Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

Содержание
  1. переход Apache на HTTPS
  2. Сертификаты SSL
  3. Как сгенерировать SSL сертификат в Windows
  4. Как в Windows для Apache подключить SSL сертификаты
  5. Решение проблем
  6. Как получить бесплатный SSL-сертификат: пошаговая инструкция
  7. Самостоятельное получение бесплатногоSSL-сертификата для сайта
  8. Способ №1
  9. Способ №2 (рекомендуется)
  10. Способ №3
  11. Через административную панель хостинга
  12. ЧерезISPmanager
  13. Получение бесплатного хостинг провайдера через хостинг-провайдера
  14. Установка SSL сертификата на Apache
  15. Размещение документов на сервере
  16. Загрузка с устройств Linux или Mac OS
  17. Настройка программного продукта под работу сертификата
  18. Контроль установки
  19. Установка SSL-сертификата
  20. Где взять данные для установки SSL-сертификата?
  21. Где взять приватный ключ сертификата?
  22. Установка SSL сертификата через панель управления ISPmanager
  23. Установка SSL-сертификата на Apache
  24. Установка SSL-сертификата на Nginx
  25. Как установить SSL сертификат на свой веб-сервер (Apache2, Nginx)
  26. Для установки SSL Сертификата необходимо:
  27. Установка SSL Сертификата — ISPMANAGER
  28. Установка SSL Сертификата — APACHE 2
  29. Установка SSL Сертификата — NGINX
  30. Порядок установки SSL сертификата (Apache)
  31. Как установить ssl сертификат на сервер Apache:
  32. Добавляем промежуточный сертификат, подтверждающий корректность цепочки

переход Apache на HTTPS

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

Протокол HTTPS позволяет передавать данные между сайтом и пользователем в зашифрованном виде, то есть посторонние лица не могут увидеть содержимое передаваемых данных и изменить их.

Веб-сервер Apache поддерживает работу HTTPS. Для настройки HTTPS на Apache нужен SSL сертификат. Точнее говоря, «SSL сертификат» включает в себя приватный ключ и публичный ключ (сертификат). Также вместе с SSL ключами дополнительно могут присылаться сертификаты центра сертификации, корневой сертификат.

Сертификаты SSL

SSL сертификаты можно разделить на два вида: валидные и самоподписанные.

Сертификат SSL можно сгенерировать у себя на компьютере. Причём можно сгенерировать для любого доменного имени. Но к таким сертификатам у веб-браузеров нет доверия.

Поэтому если открыть сайт, защищённый таким сертификатом, то веб-браузер напишет ошибку, что сертификат получен из ненадёжного источника и либо запретит открывать этот сайт, либо предложит перейти на сайт на ваш страх и риск. Это так называемые «самоподписанные сертификаты».

Чтобы браузер не выдавал ошибку о ненадёжного сертификате, его нужно добавить в список доверенных. Такие сертификаты подойдут для тестирования веб-сервера и обучению настройки веб-сервера для работы с SSL и HTTPS.

Ещё такой сертификат можно использовать на сайте, к которому имеет доступ ограниченный круг лиц (несколько человек) — например, для сайтов в локальной сети. В этом случае они все могут добавить сертификат в доверенные.

Для реального сайта такой сертификат не подойдёт.

Для рабочего окружения нужен валидный сертификат, его можно получить двумя способами:

1) получить тестовый сертификат на 3 месяца (затем его можно продлить)

2) купить сертификат — в этом случае он действует от года и более

Валидный сертификат отличается от самоподписанного тем, что сторонний сервис удостоверяет подлинность этого сертификата. Собственно, оплачивается именно эта услуга удостоверения, а не выдача сертификата.

Данная статья посвящена вопросу, как настроить Apache в Windows для работы с протоколом HTTPS, будет показано, как подключить SSL сертификаты к Apache в Windows. Поэтому для целей тестирования и обучения нам хватит самоподписанного сертификата.

Как сгенерировать SSL сертификат в Windows

У меня веб-сервер установлен в папку C:\Server\bin\Apache24, поэтому если у вас он в другой директории, то подправьте команды под свои условия.

Откройте командную строку Windows (Win+x, далее выберите «Windows PowerShell (администратор)»). В командной строке введите команды:

cmd cd C:\Server\bin\Apache24\bin\ set OPENSSL_CONF=C:\Server\bin\Apache24\conf\openssl.cnf openssl.exe genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out localhost.key openssl.exe req -new -key localhost.key -out localhost.csr

При вводе последней команды появятся запросы на английском языке. Ниже следует их перевод.

You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. —–

Перевод:

Вас попросят ввести информацию, которая будет включена в запрос вашего сертификата. То, что вы будете вводить, называется Distinguished Name или DN. Там всего несколько полей, которые можно оставить пустыми. В некоторых полях будут значения по умолчанию. Если вы введёте '.', то поле будет оставлено пустым.

Далее:

Country Name (2 letter code) [AU]:

Перевод:

Двухбуквенное имя страны (двухбуквенный код)

Далее:

State or Province Name (full name) [Some-State]:

Перевод:

Название штата или провинции/области (полное имя)

Далее:

Locality Name (eg, city) []:

Перевод:

Название населённого пункта (например, города)

Далее:

Organization Name (eg, company) [Internet Widgits Pty Ltd]:

Перевод:

Название организации (т.е. компании).

Далее:

Organizational Unit Name (eg, section) []:

Перевод:

Подразделение организации (т.е. отдел)

Далее:

Common Name (e.g. server FQDN or YOUR name) []:

Перевод:

Общее имя (например, FQDN сервера или ВАШЕ имя). Это самая важная часть — здесь нужно ввести доменное имя. Можете ввести localhost.

Далее:

Email Address []:

Перевод:

Адрес электронной почты

Далее:

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Перевод:

Пожалуйста, введите следующие «дополнительные» атрибуты для отправки с вашим запросом сертификата Пароль запроса: Опциональное имя компании:

Теперь выполните команду:

openssl.exe x509 -req -days 365 -in localhost.csr -signkey localhost.key -out localhost.crt

В результате в каталоге C:\Server\bin\Apache24\bin\ должны появиться три новых файла:

  • localhost.key
  • localhost.csr
  • localhost.crt

Из них нам понадобятся только два:

  • localhost.key
  • localhost.crt

Как в Windows для Apache подключить SSL сертификаты

При использовании сертификатов для настройки реального веб-сайта, удобнее создать виртуальный хост с примерно следующими настройками:

LoadModule ssl_module modules/mod_ssl.so Listen 443 ServerName www.example.com SSLEngine on SSLCertificateFile “/путь/до/www.example.com.crt” SSLCertificateKeyFile “/путь/до/www.example.com.key”

Для настройки использования SSL на локальном веб-сервере Apache в Windows следуйте инструкции ниже.

В каталоге C:\Server\ создайте новую папку certs и переместите туда файлы localhost.key и localhost.crt.

В директории C:\Server\bin\Apache24\conf\ откройте текстовым редактором файл httpd.conf. В самый низ добавьте туда строки:

LoadModule ssl_module modules/mod_ssl.so Listen 443 DocumentRoot “c:/Server/data/htdocs/” ServerName localhost:443 ServerAdmin admin@example.com ErrorLog “${SRVROOT}/logs/error-ssl.log” TransferLog “${SRVROOT}/logs/access-ssl.log” SSLEngine on SSLCertificateFile “C:\Server\certs\localhost.crt” SSLCertificateKeyFile “C:\Server\certs\localhost.key”

Обратите внимание, что вам может понадобиться отредактировать следующие директивы

  • DocumentRoot — укажите путь до сайтов на сервере
  • ServerName — укажите имя вашего хоста, если то не локалхост

Обратите внимание, что мы не просто поместили эти строки в конфигурационный файл, а заключили их в контейнер VirtualHost.

Дело в том, что если этого не сделать, то директива SSLEngine on включит SSL для всего веб-сервера, и даже при попытке открыть сайты на 80 порту, эти подключения будут обрабатываться как HTTPS, что вызовет ошибку «Bad Request.

Your browser sent a request that this server could not understand». По этой причине эти настройки помещены в контейнер виртуального хоста.

Обратите внимание, что используется ключевое слово _default_ – то есть сюда будут собираться все запросы на 443 порт если они не предназначены для другого хоста, который также настроен. То есть при желании вы можете создать больше виртуальных хостов для работы с HTTPS, при этом вместо _default_ указывайте IP хоста или символ * (звёздочка).

После этого сохраните изменения, закройте файл и перезапустите веб-сервер.

c:\Server\bin\Apache24\bin\httpd.exe -k restart

Для проверки сделанных изменений, перейдите по адресу https://localhost/ (протокол HTTPS). Поскольку сертификат является самоподписанным, то появится такое сообщение:

К самоподписанным сертификатам нет доверия и эту ошибку нельзя убрать без добавления таких сертификатов в доверенные. Для перехода нажмите «Всё равно продолжить».

Как уже было сказано, валидные сертификаты нужно покупать, либо использовать тестовые. В чём подвох использования тестовых сертификатов? Формально, в какой-то момент их могут перестать выдавать, но, на самом деле, уже сейчас многие сайты годами живут с такими тестовыми сертификатами.

На современных хостингах настроено автоматическое подключение и продление таких сертификатов — это просто супер удобно.

Обычно на хостингах предусмотрено некоторое количество абсолютно бесплатных SSL сертификатов с автоматическим продлением, но за небольшую плату (10 рублей в месяц), можно подключить тестовые сертификаты для любого количества сайтов. Пример такого хостинга здесь.

Решение проблем

При некоторых условиях может возникнуть следующая ошибка:

Can't open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No such file or directory 9112:error:02001003:system library:fopen:No such process:crypto\bio\bss_file.c:72:fopen('C:\Program Files\Common Files\SSL/openssl.cnf','r') 9112:error:2006D080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:79: unable to find 'distinguished_name' in config problems making Certificate Request 9112:error:0E06D06A:configuration file routines:NCONF_get_string:no conf or environment variable:crypto\conf\conf_lib.c:270:

подсказка в первой строке: Can't open C:\Program Files\Common Files\SSL/openssl.cnf for reading, No such file or directory — она означает, что возникла ошибка чтения файла C:\Program Files\Common Files\SSL/openssl.cnf из-за того, что он отсутствует.

Файл openssl.cnf поставляется с самим веб-сервером Apache и находится в папке conf. Поэтому есть несколько вариантов, как исправить эту ошибку.

Например, можно создать нужные папки и скопировать туда этот файл.

Но можно пойти более простым путём — на время создания сертификатов установить переменную окружения OPENSSL_CONF указав в ней правильный путь до файла.

Также нужно переключиться из PowerShell в обычную командную строку Windows, поскольку иначе переменная окружения почему-то не устанавливается. Допустим, сервер размещён в папке C:\Server\bin\Apache24\bin\, тогда файл openssl.

cnf расположен по пути C:\Server\bin\Apache24\conf\openssl.cnf, в этом случае, чтобы исправить ошибку Can't open C:\Program Files\Common Files\SSL/openssl.

cnf for reading, No such file or directory нужно выполнить:

cmd cd C:\Server\bin\Apache24\bin\ set OPENSSL_CONF=C:\Server\bin\Apache24\conf\openssl.cnf

Отредактируйте пути в этих командах в соответствии с вашей структурой папок.

Источник: https://apache-windows.ru/apache-ssl-%D0%BF%D0%B5%D1%80%D0%B5%D1%85%D0%BE%D0%B4-apache-%D0%BD%D0%B0-https/

Как получить бесплатный SSL-сертификат: пошаговая инструкция

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

Сегодня получить бесплатный SSL сертификат для сайта достаточно простая задача, позволяющая быстро и без лишних затрат перейти на безопасный протокол HTTPS.

Самостоятельное получение бесплатногоSSL-сертификата для сайта

Для того, чтобы получить бесплатный SSL-сертификат и перейти на https потребуется посетить сайт https://www.sslforfree.com/, где в первую очередь рекомендуется зарегистрироваться, кликнув на «Login».

После этого вводим нужный нам e-mail и пароль и нажимаем на Register.

После подтверждения регистрации переходим на главную страницу и вводим домен сайта (или поддомен) которому необходимо выдать сертификат, например, seopulses.ru кликаем на «Create Free SSL Certificate».

В появившемся списке можно выбрать один из представленных способов подтверждения ресурса:

  • Automatic FTP Verification. Через подключение к FTP;
  • Manual Verification. Через HTML-файл;
  • Manual Verification (DNS). Через DNS запись.

Способ №1

В случае с первым способом потребуется предоставить данные для подключения к FTP, куда входят:

  • Type (Тип подключения): FTP/SFTP/FTPS;
  • Host (Имя хоста). Как правило название сайта;
  • Port;
  • User (логин пользователя);
  • Password (пароль);
  • Directory (Директория). Путь к папке, где расположены файлы сайта, например, /www/seopulses.ru/public_html/.

Способ №2 (рекомендуется)

При выборе второго способа требуется кликнуть на кнопку «Retry Manual Verification».

В выпавшем меню необходимо следовать следующей инструкции:

Скачиваем 2 файла

После подключаемся к FTP сервера или при помощи файлового менеджера создаем к корневой директории сайта папку с названием «.well-known».

В появившейся папке «.well-known» создаем еще одну папку «acme-challenge», в которую требуется загрузить оба скаченных файла.

Кликаем на «Download SSL Certificate».

Способ №3

Аналогично второму способу необходимо выбрать «Manual Verification Domain».

Теперь добавляем 2 TXT записи в домен, настроив:

  • TTL: 1;
  • Host: acme-challenge.site.ru и acme-challenge.www.site.ru;
  • Значение. Копируем из представленных ячеек.

После успешного прохождения проверки перед пользователем появиться 3 основных вкладки и кнопка «Download SSL certificate».

Кликнув на «Download All SSL certificate Files» получаем архив «sslforfree.zip», распаковав который появятся 3 файла:

  • certificate.crt. Основной сертификат;
  • private.key. Приватный ключ;
  • ca_bundle.crt. Промежуточный сертификат.

Для их установки через административную панель хостинга переходим в раздел SSL.

Через административную панель хостинга

Выбираем «Установить SSL».

Загружаем все 3 файла.

Сайт, которому был выдан сертификат определяется автоматически.

Важно! Срок действия сертификата 3 месяца, после чего его потребуется обновиться, выполнив инструкцию еще раз.

Важно! Если сертификат выдается на поддомен, то потребуется подтвердить лишь основной домен (соответственно загрузить лишь 1 файл или установить 1 TXT-запись).

ЧерезISPmanager

Следует посетить раздел «WWW»-«SSL-сертификаты», после чего кликнуть на «Создать».

Выбираем пункт «Существующий».

Ставим данные из файлов в нужные поля и даем имя сертификату.

Важно! Если не получается воспользоваться ни первым ни вторым способом или данного раздела (SSL) нет в административной панели (как, например, в SprintHost), то Вы можете загрузить сертификаты на свой сервер и создать тикет хостинг-провайдеру для установки.

Получение бесплатного хостинг провайдера через хостинг-провайдера

Если хостинг-провайдер предоставляет бесплатный SSL-сертификат, то можно воспользоваться им. Так его предоставляют:

  • Reg.ru;
  • Timeweb;
  • SprintHost;
  • SpaceWeb;
  • Beget;
  • Многие другие.

Например, в случае с Timeweb достаточно посетить административную панель после чего перейти во вкладку «SSL-сертификаты» и нажимаем на «Заказать».

Теперь выбираем «Let’s Encrypt» (бесплатный) и домен, которому он будет применен.

Важно! Для того, чтобы воспользоваться данным методом необходимо делегировать сайт под управление компании хостинга при помощи А-записи.

Источники: https://seopulses.ru/kak-poluchit-besplatniy-ssl-sertifikat/

Источник: https://zen.yandex.ru/media/seopulses/kak-poluchit-besplatnyi-sslsertifikat-poshagovaia-instrukciia-5d691e653f548700ad539c8d

Установка SSL сертификата на Apache

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

После того, как был получен CSR-запрос (сгенерировать его вы можете тут)и создан сертификат SSL, нужно войти в панель управления и произвести установку полученных файлов с расширением .CRT и .CA.

Наша статья создана для того, чтобы пошагово помочь в установке нового сертификата SSL на свободный веб-сервер, работающий на основе таких операционных систем Linux как Ubuntu, CentOS или Debian.

Установочные файлы будут отображены в меню SSL сразу после покупки нового сертификата. .CA – используется для инсталляции, содержит цепочки сертификатов Центра Сертификации.

.CRT – файл подписанного сертификата.

Размещение документов на сервере

Первый шаг – выгрузка файлов на рабочий сервер. Когда среда рабочего стола на сервере отсутствует, то есть иные способы переноса файлов. Для начала их необходимо перенести на другое устройство, после чего инсталлировать на нужный веб-сервер.

Важно! Для проведения работы требуется пара ключей (закрытый и открытый). Они создаются на том же сервере, где будет располагаться новый сертификат SSL. Если пара была создана в другом месте, то исходный файл ключа необходимо переместить на нужный сервер аналогично процедуре, описанной в этой статье.

Загрузка с устройств Linux или Mac OS

Если вы пользуетесь этими операционными системами, то самым легким возможным способом переноса станет возможность воспользоваться утилитой копирования файлов, которая встроена в текстовую консоль устройства. Для этого необходимо:

  • Загрузить готовые файлы на устройство;
  • Войдите в терминал, зайдите в папку загрузки или сохранения файлов; cd ~/Downloads
  • Переместите файлы следующим образом: scp crt.crt ca.crt user@1.22.33.444:/etc/ssl

В строке последовательно отражена информация:

  • команда начала копирования;
  • имя файла с расширением .crt;
  • имя файла с расширением .ca;
  • имя пользователя, чтобы подключиться к программному продукту через сетевой протокол Secure Shell или учетную запись администратора;
  • IP-адрес;
  • адрес на сервере, где будут расположены сохраненные документы.

Загрузка с устройства на ОС Windows:

cp /home/root/private.key /etc/ssl/private.key

Последовательно вводятся такие данные:

  • команда запуска копирования;
  • указание пути к папке, где лежит закрытый ключ .key;
  • имя файла;
  • путь копирования закрытого ключа.

Чтобы удалить закрытый ключ из предыдущей директории, воспользуйтесь нижеприведенной командой:

rm /home/root/private.key

Настройка программного продукта под работу сертификата

После того, как все необходимые файлы были перенесены, нужно внести изменения в настройки веб-сервера. Для этого подключитесь к нему с помощью Secure Shell, выполнив вход с правами администратора и совершите последовательно действия описанные ниже.

Включите работу SSL-опции

На Ubuntu/Debian:

a2enmod ssl

Для CentOS:

yum install mod_ssl

Войдите в файл настроек того сайта, куда устанавливается SSL. Пример пути:

nano /etc/apache2/sites-enabled/000-default.conf

Важно! Если вы используете Ubuntu или Debian, конфигурационные документы расположены по адресу/etc/apache2/sites-enabled/.

Для CentOS используется адрес директории /etc/httpd/conf.d/.

Чтобы найти необходимый файл, воспользуйтесь командой ls, с помощью которой можно увидеть весь список документов, хранящийся по определенному пути.

Воспользовавшись вводом команды nano, вы получите доступ к определенным нужным вам документам. Чтобы убедиться в том, что найденный файл содержит настройки сайта, найдите в тексте значение ServerName.

Указанные данные должны соответствовать имени домена вашего сайта.

Для пользователей CentOS, у которых отсутствует предустановленный редактор, есть возможность воспользоваться командой установки yum install nano.

В открытый файл настроек необходимо внести следующие данные:

SSLEngine on SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt

SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key

В приведенных данных первая строка указывает на путь к файлу сертификата сайта.

Вторая строка – данные, указывающие путь к файлу с расширением .CA.

Последняя строчка – это данные о директории, где расположен файл .key.

Важно! Если у вас есть необходимость разрешения доступа только по безопасному протоколу (через порт 443), то необходимо внести изменения ф файл настроек протокола согласно описанному ниже примеру No1.
Если этот вопрос не играет значения и вы хотите оставить открытым доступ через порт 80, то следуйте инструкциям, указанным в образце No2. Все измененные данные выделены жирным.

Образец 1

        # The ServerName directive sets the request scheme, hostname and port that         # the server uses to identify itself. This is used when creating         # redirection URLs. In the context of virtual hosts, the ServerName         # specifies what hostname must appear in the request's Host: header to         # match this virtual host. For the default virtual host (this file) this         # value is not decisive as it is used as a last resort host regardless.         # However, you must set it for any further virtual host explicitly.         #ServerName www.mydomain.ru         ServerAdmin webmaster@localhost         DocumentRoot /var/www/html         # Available loglevels: trace8, …, trace1, debug, info, notice, warn,         # error, crit, alert, emerg.         # It is also possible to configure the loglevel for particular         # modules, e.g.         #LogLevel info ssl:warn         ErrorLog ${APACHE_LOG_DIR}/error.log         CustomLog ${APACHE_LOG_DIR}/access.log combined         # For most configuration files from conf-available/, which are         # enabled or disabled at a global level, it is possible to         # include a line for only one particular virtual host. For example the         # following line enables the CGI configuration for this host only         # after it has been globally disabled with “a2disconf”.         #Include conf-available/serve-cgi-bin.conf

        SSLEngine on         SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt         SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt

        SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key

Образец 2 

        # The ServerName directive sets the request scheme, hostname and port that         # the server uses to identify itself. This is used when creating         # redirection URLs. In the context of virtual hosts, the ServerName         # specifies what hostname must appear in the request's Host: header to         # match this virtual host. For the default virtual host (this file) this         # value is not decisive as it is used as a last resort host regardless.         # However, you must set it for any further virtual host explicitly.         #ServerName www.mydomain.ru         ServerAdmin webmaster@localhost         DocumentRoot /var/www/html         # Available loglevels: trace8, …, trace1, debug, info, notice, warn,         # error, crit, alert, emerg.         # It is also possible to configure the loglevel for particular         # modules, e.g.         #LogLevel info ssl:warn         ErrorLog ${APACHE_LOG_DIR}/error.log         CustomLog ${APACHE_LOG_DIR}/access.log combined         # For most configuration files from conf-available/, which are         # enabled or disabled at a global level, it is possible to         # include a line for only one particular virtual host. For example the         # following line enables the CGI configuration for this host only         # after it has been globally disabled with “a2disconf”.         #Include conf-available/serve-cgi-bin.conf

        SSLEngine on         SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt         SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt

        SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key

        # The ServerName directive sets the request scheme, hostname and port that         # the server uses to identify itself. This is used when creating         # redirection URLs. In the context of virtual hosts, the ServerName         # specifies what hostname must appear in the request's Host: header to         # match this virtual host. For the default virtual host (this file) this         # value is not decisive as it is used as a last resort host regardless.         # However, you must set it for any further virtual host explicitly.         #ServerName www.mydomain.ru         ServerAdmin webmaster@localhost         DocumentRoot /var/www/html         # Available loglevels: trace8, …, trace1, debug, info, notice, warn,         # error, crit, alert, emerg.         # It is also possible to configure the loglevel for particular         # modules, e.g.         #LogLevel info ssl:warn         ErrorLog ${APACHE_LOG_DIR}/error.log         CustomLog ${APACHE_LOG_DIR}/access.log combined         # For most configuration files from conf-available/, which are         # enabled or disabled at a global level, it is possible to         # include a line for only one particular virtual host. For example the         # following line enables the CGI configuration for this host only         # after it has been globally disabled with “a2disconf”.         #Include conf-available/serve-cgi-bin.conf

Командой перезапустите веб-сервер:

Для Ubuntu/Debian: /etc/init.d/apache2 restart

Для CentOS:
apachectl restart

Если в программном продукте установлен и настроен firewall iptables, то нужно позаботиться о вопросе входящих подключений по защищенному протоколу. Для этого нужно разрешить их в настройках фаерволла.

Чтобы внести изменения, необходимо изучить техническую документацию операционной системы, так как в разных продуктах компании применяются разные способы.

Мы привели несколько общих примеров, которые вы можете изучить.

Ubuntu 16.04: ufw allow 443/tcp

Debian: iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 443 -j ACCEPT

CentOS: iptables -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT

Контроль установки

Если вы совершали все действия согласно инструкции, то окончательным результатом должна стать успешная установка сертификата в программный продукт, как и было заявлено в этой статье.

Чтобы удостовериться в том, что все прошло успешно и настроено правильно, необходимо запустить веб-сервер через протокол HTTPS в любом браузере. При правильной установке утилиты в верхней части окна можно будет заметить появившийся значок замка. При нажатии на иконку будут открываться данные о сертификате, установленном на сайт.

Средняя оценка: 5,0, всего оценок: 1

Источник: https://oblako.kz/help/ssl/install-ssl-na-apache

Установка SSL-сертификата

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

Для установки сертификата потребуется:

  • Файл сертификата и цепочка сертификата.
  • Ключ сертификата. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.
  • Root доступ к серверу.

Где взять данные для установки SSL-сертификата?

Архив с данными для установки SSL-сертификата отправляется после выпуска сертификата на контактный e-mail, который вы указали при регистрации на сайте ispsystem.ru.

Также вы можете скачать архив в личном кабинете на сайте ispsystem.ru в разделе Товары – SSL сертификаты – кнопка Просмотр.

Где взять приватный ключ сертификата?

Если при заказе SSL сертификата вы не устанавливали галочку “Не сохранять ключ в системе”, то тогда ключ можно найти в личном кабинете в разделе SSL сертификаты – Просмотр.

Если же данную галочку установили, либо запрос CSR вы генерировали не на сайте ispsystem.ru, то приватный ключ должен быть у вас. Если по какой-то причине вы его не сохранили, либо потеряли, то сертификат необходимо будет перевыпускать с новым CSR запросом.

Установка SSL сертификата через панель управления ISPmanager

1. Зайдите в ISPmanager под пользователем, которому принадлежит домен. Войдя под root'ом это можно сделать так: ISPmanager – Пользователи – выделите пользователя – нажмите “Вход” (справа вверху кнопка с изображением лестницы и двери).

Не забудьте для пользователя включить возможность использования SSL (это можно сделать в разделе Пользователи – двойной клик по пользователю – вкладка “Доступ”).

2. В разделе WWW – “SSL-сертификаты” – справа вверху кнопка “Создать”. Укажите “Тип сертификата” – “Существующий” и заполните все поля:

Имя SSL-сертификата — имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -.

SSL-сертификат — содержимое SSL-сертификата в PEM-формате.

Ключ SSL-сертификата — содержимое ключа SSL-сертификата в PEM-формате.

Цепочка SSL-сертификатов — содержимое файла цепочки SSL-сертификатов (Certificate bundle) в PEM-формате. В письме от центра сертификации обычно приходит архив, в котором есть два файла — сам сертификат и цепочка сертификата (файл с расширением .ca-bundle).

3. После успешного добавления сертификата в разделе “WWW домены” его можно включить для сайта (двойной клик – установить галочку “Повышенная безопасность SSL” – выбрать из списка нужный сертификат).

4. Детальная проверка установленного сертификата доступна по ссылкам: https://www.ssllabs.com/ssltest/analyze.html https://www.sslshopper.com/ssl-checker.html

Установка SSL-сертификата на Apache

Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:

# netstat -napt | grep 443

Для установки сертификата откройте конфигурационный файл Apache.

Debian – /etc/apache2/apache2.conf Centos – /etc/httpd/conf/httpd.conf.

Найдите VirtualHost вашего домена. Отредактируйте блок «VirtualHost», добавив в него следующие строки:

DocumentRoot /var/www/user/data/www/domain.com ServerName domain.com SSLEngine on SSLCertificateFile /path/to/domain.crt SSLCertificateKeyFile /path/to/domain.key SSLCACertificateFile /path/to/ca.crt

Где domain.com — имя вашего домена.

10.0.0.1 — ip адрес, на котором находится домен.

/var/www/user/data/www/domain.com — путь до домашней директории вашего домена.

/path/to/domain.crt — файл, в котором находится сертификат.

/path/to/domain.key — файл, в котором находится ключ сертификата.

/path/to/ca.crt – файл корневого сертификата.

Перезапустите Apache командой

apachectl restartилиapache2ctl restart

Установка SSL-сертификата на Nginx

Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

1. Для начала вам необходимо объединить 3 сертификата (сам SSL-сертификат, промежуточный и корневой сертификаты) в один файл. Для этого создайте на локальном ПК новый текстовый документ с именем your_domain.crt, например, при помощи блокнота.

Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь такой вид:

—–BEGIN CERTIFICATE—– #Ваш сертификат# —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– #Промежуточный сертификат# —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– #Корневой сертификат# —–END CERTIFICATE—–

Данные сертификаты вы можете найти в электронном сообщении, отправленным на ваш контактный e-mail после выпуска сертификата. Также можете скачать их вместе с основным сертификатом в личном кабинете на сайте ispsystem.ru

2. Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата;

3. Загрузите файл your_domain.crt и приватный ключ сертификата your_domain.key на сервер, в директорию /etc/ssl/. Директория может быть и любой другой;

4. Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, добавив следующие строки:

server{ listen 443; ssl on; ssl_certificate /etc/ssl/your_domain.crt; ssl_certificate_key /etc/ssl/your_domain.key; server_name your.domain.com;

/etc/ssl/your_domain.crt и /etc/ssl/your_domain.key — пути до загруженных вами файлов.

Если необходимо, чтобы сайт работал и с защищенным соединением (https:// ) и с незащищенным (http:// ), вам необходимо иметь две секции server{} для каждого типа соединения: для этого создайте копию секции server{} и оставьте её без изменения, а вторую отредактируйте согласно коду выше;

5. Чтобы изменения вступили в силу, перезагрузите сервер Nginx командой:

/etc/init.d/nginx restart

Источник: https://docs.ispsystem.ru/ispmanager-lite/ssl-sertifikaty/ustanovka-ssl-sertifikata

Как установить SSL сертификат на свой веб-сервер (Apache2, Nginx)

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

В этом посте пойдёт речь как установить SSL сертификат на свой веб сервер через isp manager и напрямую через apache2 или nginx.

Так же в этом посте будет рассмотрен способ и сайт для генерации бесплатного SSL сертификата длительностью на 1 ГОД! Подробности под катом.

Как установить SSL сертификат
SSL сертификаты обеспечивают защиту от прослушивания информации между клиентом и сервером в Интернете.

Устанавливая SSL сертификат на ваш сайт, вы поднимете продажи вашего сайта и обезопасите ваших клиентов.

Для установки SSL Сертификата необходимо:

  1. купить отдельный айпи адрес для вашего сайта.
    2. получить SSL Сертификат
  2. сохранить закрытый ключ при генереации SSL Сертификата, начинается с (——BEGIN RSA PRIVATE KEY——)

Установка SSL Сертификата — ISPMANAGER

  1. выделите для домена отдельный ip адрес
  2. в настройках домена добавьте доступ по протоколу SSL порт 443
  3. в меню SSL Сертификаты создать существующий сертификат
  4. в поле “Ключ”; необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
  5. с поле “Сертификат”; необходимо добавить сертификат который пришел на email начинается с ——BEGIN CERTIFICATE——
  6. в поле “Цепочка сертификатов”; необходимо добавить цепочку сертификатов обычно называется файл bundle, но может и не быть. Зависит от конкретной ситуации

Установка SSL Сертификата — APACHE 2

  1. выделите для домена отдельный ip адрес
  2. скомпилируйте apache с поддержкой ssl
  3. добавить в apache конфиг в разделе server virtualhost с портом 443:

NameVirtualHost ваш ip:443 ServerName ваш ip:443 ServerAlias www.вашдомен.com:443 SSLEngine on SSLCertificateFile /путь/cert.crt SSLCertificateKeyFile /путь/cert.

key SSLCACertificateFile /путь/cert.bundle

  1. в файл cert.key необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
  2. в файл cert.crt необходимо добавить сертификат который пришел на почту начинается с ——BEGIN CERTIFICATE——
  3. в файл cert.

    bundle необходимо добавить цепочку сертификатов обычно называется файл bundle

Установка SSL Сертификата — NGINX

  1. выделите для домена отдельный ip адрес
  2. скомпилируйте nginx с поддержкой ssl ./configure —with-http_ssl_module
  3. добавить в nginx конфиг в разделе server следующие строки:

listen 443 default ssl;ssl_certificate /путь/ssl/cert.pem;ssl_certificate_key /путь/ssl/cert.key;ssl_client_certificate /home/ssl/cert.

pem;ssl_verify_client off;ssl_ciphers ECDHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:DES-CBC3-SHA;ssl_prefer_server_ciphers on;ssl_protocols TLSv1;ssl_session_cache shared:SSL:10m;ssl_session_timeout 5m;

  1. в файл cert.key необходимо добавить скопированный защитный ключ начинается с BEGIN RSA
  2. в файл cert.

    pem необходимо добавить сертификат который пришел на почту начинается с ——BEGIN CERTIFICATE—— и добавить цепочку сертификатов обычно называется файл bundle

Это то что касается именно установки сертификата.

Но вы спросите где его взять? Рассказываю как я получил сертификат сроком на 1 год для 1 домена бесплатно, причём этот сертификат считается доверенным, т.к. официальным и браузеры его принимают на ура!

Для начала перейдём на сайт https://www.startssl.com/ и там регистрируемся, для начала нажмём на фри сертификат, введём свои данные (имя фамилия, адрес проживания, телефон, почта).

На эту почту вам придёт код активации, вы его вводите, потом вводите домен, для которого хотите получить сертификат. Указываете почту администратора (создайте на вашем сервере почту с адресом из предложенных на их сайте, я создал у себя webmaster).

На эту почту вам придёт код, который нужно ввести в следующую форму, это необходимо чтоб подтвердить административный доступ к своему серверу.

После этого вы получите 2 файла, crt и key.

Для того чтобы установить ключи на свой сервер через isp manager зайдите в раздел tools на сайте старт ссл, там выберите раскодирование файла ключа, откройте файл формата key в блокноте, скопируйте его содержимое  и вставьте в большое поле, ниже введите пароль от этого ключа, который вы указали на этапе его формирования. на выходе вы получите раскодированный текст. Используйте его в качестве рса ключа в isp manager, там же введите пароль к этому ключу, который вы уже указывали ранее.

Перезапустите сервер на всякий случай и попробуйте открыть в браузере https адрес вашего сайта. Если у вас не будет ошибок сертификата — значит всё супер

Источник: https://ergoz.ru/kak-ustanovit-ssl-sertifikat-na-svoy-veb-server/

Порядок установки SSL сертификата (Apache)

Как установить SSL сертификат: пошаговая инструкция. Установка SSL в ISPmanager. Установка SSL для Apache

SSL-сертификаты применяются для обеспечения безопасного соединения и передачи данных в зашифрованном виде.

Сертификаты выдаются сертификационными центрами и представляют собой файл сертификата, выпущенного для определенного доменного имени, и приватного ключа.

Также необходимы промежуточные сертификаты в случае если файлы, упомянутые ранее, были сгенерированы не корневым центром сертификации.

Также возможно использование сертификатов, сгенерированных самостоятельно на Linux сервере. Однако, браузер пользователя при доступе к сайту в этом случае будет выдавать предупреждение о недоверенном сертификате.

SSL сертификаты чаще всего устанавливаются на веб- и почтовые сервера. В рамках данного материала будет рассмотрена установка сертификата на веб-сервер Apache для обеспечения возможности работы сайта по защищенному протоколу https

Как установить ssl сертификат на сервер Apache:

1. Чтобы установить на сервер сертификат необходимо подключиться к нему по протоколу SSH от имени пользователя root;

2. Файлы сертификатов могут размещаться в любом каталоге, часто их размещают в  /etc/apache2/ssl.

Переходим в /etc/apache2 и создаем директорию

cd /etc/apache2

mkdir ssl

3.Создаем файлы сертификата, приватного ключа и промежуточного сертификата и помещаем в них содержимое аналогичных файлов, полученных от центра сертификации (или сгенерированных на сервере)

mcedit /etc/apache2/ssl/example.com.crt

Содержимое сертификата выглядит примерно следующим образом:

——BEGIN CERTIFICATE——
MIIFEDCCA/igAwIBAgISA+1wB7/BBdk7NHpfWRpapqMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzAxMjkwNjEwMDBaFw0x
NzA0MjkwNjEwMDBaMCExHzAdBgNVBAMTFnJlbW90ZS10ZWNoLXN1cHBvcnQucnUw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQChoT+eOaGZXNtkoPLe6BNJ
d2gQqeTP1n8n2GRcJE7gKgduglfs1YfvE3CtoMYEm6veKKvE8AGox0USUPuM8S
——END CERTIFICATE——

SHIFT+INS чтобы вставить содержимое
F2 чтобы сохранить
Выходим нажимая ESC

Аналогичным образом создаем файл приватного ключа

mcedit /etc/apache2/ssl/example.com.key

Пример содержимого файла:
——BEGIN PRIVATE KEY——
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQChoT+eOaGZXNtk
oPLe6BNJd2gQqeTP1n8n2GRcJE7gKgduglfs1YfvE3CtoMYEm6veKKvE8AGox0
USUPuM8SRDeo4kJ7tAaQC1Ss8B6Dj57EKTJ+Jw+m+SzJEyfs3inAmrwKhR1KjRUe
SzsEgsralTZSK1uvoxPaKTsqPshs5oK3ZeTwzIR+keHbQUkxNyhKEM4j+dOFrykb
NLkJDABDzknmjodTr6fEgA5D99AAj/aWxaaOch8NxLQS60EasgdGFhIBZ/xACNdM
zIP3mn5WValj5yBOeX61f2qy0jy8RcwHMJbiA3IEw6oVVi+iTO6kgHrwhULCWJ8T
——END PRIVATE KEY——

Добавляем промежуточный сертификат, подтверждающий корректность цепочки

mcedit /etc/apache2/ssl/intermediate.crt

Пример промежуточного сертификата:
——BEGIN CERTIFICATE——
MIIEkjCCA3qgAwIBAgIQCgQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
——END CERTIFICATE——

4. Что того чтобы работа веб-сервера по защищенному соединению необходимо, что был включен модуль apache2 SSL

Просмотреть включен ли модуль можно выполнив следующую команду:

apache2ctl -M | grep ssl

Если вывод не пустой — модуль активирован. Если в выводе ничего нет включаем модуль:

a2enmod ssl

После выполнения команды появляется сообщение «Enabling module ssl».

5. Переходим в каталог, в котором размещаются конфигурационные файлы сайтов — cd /etc/apache2/sites-available и находим конфигурационный файл сайта, подключение к которому по https настраиваем — в данном случае — example.com.conf

6. Создаем копию конфигурационного файла сайта и вносим в него коррективы

cp example.com.conf ssl-example.com.conf

6.1 В строке VirtualHost указываем порт по которому будет осуществляться подключение при работе по https — меняем 80 (значение для http) на 443

6.2 В качестве ServerName указываем имя сайта example.com

6.3 Приводим файл к следующему виду, указывая в нем полные пути к сертификату, приватному ключу и сертификату промежуточному SSLCertificateFile SSLCertificateKeyFile и SSLCACertificateFile

ServerAdmin info@example.com
ServerSignature On
ServerName example.com
AddDefaultCharset utf-8
CustomLog /var/log/apache2/logs/example.com/access.

log combined
LogLevel error
SuexecUserGroup user user
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/example.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/example.com.

key
SSLCACertificateFile /etc/apache2/ssl/intermediate.

crt
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2 SSLCompression off

SSLHonorCipherOrder on

DocumentRoot «/home/admin/example.com/www/»
……

7. Активируем сайт:

a2ensite ssl-example.com.conf

Фактически при выполнении команды создается символьная ссылка /etc/apache2/sites-availible/ssl-example.com.conf /etc/apache2/sites-enabled/

8. Перезапускаем веб-сервер для того чтобы изменения вступили в силу:

service apache2 restart

или (если сервис работает под runit)

sv t apache2

9. Проверяем статус

service apache2 status

или

sv s apache2

Если никаких ошибок не наблюдается — можно проверять доступность сайта по https. Также следует проверить корректность установки сертификата при помощи одного из онлайн-сервисов, предоставляющих подобную возможность.

На этом с вопросом о том, как установить SSL сертификат на сервер все.

Источник: https://server-gu.ru/ssl-server-installation/

Закон
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: