Как установить SSL-сертификат

SSL-сертификат можно установить, не делая ничего. Некоторые хостинг-провайдеры предоставляют SSL-сертификаты и обещают автоматическую установку. Проверю, так ли всё просто, и расскажу, что необходимо для самостоятельной установки SSL-сертификата, если никто не обещает сделать это за вас.

Например, у меня есть домен для будущего блога, но еще нет хостинга и нет SSL-сертификата, соответственно. Я хочу проверить возможности виртуального сервера, поэтому беру тестовый вариант хостинга RU-CENTER. Для него SSL-сертификат выпускается бесплатно. Как правило, такие подарки действуют в течение года, потом нужно будет выбрать платный SSL. Поэтому проверьте сначала, устраивают ли вас цены платного SSL-сертификата от продавца.

Заполняю простую форму.

Обратите внимание, что я ставлю галку на выделенный IP-адрес. Если знаете, зачем это нужно, пропустите абзац. Без выделенного IP у моего сайта могут быть проблемы, так как у него будет тот же IP, что у остальных сайтов на сервере. И если кто-то с этого сервера будет рассылать спам, то почтовые сервисы забанят весь IP. Мне этого не хотелось бы.

Итак, вместе с хостингом я получаю популярный SSL-сертификат Encryption Everywhere в подарок. Жму «Перейти к заказу» и оплачиваю. Кстати, при оплате лучше не сохранять данные о карте. Уберите галочку в соответствующем поле и только потом вводите данные карты. Это убережет вас от списаний средств, если вы передумаете оставаться на этом хостинге и пропустите уведомление о завершении тестового периода.

Долго ждать не пришлось. Сертификат был выпущен через час с небольшим.

Перехожу по ссылке для получения сертификата в личный кабинет.

SSL-сертификат автоматически устанавливается на хостинг, как об этом и сообщал хостер. Проверяю сайт в браузере.

Сертификат установлен, но можно проверить еще в удостоверяющем центре DigiCert (digicert.com/help/).

«Congratulations! This certificate is correctly installed!» Всё ок. Теперь я могу установить CMS в личном кабинете хостинга и начать настройку сайта.

Если автоматическая установка сертификата не предусмотрена или SSL и хостинг куплены в разных местах, то вы можете самостоятельно установить сертификат после покупки.

Для установки понадобится:

Где это всё взять? Если вы купите сертификат у провайдера, то вы получите файл с сертификатом, цепочку сертификатов и приватный ключ. Вам останется только скачать их в личном кабинете.

Продавец сертификата дает подробную инструкцию по установке. Например, у моего хостера она находится в разделе help. В ней всё логично и понятно, я не стану приводить ее здесь. Если у вас один из этих серверов — Apache, Microsoft IIS 5.x / 6.x, Microsoft IIS 7.x, Microsoft IIS 8.0, для Nginx и Tomcat — то в хэлпе RU-CENTER тоже можете найти подходящий мануал для установки SSL-сертификата. Ну или обратитесь к своему продавцу сертификата.

На получение сертификата необходима генерация CSR.

CRS (Certificate Signing Request) — это запрос с данными о компании в зашифрованном виде, представляет собой текстовый документ, содержащий закодированную информацию об админе домена и ключ.

В сети пишут, что приватный ключ и CRS можно сгенерировать в любом стороннем онлайн-генераторе. Лучше этого не делать. Отдавать ключ третьему лицу — небезопасно. К тому же сервер, на котором будет установлен сертификат, может отказаться принять его, если CSR создан не на основе его закрытого ключа.

Лучше делать всё на стороне вашего веб-сервера, чтобы потом не было проблем с установкой. Там достаточно заполнить поля для выпуска сертификата.

Вот как выглядят CSR-запрос и RSA-ключ (конечно, я изменил и сократил тексты в файлах, так как эти данные нельзя светить):

CSR-запрос:

-----BEGIN CERTIFICATE REQUEST-----

N3+T7kRknqCKdPzYA60jn966vvb/oUo

HjBH3uZFN+szeDJ/mwB0wbbjU9Nkha7dsoDUeo/MIICyzCCAbMCAQAwgYUxCzAJBgNVBAYTAlJVMQ8wDQYDVQQIDAZNb3Njb3cxDzANIhvnr0gEuoFJe3DovsDRduJCw9JeMtEL//E5+LlptV70mWBmXenNfCU9UM=

-----END CERTIFICATE REQUEST-----

RSA-ключ:

-----BEGIN PRIVATE KEY-----

a9a5C/+oH3rxYs0y+eruGtP07s5o

d9xUhKEp9YzE2CTItHEV3Vjk64g4qV+E7f9rtqlU7PJ6hnvZQqy6huTWQEKMIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQC9MxZmO6wXKuUH

/ptRHeZ5hQRde2mO3mfqruNK/EYF/zRcTkf/9iwi

cQS4JHGJUoaZITkGeZF3Lp+yfQ==

-----END PRIVATE KEY-----

Важно! Храните ключ в надежном месте. Без него невозможно установить и восстановить SSL. А если кто-то получит к нему доступ, то сможет расшифровать любую информацию, переданную на сервер.

Поясню еще, почему важно иметь дело с проверенными поставщиками SSL-услуг. Браузер проверяет, выдан ли сертификат известным ему центром сертификации. Если доверия нет, то он покажет на главной странице вашего сайта надпись: «Сертификат безопасности сайта не является доверенным!». В таком случае пользователи будут уходить с сайта.

Такие крупные поставщики SSL-услуг как Symantec, DigiCert, Thawte и Comodo имеют корневые сертификаты во всех современных браузерах. Их сертификаты можно приобрести у известных хостинг-провайдеров, и это даже может быть дешевле, чем напрямую, потому что из-за крупных объемов продаж цены у провайдеров ниже.