSL.
- SEO-продвижение. Поддержка HTTPS-протокола — один из факторов ранжирования для многих поисковых систем. Об этом не раз писали Google и Яндекс. Если хотите активно заниматься продвижением в поисковиках, установка SSL-сертификата на сайт добавит вам несколько SEO-очков для сайта.
- Дополнительные инструменты. Некоторые сервисы, например, Яндекс.Деньги, голосовой помощник Google Chrome или Google AdWords, можно подключить только к сайтам с сертификатом безопасности.
- Закон. Существует федеральный закон №152 «О персональных данных». Согласно нему, если на вашем сайте собирается минимальная информация о клиентах (ФИО, email и др.), то он становится оператором персональных данных. Согласно закону, такие сайты должны соблюдать множество правил по защите данных своих клиентов, и переход на HTTPS — одно из них.
Теперь поговорим том, как перейти на защищенное соединение и настроить редирект с HTTP на HTTPS.
Как перевести сайт на HTTPS
Переезд сайта на другой протокол выполняется за несколько шагов.
- Шаг 1. Выберите нужный тип SSL-сертификата
- Шаг 2. Активируйте сертификат
- Шаг 3. Установите SSL
- Шаг 4. Измените внутренние ссылки на относительные
- Плагин Search Regex
- Плагин Easy HTTPS Redirection
- Шаг 5. Настройте редирект на HTTPS
- Шаг 6. Оповестите поисковые системы о смене протокола
- Для настройки в Яндекс.Вебмастере
- Для настройки в Search Console
- Шаг 7. Проверяем правильность установки SSL-сертификата
Шаг 1. Выберите нужный тип SSL-сертификата
Для начала определитесь с типом SSL, который подойдет вашему сайту.
Сертификаты подразделяются по типу проверки данных:
- DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
- OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
- EV (Extended Validation) — это решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Выбор сертификата безопасности зависит от ваших потребностей. Для начала подумайте, какое количество поддоменов нужно защитить и какая степень проверки требуется для вашей компании. От этого и будет зависеть тип SSL.
Шаг 2. Активируйте сертификат
После покупки сертификат появится в списке услуг в личном кабинете.
Как же включить SSL:
- Если вы выбрали базовый сертификат (DV), делать что-то дополнительно не придется, потому что SSL активируется автоматически в течение 2-3 часов после покупки.
- Если вы приобрели OV и EV-сертификаты, подходящие только для юридических лиц, подождите от 3 до 7 дней. Процесс занимает большее количество времени, потому что Центр сертификации обязан проверить сведения о вашей организации или запросить их, если чего-то не хватает. Всё потому, что в случае с OV и EV компания подтверждает факт существования и все официальные каналы связи с ней, а ее владельцы — свои полномочия.
Шаг 3. Установите SSL
Когда вы получили на контактный email данные об активации SSL, можно переходить к установке сертификата.
Если вы приобрели сертификат не в SpaceWeb:
- Откройте Панель управления.
- Перейдите в SSL и нажмите Установить.
- Далее в открывшемся списке выберите нужный IP-адрес, на который хотите установить сертификат.
- Вставьте скопированный файл сертификата (подписанный публичный ключ) в первое поле, а приватный ключ — во второе.
- Если сертификат подписан не напрямую, укажите файл с сертификатами промежуточных центров сертификации в последнем поле.
Если вы приобрели сертификат в SpaceWeb:
- Откройте Панель управления.
- После активации сертификата, перейдите в раздел SSL.
- Привяжите его к IP-адресу, к которому привязан нужный домен.
Подробнее об установке SSL-сертификата читайте в этой статье.
Шаг 4. Измените внутренние ссылки на относительные
Внимание! Перед настройкой внутренних ссылок обязательно сделайте резервную копию.
Внутренние ссылки — страницы, с помощью которых вы перенаправляете пользователя на другие страницы вашего сайта. Например, https://sweb.ru/ — это основная ссылка, а https://sweb.ru/example/ — внутренняя.
После подключения SSL-сертификата внутри сайта могут остаться ссылки на внутренние страницы и файлы, например, картинки или стили шрифтов, которые продолжают работать по HTTP. Если не поправить внутренние ссылки, поисковые системы продолжат считать ваш сайт небезопасным.
Чтобы избежать потери трафика, измените ссылки на относительные — это ссылки, которые не содержат протокола и адреса сайта. Вместо них браузер подставляет адрес и протокол сайта, на котором находится пользователь. Например, https://sweb.ru/example/ — абсолютная ссылка (т.е. полный URL страницы), а /example/ — относительная.
Если вы используете WordPress, то изменить поправить ссылки можно с помощью плагинов, например, Search Regex и Easy HTTPS Redirection.
Плагин Search Regex:
- Скачайте и установите плагин.
- Перейдите в рубрику Инструменты ― Search Regex.
- Для замены ссылок в строке поиска (Search) напишите старый URL с http://. В строку замены (Replace) введите новый URL с https://.
- Чтобы проверить файлы сайта, в строке Source выберите нужные виды файлов.
- Нажмите на Search.
- Готово.
Плагин Easy HTTPS Redirection:
- Скачайте и установите плагин.
- Перейдите в раздел настроек и выберите HTTPS Redirection.
- Поставьте галочку рядом с Enable automatic redirection to the «HTTPS».
- В графе «Apply HTTPS redirection on» выберите The whole domain.
- Поставьте галочку напротив Force resources to use HTTPS URL.
- Готово.
Как только все файлы сайта будут работать по протоколу HTTPS, переходите к следующему шагу.
Шаг 5. Настройте редирект на HTTPS
Важно перенаправить все версии страниц с HTTP и HTTPS с помощью редиректа. Чтобы «связка» двух адресов работала правильно, используйте 301-й (постоянный) редирект. Он сообщает поисковым роботам, что страница перемещена на новый адрес, а старый сайт с HTTP можно перестать индексировать.
О том, как настроить редирект на HTTPS через .htaccess, читайте в этой инструкции.
Шаг 6. Оповестите поисковые системы о смене протокола
В этом шаге нужно будет работать со сторонними инструментами, такими как Яндекс.Вебмастер или Google Search Console. Процедура перехода на HTTPS может занять от 2 до 4 недель. Если это критично для клиентов вашего бизнеса, выберите подходящее время.
Для настройки в Яндекс.Вебмастере:
- Авторизуйтесь в Яндекс.Вебмастере.
- Нажмите на плюс и добавьте новую версию сайта с HTTPS.
- Если до этого вы использовали Яндекс.Вебмастер, подтвердите права на данный адрес любым предложенным способом. Нажмите Проверить:
- После этого начните переезд сайта на HTTPS. Для этого перейдите в старое зеркало сайта. В разделе «Индексирование» ― «Переезд сайта» поставьте галочку Добавить HTTPS. Нажмите Сохранить.
Если вы подписаны на email-рассылку, Яндекс отправит письмо о том, что склейка зеркал сайта прошла успешно.
Для настройки в Search Console:
- Авторизуйтесь в Google-аккаунте и добавьте ваш новый адрес с HTTPS.
.png)
- Если до этого вы использовали инструмент, подтвердите право собственности на домен, добавив в их зону TXT-запись. Нажмите Подтвердить.
- Добавьте новую карту сайта.
- Если у вас есть отклоненные ссылки в Disavow Tool, то загрузите их заново.
Шаг 7. Проверяем правильность установки SSL-сертификата
Ошибки или проблемы могут всплыть в течение первых нескольких дней после смены протокола. Чтобы быстрее проверить сертификат, узнать и исправить все эти неприятные моменты, нужно:
- Ввести новый адрес с HTTPS в поисковой строке. Если страница загружается, а в адресной строке появился замочек, значит, сайт стал доступен по HTTPS.
- Воспользоваться специальными сервисами, например, sslshopper или globalsign.ssllabs. Если результат после проверки окажется положительным, значит, переезд сайта на HTTPS сделан правильно.
Готово! Вы разобрались, что такое HTTPS, в чем отличие HTTP от HTTPS, и узнали, как настроить переадресацию и перенести сайт на HTTPS.
Download Article
Download Article
SSL certificates are how websites and services earn validation for the encryption on the data sent between them and their clients. They can also be used to verify that you are connected with the service you wish to be connecting with (e.g., am I really signing into my email provider or is this a fraudulent clone?). If you are providing a website or service that requires a secure connection, you may wish to install an SSL certificate to validate your trustworthiness. Read on after the jump to learn how.
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key. You can create a CSR in IIS 8 with just a few clicks of the mouse:[1]
- Open the Server Manager.
- Click Tools and select Internet Information Services (IIS) Manager.
- Select the workstation you are installing the certificate on under the Connections list.
- Open the Server Certificates tool.
- Click the Create Certificate Request link in the upper-right corner, under the Actions list.
- Fill in the information in the Request Certificate wizard. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Leave the “Cryptographic service provider” set to default.
- Set “Bit length” to “2048”.
- Name the certificate request file. The file name doesn’t matter, as long as you can find it amongst your files.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
Advertisement
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
- Rename the Primary Certificate to “yoursitename.cer”.
-
4
Open the Server Certificates tool in IIS again. From here, click the “Complete Certificate Request” link underneath the “Create Certificate Request” link you clicked to generate a CSR.
-
5
Browse for the certificate file. Once you’ve located it on your computer, you’ll need to apply a “Friendly name” to it, which is the quick name for identifying the certificate on your server. Store the certificate in the “Personal” store. Click OK to install the certificate.
- Your certificate should appear on the list. If it does not, ensure that you are using the same server that you generated the CSR on.
-
6
Bind the certificate to your website. Now that the certificate has been installed, you’ll need to bind it to the website that you want to protect. Expand the “Sites” folder in the Connections list, and then click on the website.
- Click the Bindings link in the Actions list.
- Click the Add button in the Site Bindings window that appears.
- Select “https” from the “Type” dropdown menu, and select your installed certificate from the “SSL certificate” dropdown menu.
- Press OK and then Close.
-
7
Install the Intermediate Certificates. Find the Intermediate Certificates that you downloaded from the certificate provider. Some providers provide more than one certificate that needs to be installed, while others only have one. Copy these certificates to a dedicated folder on your server. [2]
- Once the certificates have been copied to the server, double-click it to open the Certificate Details.
- Click the General tab. Click the “Install Certificate” button at the bottom of the window.
- Select “Place all certificates in the following store” and then browse for the Local store. It can be found by checking the “Show physical stores” box, selecting Intermediate Certificates, and then clicking Local Computer.
-
8
Restart IIS. In order to start distributing certificates, you’ll need to restart your IIS server. To restart IIS, click Start and then select Run. Type “IISREset” and then press Enter. The Command Prompt will appear and display the status of the IIS restart.[3]
-
9
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key. You can generate a CSR directly from the Apache command line:
- Start the OpenSSL utility. This can usually be found at /usr/local/ssl/bin/
- Create a key pair by entering the following command:
openssl genrsa –des3 –out www.mydomain.com.key 2048
- Create a passphrase. This passphrase will need to be entered whenever you interact with your keys.
- Start the CSR generation process. Enter the following command when prompted to create the CSR file:
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr - Fill out the requested information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Create the CSR file. Once the information has been entered, run the following command to generate the CSR file on your server:[4]
openssl req -noout -text -in www.mydomain.com.csr
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website. Your key should look similar to this:
-----BEGIN CERTIFICATE----- [Encoded Certificate] -----END CERTIFICATE-----
- If the certificates are in a text file, you will need to change it to a .CRT file before uploading it
- Check the keys that you download. There should be 5 dashes “-” on either side of the BEGIN CERTIFICATE and END CERTIFICATE lines. Also ensure that there are no extra spaces or line breaks inserted into the key.
-
4
Upload the certificates to your server. The certificates should be put in a folder dedicated to certificates and key files. An example location would be /usr/local/ssl/crt/. All of your certificates need to be in the same folder.
-
5
Open the “httpd.conf” file in a text editor. Some versions of Apache have an “ssl.conf” file for the SSL certificates. Only edit one of the two if you have both. Add the following lines to the Virtual Host section:
SSLCertificateFile /usr/local/ssl/crt/primary.crt SSLCertificateKeyFile /usr/local/ssl/private/private.key SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
- Save the changes to the file once you are finished. Re-upload the file if necessary.
-
6
Restart your server. Once the file has been changed, you can start using your SSL certificate by restarting your server. Most versions can be restarted by entering the following commands:
apachectlp stop apachectl startssl
-
7
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.[5]
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key.
- Open the Exchange Management Console. You can find this by clicking Start, clicking Programs, selecting Microsoft Exchange 2010, and then clicking Exchange Management Console.
- Once the program loads, click the Manage Databases link in the center of the window.
- Select “Server Configuration”. This is located in the left frame. Click the “New Exchange Certificate” link in the Actions list on the right side of the screen.
- Enter a memorable name for the certificate. This is for your own convenience and reference, and will not affect the certificate.
- Enter your configuration information. Exchange should automatically select the proper services, but if it does not you can set them yourself. Make sure all of the services you need protected are selected.
- Enter in your organization information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Enter a location and name for the CSR file that will be generated. Make note of this location for the certificate ordering process.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
- Copy the certificate file that you receive to your Exchange server.
-
4
Install the Intermediate certificate. In most cases, you can copy the provided certificate data into a text document and save it as “intermediate.cer”. Open the Microsoft Manage Console (MMC) by clicking Start, selecting Run, and then typing in “mmc”.
- Click File and select Add/Remove Snap In.
- Click Add, select Certificates, and then click Add again.
- Select Computer Account and then click Next. Choose Local Computer for the storage location. Click Finish and then OK. This will return you to the MMC.
- Select Certificates in the MMC. Choose “Intermediate Certification Authorities” and then select Certificates.
- Right-click on Certificates, choose All Tasks, and then choose Import. Use the wizard to load the Intermediate Certificates that you obtained from your certificate provider.
-
5
Open the “Server configuration” section in the Exchange Management Console. See Step 1 for information on how to open it. Click your certificate in the center of the window and then click the “Complete Pending Request” link in the Actions list.
- Browse for your Primary certificate file and then click Complete. Once the certificate has been loaded, click Finish.
- Ignore any errors that say the process failed; this is a common bug.
-
6
Enable the certificate. Once the certificate has been installed, click the “Assign Services to Certificate” link towards the bottom of the Actions list.
- Select your server from the list that appears and click Next.
- Select which services you want to protect with the certificate. Click Next, then Assign, and then Finish.
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key.
- Login to cPanel. Open the control panel and look for the SSL/TLS Manager.
- Click the “Generate, view, upload, or delete your private keys” links.
- Scroll down to the “Generate a New Key” section. Enter in your domain name, or select it from the drop-down menu. Select 2048 for “Key Size”. Click the Generate button.
- Click “Return to SSL Manager”. From the main menu, select the “Generate, view, or delete SSL certificate signing requests” link.
- Enter in your organization’s information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Click the Generate button. Your CSR will be displayed. You can copy this and enter it into your certification order form. If the service requires the CSR as a file, copy the text into a text editor and save it as a .CSR file.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
-
4
Open the SSL Manager menu again in cPanel. Click the “Generate, view, upload, or delete SSL certificates” link. Click the Upload button to browse for the certificate that you received from the certificate provider. If the certificate came as text, paste it into the box in the browser.
-
5
Click the “Install SSL Certificate” link. This will finalize the installation of the SSL certificate. Your server will restart, and your certificate will begin being distributed.
-
6
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.
Advertisement
Ask a Question
200 characters left
Include your email address to get a message when this question is answered.
Submit
Advertisement
Thanks for submitting a tip for review!
About This Article
Article SummaryX
1. Generate a CSR on your server.
2. Order a certificate.
3. Download the certificate.
4. Upload the certificate to the server.
5. Enter the cert info in httpd.conf or ssl.conf.
6. Restart Apache.
Did this summary help you?
Thanks to all authors for creating a page that has been read 201,037 times.
Is this article up to date?
Download Article
Download Article
SSL certificates are how websites and services earn validation for the encryption on the data sent between them and their clients. They can also be used to verify that you are connected with the service you wish to be connecting with (e.g., am I really signing into my email provider or is this a fraudulent clone?). If you are providing a website or service that requires a secure connection, you may wish to install an SSL certificate to validate your trustworthiness. Read on after the jump to learn how.
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key. You can create a CSR in IIS 8 with just a few clicks of the mouse:[1]
- Open the Server Manager.
- Click Tools and select Internet Information Services (IIS) Manager.
- Select the workstation you are installing the certificate on under the Connections list.
- Open the Server Certificates tool.
- Click the Create Certificate Request link in the upper-right corner, under the Actions list.
- Fill in the information in the Request Certificate wizard. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Leave the “Cryptographic service provider” set to default.
- Set “Bit length” to “2048”.
- Name the certificate request file. The file name doesn’t matter, as long as you can find it amongst your files.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
Advertisement
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
- Rename the Primary Certificate to “yoursitename.cer”.
-
4
Open the Server Certificates tool in IIS again. From here, click the “Complete Certificate Request” link underneath the “Create Certificate Request” link you clicked to generate a CSR.
-
5
Browse for the certificate file. Once you’ve located it on your computer, you’ll need to apply a “Friendly name” to it, which is the quick name for identifying the certificate on your server. Store the certificate in the “Personal” store. Click OK to install the certificate.
- Your certificate should appear on the list. If it does not, ensure that you are using the same server that you generated the CSR on.
-
6
Bind the certificate to your website. Now that the certificate has been installed, you’ll need to bind it to the website that you want to protect. Expand the “Sites” folder in the Connections list, and then click on the website.
- Click the Bindings link in the Actions list.
- Click the Add button in the Site Bindings window that appears.
- Select “https” from the “Type” dropdown menu, and select your installed certificate from the “SSL certificate” dropdown menu.
- Press OK and then Close.
-
7
Install the Intermediate Certificates. Find the Intermediate Certificates that you downloaded from the certificate provider. Some providers provide more than one certificate that needs to be installed, while others only have one. Copy these certificates to a dedicated folder on your server. [2]
- Once the certificates have been copied to the server, double-click it to open the Certificate Details.
- Click the General tab. Click the “Install Certificate” button at the bottom of the window.
- Select “Place all certificates in the following store” and then browse for the Local store. It can be found by checking the “Show physical stores” box, selecting Intermediate Certificates, and then clicking Local Computer.
-
8
Restart IIS. In order to start distributing certificates, you’ll need to restart your IIS server. To restart IIS, click Start and then select Run. Type “IISREset” and then press Enter. The Command Prompt will appear and display the status of the IIS restart.[3]
-
9
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key. You can generate a CSR directly from the Apache command line:
- Start the OpenSSL utility. This can usually be found at /usr/local/ssl/bin/
- Create a key pair by entering the following command:
openssl genrsa –des3 –out www.mydomain.com.key 2048
- Create a passphrase. This passphrase will need to be entered whenever you interact with your keys.
- Start the CSR generation process. Enter the following command when prompted to create the CSR file:
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr - Fill out the requested information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Create the CSR file. Once the information has been entered, run the following command to generate the CSR file on your server:[4]
openssl req -noout -text -in www.mydomain.com.csr
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website. Your key should look similar to this:
-----BEGIN CERTIFICATE----- [Encoded Certificate] -----END CERTIFICATE-----
- If the certificates are in a text file, you will need to change it to a .CRT file before uploading it
- Check the keys that you download. There should be 5 dashes “-” on either side of the BEGIN CERTIFICATE and END CERTIFICATE lines. Also ensure that there are no extra spaces or line breaks inserted into the key.
-
4
Upload the certificates to your server. The certificates should be put in a folder dedicated to certificates and key files. An example location would be /usr/local/ssl/crt/. All of your certificates need to be in the same folder.
-
5
Open the “httpd.conf” file in a text editor. Some versions of Apache have an “ssl.conf” file for the SSL certificates. Only edit one of the two if you have both. Add the following lines to the Virtual Host section:
SSLCertificateFile /usr/local/ssl/crt/primary.crt SSLCertificateKeyFile /usr/local/ssl/private/private.key SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
- Save the changes to the file once you are finished. Re-upload the file if necessary.
-
6
Restart your server. Once the file has been changed, you can start using your SSL certificate by restarting your server. Most versions can be restarted by entering the following commands:
apachectlp stop apachectl startssl
-
7
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.[5]
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key.
- Open the Exchange Management Console. You can find this by clicking Start, clicking Programs, selecting Microsoft Exchange 2010, and then clicking Exchange Management Console.
- Once the program loads, click the Manage Databases link in the center of the window.
- Select “Server Configuration”. This is located in the left frame. Click the “New Exchange Certificate” link in the Actions list on the right side of the screen.
- Enter a memorable name for the certificate. This is for your own convenience and reference, and will not affect the certificate.
- Enter your configuration information. Exchange should automatically select the proper services, but if it does not you can set them yourself. Make sure all of the services you need protected are selected.
- Enter in your organization information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Enter a location and name for the CSR file that will be generated. Make note of this location for the certificate ordering process.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
- Copy the certificate file that you receive to your Exchange server.
-
4
Install the Intermediate certificate. In most cases, you can copy the provided certificate data into a text document and save it as “intermediate.cer”. Open the Microsoft Manage Console (MMC) by clicking Start, selecting Run, and then typing in “mmc”.
- Click File and select Add/Remove Snap In.
- Click Add, select Certificates, and then click Add again.
- Select Computer Account and then click Next. Choose Local Computer for the storage location. Click Finish and then OK. This will return you to the MMC.
- Select Certificates in the MMC. Choose “Intermediate Certification Authorities” and then select Certificates.
- Right-click on Certificates, choose All Tasks, and then choose Import. Use the wizard to load the Intermediate Certificates that you obtained from your certificate provider.
-
5
Open the “Server configuration” section in the Exchange Management Console. See Step 1 for information on how to open it. Click your certificate in the center of the window and then click the “Complete Pending Request” link in the Actions list.
- Browse for your Primary certificate file and then click Complete. Once the certificate has been loaded, click Finish.
- Ignore any errors that say the process failed; this is a common bug.
-
6
Enable the certificate. Once the certificate has been installed, click the “Assign Services to Certificate” link towards the bottom of the Actions list.
- Select your server from the list that appears and click Next.
- Select which services you want to protect with the certificate. Click Next, then Assign, and then Finish.
Advertisement
-
1
Generate a Certificate Signing Request (CSR). Before you can purchase and install an SSL certificate, you will need to generate a CSR on your server. This file contains your server and public key information, and is required to generate the private key.
- Login to cPanel. Open the control panel and look for the SSL/TLS Manager.
- Click the “Generate, view, upload, or delete your private keys” links.
- Scroll down to the “Generate a New Key” section. Enter in your domain name, or select it from the drop-down menu. Select 2048 for “Key Size”. Click the Generate button.
- Click “Return to SSL Manager”. From the main menu, select the “Generate, view, or delete SSL certificate signing requests” link.
- Enter in your organization’s information. You will need to enter your two-digit country code, the state or province, city or town name, full company name, section name (i.e. IT or Marketing), and the common name (typically the domain name).
- Click the Generate button. Your CSR will be displayed. You can copy this and enter it into your certification order form. If the service requires the CSR as a file, copy the text into a text editor and save it as a .CSR file.
-
2
Order your SSL certificate. There are several services online that offer SSL certificates. Make sure to only order from a reputable service, since you and your customer’s security is at stake. Popular services include DigiCert, Symantec, GlobalSign, and more. The best service for you will vary depending on your needs (multiple certificates, enterprise solutions, etc.).
- You will need to upload your CSR file to the certificate service when you order it. This will be used to generate the certificate for your server. Some providers will have you copy the contents of the CSR file, while others will have you upload the file itself.
-
3
Download your certificates. You will need to download the Intermediate Certificates from the service that you purchased your certificates from. You will receive your Primary Certificate via email or through the customer area of the website.
-
4
Open the SSL Manager menu again in cPanel. Click the “Generate, view, upload, or delete SSL certificates” link. Click the Upload button to browse for the certificate that you received from the certificate provider. If the certificate came as text, paste it into the box in the browser.
-
5
Click the “Install SSL Certificate” link. This will finalize the installation of the SSL certificate. Your server will restart, and your certificate will begin being distributed.
-
6
Test your certificate. Use various web browsers to test that your certificate is working properly. Connect to your website using “https://” to force the SSL connection. You should see the padlock icon in your address bar, usually with a green background.
Advertisement
Ask a Question
200 characters left
Include your email address to get a message when this question is answered.
Submit
Advertisement
Thanks for submitting a tip for review!
About This Article
Article SummaryX
1. Generate a CSR on your server.
2. Order a certificate.
3. Download the certificate.
4. Upload the certificate to the server.
5. Enter the cert info in httpd.conf or ssl.conf.
6. Restart Apache.
Did this summary help you?
Thanks to all authors for creating a page that has been read 201,037 times.
Is this article up to date?
Продление SSL сертификата аналогично первичному выпуску. По факту – это новый заказ услуги. Чтобы обновить ssl, недостаточно просто пополнить баланс в личном кабинете. Необходимо также совершить ряд несложных дополнительных шагов по активации. Они схожи с шагами при первичной покупке, но упрощены.
В чем отличие обновления действующего SSL сертификата от первичного выпуска
- Заполняется минимум обязательных данных. Всё остальное копируется из ранее указанной информации
- Сокращается срок выдачи
Как продлить ssl сертификат
Уведомление об окончании срока действия посылается на e-mail, указанный при регистрации, за 14 дней.
Также можно самостоятельно отследить дату окончания сертификата и обновить его через личный кабинет заблаговременно.
Рекомендации
Советуем продлевать услугу заранее. Минимум, за 2 недели. Максимальный срок предварительной процедуры – 60 дней. Оставшийся период действия обновляемого сертификата прибавляется к новому.
Порядок действий
- Перейти в личный кабинет и выбрать домен с истекающим сроком SSL-сертификата
- Проверить баланс (отображается в самом верху справа) и пополнить его до необходимой по тарифу суммы
- Нажать иконку «Продлить» в верхнем меню справа
- В появившемся окне выбрать период действия сертификата и сгенерировать новый ключ
Максимальный срок действия сертификата c марта 2018 составляет 2 года. Рекомендуем выбирать более длительный период, чтобы не возвращаться к данной процедуре каждый год и получить дополнительную скидку. - Далее необходимо проверить электронную почту и подтвердить перевыпуск
- Новый сертификат будет выслан на подтвержденный электронный ящик
Процедура не займет много времени. При продлении всё происходит значительно быстрее, чем при первичном заказе. Далее файлы с новыми данными необходимо установить на сервер с сайтом. Вы можете обратиться за установкой в нашу поддержку, это бесплатно.
Важно: вышеописанный способ актуален в случаях, когда не требуется вносить никакие изменения. Если будет использован другой домен или требуются дополнительные опции (поддержка поддоменов, расширенная проверка, иной тарифный план), необходимо создать новый заказ.
Как обновить для сайта SSL сертификат, который был куплен в другой компании
В таких случаях требуется оформить новый заказ. Если до окончания действия старого сертификата осталось 2 месяца и меньше, и вы выбираете тот же самый сертификат для нового заказа, остаток периода будет автоматически добавлен к сроку действия выпускаемого сертификата.
Как обновить ssl сертификат (продлить https) сайта
После получения продленного сертификата, его необходимо установить на сервер, где находится сайт. Это можно сделать самостоятельно, или обратиться за помощью к специалистам isplicense.ru. Мы бесплатно установим или обновим сертификат, купленный у нас, в течение часа.
Как узнать до какого числа действует ssl (https) сертификат
Существует несколько способов проверки
1. Через личный кабинет на сайте isplicense.ru
Необходимо перейти в соответствующий раздел, где подключена услуга. Информация указана напротив домена в колонке «Действует до»
2. Специальные сервисы
У нас на сайте есть специальный сервис проверки: https://www.isplicense.ru/ssl-tools/checker/
Важно: если вы продлили, но еще не установили новый сертификат, то по результатам проверки будет отображаться срок действия старого сертификата.
3. Посмотреть в адресной строке браузера
Что происходит, если SSL-сертификат истек и не был продлен
В таком случае пользователи при переходе на сайт по протоколу HTTPS увидят предупреждение следующего вида
Самый вероятный вариант действий в таком случае – вкладка браузера будет закрыта.
Посетители не должны уходить из-за такой причины. Поэтому позаботьтесь о том, чтобы продлить https сертификат вовремя.
SSL-сертификат можно установить, не делая ничего. Некоторые хостинг-провайдеры предоставляют SSL-сертификаты и обещают автоматическую установку. Проверю, так ли всё просто, и расскажу, что необходимо для самостоятельной установки SSL-сертификата, если никто не обещает сделать это за вас.
- Автоматическая установка
Например, у меня есть домен для будущего блога, но еще нет хостинга и нет SSL-сертификата, соответственно. Я хочу проверить возможности виртуального сервера, поэтому беру тестовый вариант хостинга RU-CENTER. Для него SSL-сертификат выпускается бесплатно. Как правило, такие подарки действуют в течение года, потом нужно будет выбрать платный SSL. Поэтому проверьте сначала, устраивают ли вас цены платного SSL-сертификата от продавца.
Заполняю простую форму.
Обратите внимание, что я ставлю галку на выделенный IP-адрес. Если знаете, зачем это нужно, пропустите абзац. Без выделенного IP у моего сайта могут быть проблемы, так как у него будет тот же IP, что у остальных сайтов на сервере. И если кто-то с этого сервера будет рассылать спам, то почтовые сервисы забанят весь IP. Мне этого не хотелось бы.
Итак, вместе с хостингом я получаю популярный SSL-сертификат Encryption Everywhere в подарок. Жму «Перейти к заказу» и оплачиваю. Кстати, при оплате лучше не сохранять данные о карте. Уберите галочку в соответствующем поле и только потом вводите данные карты. Это убережет вас от списаний средств, если вы передумаете оставаться на этом хостинге и пропустите уведомление о завершении тестового периода.
Долго ждать не пришлось. Сертификат был выпущен через час с небольшим.
Перехожу по ссылке для получения сертификата в личный кабинет.
SSL-сертификат автоматически устанавливается на хостинг, как об этом и сообщал хостер. Проверяю сайт в браузере.
Сертификат установлен, но можно проверить еще в удостоверяющем центре DigiCert (digicert.com/help/).
«Congratulations! This certificate is correctly installed!» Всё ок. Теперь я могу установить CMS в личном кабинете хостинга и начать настройку сайта.
2. Самостоятельная установка SSL-сертификата
Если автоматическая установка сертификата не предусмотрена или SSL и хостинг куплены в разных местах, то вы можете самостоятельно установить сертификат после покупки.
Для установки понадобится:
- Приватный ключ
- Корневой сертификат
- Промежуточный (=ые) сертификат(ы)
- Сертификат домена
- Доступ к хостингу для установки сертификата на сервер
Где это всё взять? Если вы купите сертификат у провайдера, то вы получите файл с сертификатом, цепочку сертификатов и приватный ключ. Вам останется только скачать их в личном кабинете.
Продавец сертификата дает подробную инструкцию по установке. Например, у моего хостера она находится в разделе help. В ней всё логично и понятно, я не стану приводить ее здесь. Если у вас один из этих серверов — Apache, Microsoft IIS 5.x / 6.x, Microsoft IIS 7.x, Microsoft IIS 8.0, для Nginx и Tomcat — то в хэлпе RU-CENTER тоже можете найти подходящий мануал для установки SSL-сертификата. Ну или обратитесь к своему продавцу сертификата.
На получение сертификата необходима генерация CSR.
Как получить CRS
CRS (Certificate Signing Request) — это запрос с данными о компании в зашифрованном виде, представляет собой текстовый документ, содержащий закодированную информацию об админе домена и ключ.
В сети пишут, что приватный ключ и CRS можно сгенерировать в любом стороннем онлайн-генераторе. Лучше этого не делать. Отдавать ключ третьему лицу — небезопасно. К тому же сервер, на котором будет установлен сертификат, может отказаться принять его, если CSR создан не на основе его закрытого ключа.
Лучше делать всё на стороне вашего веб-сервера, чтобы потом не было проблем с установкой. Там достаточно заполнить поля для выпуска сертификата.
Вот как выглядят CSR-запрос и RSA-ключ (конечно, я изменил и сократил тексты в файлах, так как эти данные нельзя светить):
CSR-запрос:
——BEGIN CERTIFICATE REQUEST——
N3+T7kRknqCKdPzYA60jn966vvb/oUo
HjBH3uZFN+szeDJ/mwB0wbbjU9Nkha7dsoDUeo/MIICyzCCAbMCAQAwgYUxCzAJBgNVBAYTAlJVMQ8wDQYDVQQIDAZNb3Njb3cxDzANIhvnr0gEuoFJe3DovsDRduJCw9JeMtEL//E5+LlptV70mWBmXenNfCU9UM=
——END CERTIFICATE REQUEST——
RSA-ключ:
——BEGIN PRIVATE KEY——
a9a5C/+oH3rxYs0y+eruGtP07s5o
d9xUhKEp9YzE2CTItHEV3Vjk64g4qV+E7f9rtqlU7PJ6hnvZQqy6huTWQEKMIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQC9MxZmO6wXKuUH
/ptRHeZ5hQRde2mO3mfqruNK/EYF/zRcTkf/9iwi
cQS4JHGJUoaZITkGeZF3Lp+yfQ==
——END PRIVATE KEY——
Важно! Храните ключ в надежном месте. Без него невозможно установить и восстановить SSL. А если кто-то получит к нему доступ, то сможет расшифровать любую информацию, переданную на сервер.
Где лучше приобрести SSL-сертификат?
Поясню еще, почему важно иметь дело с проверенными поставщиками SSL-услуг. Браузер проверяет, выдан ли сертификат известным ему центром сертификации. Если доверия нет, то он покажет на главной странице вашего сайта надпись: «Сертификат безопасности сайта не является доверенным!». В таком случае пользователи будут уходить с сайта.
Такие крупные поставщики SSL-услуг как Symantec, DigiCert, Thawte и Comodo имеют корневые сертификаты во всех современных браузерах. Их сертификаты можно приобрести у известных хостинг-провайдеров, и это даже может быть дешевле, чем напрямую, потому что из-за крупных объемов продаж цены у провайдеров ниже.