Налаштування SSL сертифікату в веб-панелях ISPConfig та cPanel

В минулому огляді ми обговорювали концепцію та основні аспекти — що таке SSL, для чого він потрібен, які бувають сертифікати, чим відрізняються між собою безкоштовні, дешеві та дорогі і де краще придбати. Є бажання заповнити пробіли чи почерпнути щось нове, читаємо тут. Сьогодні я перейду від теорії до практики і покажу, як налаштувати SSL сертифікат на прикладі ISPConfig та cPanel. Але спершу потрібно отримати сам сертифікат. Алгоритм дій наступний: робимо замовлення у будь-якого з провайдерів (зведена таблиця цін українських провайдерів нижче); генеруємо CSR та приватний ключ; відправляємо запит в центр сертифікації; верифікуємо домен; отримуємо від центру сертифікації SSL сертифікат (основний/проміжний/кореневий); налаштовуємо сертифікат у веб-панелі.

CSR (Certificate Signing Request) — це стандартизована стрічка даних, що містить усю необхідну інформацію про власника та домен, на який виписується сертифікат. Щоб згенерувати CSR, слід заповнити відповідну форум у обраного провайдера. Не знаю чому, але іноді люди шукають сторонні сервіси генерації CSR. Чи то провайдери пропонують незрозумілий інтерфейс, чи просто не всі розібрались, але на всяк випадок даю лінк, де можна згенерувати CSR — https://ssl.com.ua/online-CSR-generator/.

Домен (Common Name) — доменне ім'я, на яке виписується сертифікат (приклад: hw.in.ua). Якщо виписується сертифікат не на домен, а на піддомен, тоді відповідно вказуємо піддомен (приклад: subdomain.hw.in.ua). Якщо ж мова йде про Wildcard сертифікати, що одночасно захищають основний домен та усі його піддомени, тоді вказуємо значення через зірочку (приклад: *.hw.in.ua). Для мультидоменних сертифікатів (SAN SSL/Multi-Domain SSL) зазначаємо лише основний домен. А як щодо www? Тут все залежить від типу сертифікату. Деякі центри сертифікації підтримують одразу обидві версії (з www і без www). А деякі — лише один варіант (або з www, або без www). Цей момент слід уточнити у свого провайдера.

Організація (Organization) — назва організації або ПІБ, якщо реєстрація відбувається для приватного підприємця. В інших випадках можна вказати що завгодно, наприклад, для цього блогу я зазначаю «HW», або «HW.in.ua».

Відділ (Organization Unit чи Departament) — аналогічно, як і для організацію. Якщо є відділ — вказуємо, нема — заповнюємо довільно, ну щось типу «IT», «Blog», «SEO».

Далі слідують поштові дані, і тут все інтуїтивно зрозуміло (заповнювати можна лише латиницею).

Місто (Locality) — Lviv, Kyiv, Odesa тощо.

Область/Штат (State). Вказуємо обласний центр, тобто той же Lviv, Kyiv, Odea або Kyivska Oblast, Lvivska Oblast, Odeska Oblast

Країна (Country) — зазначаємо лише двозначний код. Для України — UA.

Email — електронна скринька адміністратора.

Все, усі обов’язкові дані заповнено, можна генерувати CSR. В результаті отримаємо щось типу такого:

Приватний Ключ (Private Key fабо RSA). Разом з CSR автоматично генерується і приватний ключ для домену, ніяких додаткових дій з Вашого богу робити не потрібно. Ось такий вигляд може мати приватний ключ:

Зберігаємо ці дані (CSR та Pivate Key) у текстовому форматі, незабаром вони нам знадобляться. Далі ваш провайдер в автоматичному чи ручному режимі створює запит на отримання сертифікату згідно вказаних даних. Після чого на пошту надійде лист, у якому центр видачі попросить верифікувати домен, тобто підтвердити, що цей домен належить саме вам (мова йде про найпоширеніші сертифікати типу DV SSL). На вибір запропонують три способи:

1. За допомогою файлу. Треба розмістити текстовий файл з зазначеним кодом в корені чи певній директорії сайту.
2. За допомогою пошти. Підтвердити за посиланням у листі, що буде відправлений на пошут адміністратора домену (дані беруться з бази whois).
3. За допомогою DNS. Потрібно створити через редактор доменних зон спеціальний технічний запис.

Обираємо будь-який зручний спосіб та підтверджуємо права на домен. Після успішної верифікації SSL сертифікат для домену буде випущено. Що саме клієнт повинен отримати від реєстратора: основний сертифікат, проміжний (внутрішній) сертифікат та кореневий сертифікат. І ось тепер, маючи усі ці сертифікати, можна приступати до безпосереднього налаштування безпечного з’єднання сайту.

ISPConfig

Для початку слід переконатися, що для домену увімкнена опція SSL в налаштуваннях. Увімкніть її, якщо цього не було зроблено заздалегідь.

Переходимо на закладку SSL і заповнюємо усі поля (країна, область, населений пункт, компанія, підрозділ) згідно даних, на які виписували сертифікат. Далі йдуть технічні дані:

SSL ключ (SSL Key)

Приватний ключ, він же Private Key — його ми отримали одночасно зі згенерованим CSR.

Запит SSL (SSL Request)

Це власне і є раніше згенерований CSR.

Сертифікат SSL (SSL Certificat)

Основний SSL сертифікат, що отримали від центру сертифікації.

SSL-зв’язка (SSL Bundle)

Сюди потрібно ввести (скопіювати та вставити) вміст обидвох сертифікатів одразу — кореневого та проміжного. Нагадаю, ці сертифікати ми також отримали від центру сертифікацію разом з основним.

cPanel

Прокручуємо сторінку панелі до розділу «Безпека» та обираємо пункт «SSL/TLS»:

Далі переходимо за посиланням «ІНСТАЛЯЦІЯ ЕЛЕМЕНТІВ SSL ДЛЯ САЙТУ (HTTPS) І КЕРУВАННЯ НИМИ»:

Заносимо дані сертифікату у форму. Cpanel запитує лише мінімум необхідної інформації, не потрібно вказувати CSR, а також проміжний та кореневий сертифікати. У більшості випадків система автоматично підтягне ці дані з Центру Сертифікації.

Сертифікат: (CRT)

Основний SSL сертифікат, що отримали від центру сертифікації.

Закритий ключ (KEY)

Приватний ключ, він же Private Key — його ми отримали одночасно зі згенерованим CSR.

Пакет Центру сертифікації: (CABUNDLE)

Вміст обидвох сертифікатів — кореневого та проміжного. Якщо не вказати, система спробує автоматично отримати ці дані від ЦС (Центр Сертифікації).