В минулому огляді ми обговорювали концепцію та основні аспекти — що таке SSL, для чого він потрібен, які бувають сертифікати, чим відрізняються між собою безкоштовні, дешеві та дорогі і де краще придбати. Є бажання заповнити пробіли чи почерпнути щось нове, читаємо тут. Сьогодні я перейду від теорії до практики і покажу, як налаштувати SSL сертифікат на прикладі ISPConfig та cPanel. Але спершу потрібно отримати сам сертифікат. Алгоритм дій наступний: робимо замовлення у будь-якого з провайдерів (зведена таблиця цін українських провайдерів нижче); генеруємо CSR та приватний ключ; відправляємо запит в центр сертифікації; верифікуємо домен; отримуємо від центру сертифікації SSL сертифікат (основний/проміжний/кореневий); налаштовуємо сертифікат у веб-панелі.
Сертифікат | Реєстратор | Тип | Верифікація | Цільові ресурси | Ціна |
---|---|---|---|---|---|
Certum Commercial SSL | Certum | DV SSL | Домен | Блог, візитівка, форум, Портал, інфо-ресурс |
Від 5,95$ |
Certum Trusted SSL | Certum | OV SSL | Організація | Кредити, страхування, Комерція, фінанси |
Від 39$ |
Comodo Positive SSL | Comodo | DV SSL | Домен | Блог, візитівка, форум, Портал, інфо-ресурс |
Від 8,20$ |
Comodo Essential SSL | Comodo | DV SSL | Домен | Інтернет-магазин, власний сайт Портал, загальне |
Від 13,20$ |
Comodo Instant SSL | Comodo | OV SSL | Організація | Інтернет-магазини, комерція Корпоративні портали |
Від 38$ |
Rapid SSL | GeoTrust | DV SSL | Домен | Блог, візитівка, форум, Портал, інфо-ресурс |
Від 14,10$ |
CSR (Certificate Signing Request) — це стандартизована стрічка даних, що містить усю необхідну інформацію про власника та домен, на який виписується сертифікат. Щоб згенерувати CSR, слід заповнити відповідну форум у обраного провайдера. Не знаю чому, але іноді люди шукають сторонні сервіси генерації CSR. Чи то провайдери пропонують незрозумілий інтерфейс, чи просто не всі розібрались, але на всяк випадок даю лінк, де можна згенерувати CSR — https://ssl.com.ua/online-CSR-generator/.
Домен (Common Name) — доменне ім'я, на яке виписується сертифікат (приклад: hw.in.ua). Якщо виписується сертифікат не на домен, а на піддомен, тоді відповідно вказуємо піддомен (приклад: subdomain.hw.in.ua). Якщо ж мова йде про Wildcard сертифікати, що одночасно захищають основний домен та усі його піддомени, тоді вказуємо значення через зірочку (приклад: *.hw.in.ua). Для мультидоменних сертифікатів (SAN SSL/Multi-Domain SSL) зазначаємо лише основний домен. А як щодо www? Тут все залежить від типу сертифікату. Деякі центри сертифікації підтримують одразу обидві версії (з www і без www). А деякі — лише один варіант (або з www, або без www). Цей момент слід уточнити у свого провайдера.
Організація (Organization) — назва організації або ПІБ, якщо реєстрація відбувається для приватного підприємця. В інших випадках можна вказати що завгодно, наприклад, для цього блогу я зазначаю «HW», або «HW.in.ua».
Відділ (Organization Unit чи Departament) — аналогічно, як і для організацію. Якщо є відділ — вказуємо, нема — заповнюємо довільно, ну щось типу «IT», «Blog», «SEO».
Далі слідують поштові дані, і тут все інтуїтивно зрозуміло (заповнювати можна лише латиницею).
Місто (Locality) — Lviv, Kyiv, Odesa тощо.
Область/Штат (State). Вказуємо обласний центр, тобто той же Lviv, Kyiv, Odea або Kyivska Oblast, Lvivska Oblast, Odeska Oblast
Країна (Country) — зазначаємо лише двозначний код. Для України — UA.
Email — електронна скринька адміністратора.
Все, усі обов’язкові дані заповнено, можна генерувати CSR. В результаті отримаємо щось типу такого:
Приватний Ключ (Private Key fабо RSA). Разом з CSR автоматично генерується і приватний ключ для домену, ніяких додаткових дій з Вашого богу робити не потрібно. Ось такий вигляд може мати приватний ключ:
Зберігаємо ці дані (CSR та Pivate Key) у текстовому форматі, незабаром вони нам знадобляться. Далі ваш провайдер в автоматичному чи ручному режимі створює запит на отримання сертифікату згідно вказаних даних. Після чого на пошту надійде лист, у якому центр видачі попросить верифікувати домен, тобто підтвердити, що цей домен належить саме вам (мова йде про найпоширеніші сертифікати типу DV SSL). На вибір запропонують три способи:
Обираємо будь-який зручний спосіб та підтверджуємо права на домен. Після успішної верифікації SSL сертифікат для домену буде випущено. Що саме клієнт повинен отримати від реєстратора: основний сертифікат, проміжний (внутрішній) сертифікат та кореневий сертифікат. І ось тепер, маючи усі ці сертифікати, можна приступати до безпосереднього налаштування безпечного з’єднання сайту.
Для початку слід переконатися, що для домену увімкнена опція SSL в налаштуваннях. Увімкніть її, якщо цього не було зроблено заздалегідь.
Переходимо на закладку SSL і заповнюємо усі поля (країна, область, населений пункт, компанія, підрозділ) згідно даних, на які виписували сертифікат. Далі йдуть технічні дані:
Прокручуємо сторінку панелі до розділу «Безпека» та обираємо пункт «SSL/TLS»:
Далі переходимо за посиланням «ІНСТАЛЯЦІЯ ЕЛЕМЕНТІВ SSL ДЛЯ САЙТУ (HTTPS) І КЕРУВАННЯ НИМИ»:
Заносимо дані сертифікату у форму. Cpanel запитує лише мінімум необхідної інформації, не потрібно вказувати CSR, а також проміжний та кореневий сертифікати. У більшості випадків система автоматично підтягне ці дані з Центру Сертифікації.