ispmanager 6 lite, pro, host

/
/
/
Установка SSL-сертификата

Установка SSL-сертификата

SSL — протокол шифрования передачи данных между пользовательским браузером и сайтом. Протокол позволяет безопасно обмениваться персональными данными с конкретным веб-ресурсом. 

Для шифрования данных используется пара уникальных цифровых ключей: публичный и приватный. Публичный видят все, а приватный — только владелец сайта. Принадлежность ключей к конкретному сайту подтверждает SSL-сертификат. Подлинность этих ключей подтверждает удостоверяющий центр, а выдачей сертификатов занимается центр сертификации.

Требования к установке

Для всех типов сертификатов необходимо, чтобы домен был направлен на сервер с панелью ispmanager.

Добавление SSL-сертификата

При добавлении SSL-сертификата используйте только латинские символы. 

В панели ispmanager существует 2 способа установки SSL-сертификатов: через разделы Сайты и SSL-сертификаты:

В этом разделе:

  • можно привязать сертификат к сайту, чтобы он сразу стал использоваться
  • доступен быстрый выпуск и переключение между сертификатами при редактировании сайта
  • удобно отслеживать статус сертификата для каждого конкретного сайта

В этом разделе доступно создавать, хранить, просматривать, удалять, продлевать и заменять сертификаты для любых сайтов.

Для добавления сертификата отдельно от сайта:

  1. Авторизуйтесь в ispmanager под учетной записью уровня пользователь или выше.
  2. Перейдите в раздел SSL-сертификаты.
  3. На панели инструментов нажмите Добавить сертификат.
  4. Выберите подходящий вариант:
  5. Заполните данные.
  6. Сохраните изменения.

Чтобы сертификат начал действовать для сайта, установите его в настройках.

Типы SSL-сертификатов

Let`s Encrypt

Подробнее о Let`s Encrypt и нюансах его настройки — в статье Сертификаты Let`s Encrypt.

Самоподписанный

Самоподписанный — бесплатный сертификат, который создается и подписывается на самом сервере. У такого сертификата нет стороннего доверенного центра, который подтвердил бы его подлинность. Подобный сертификат не «вызывает доверие» браузеров. Действует 1 год со дня создания и автоматически продлевается по окончании срока. Подходит для использования на локальном или тестовом сервере.

Для создания сертификата заполните обязательные поля:

Существующий

Существующий — сертификат, который приобрели в центре сертификации. Имеет полное доверие браузеров. Подходит для любых коммерческих, корпоративных или государственных порталов. Срок действия зависит от самого сертификата.

При добавлении сертификата заполните значения в панели:

  • Имя пользователя — выберите пользователя в ispmanager, для которого создается SSL. Опция недоступна для пользователей.
  • SSL-сертификат — укажите содержимое сертификата домена в формате PEM (.crt).
  • Ключ SSL-сертификата — укажите ключ сертификата в формате PEM (.key).

  • Цепочка SSL-сертификатов — укажите цикл сертификатов в формате PEM (.ca-bundle). Если центр сертификации не предоставил цепочку сертификатов, сформируйте её самостоятельно. 

    Как создать цепочку сертификатов

    Например, центр сертификации предоставил файлы:

    • domain.crt — сертификат домена.
    • intermediate_crt3.crt — промежуточный сертификат 3.
    • intermediate_crt2.crt — промежуточный сертификат 2.
    • intermediate_crt1.crt — промежуточный сертификат 1.
    • ca_root.crt — корневой сертификат.

    Для создания цепочки сертификатов не используйте сертификат домена.

    Для формирования цикла сертификатов:

    1. Откройте файлы в текстовом редакторе.
    2. Создайте новый файл с расширением .ca-bundle.
    3. Скопируйте в созданный файл содержимое каждого из файлов в последовательности:
      • промежуточный сертификат 3.
      • промежуточный сертификат 2.
      • промежуточный сертификат 1.
      • корневой сертификат.
    4. Сохраните изменения.
    5. Загрузите цепочку сертификатов в ispmanager.

    Чтобы проверить корректность формирования цепочки доверия, подключитесь к серверу по SSH и выполните команду:

    openssl s_client -connect ВАШ_ДОМЕН:443 -servername ВАШ_ДОМЕН

    Если цепочка доверия настроена корректно, в выводе будет строка Verify return code: 0 (ok).

    Если центр сертификации предоставил файлы в другом формате — измените формат файлов вручную.

    Как изменить формат файла
    1. Откройте присланный файл в текстовом редакторе.
    2. В редакторе нажмите ФайлСохранить как... или используйте комбинацию клавиш Ctrl + Shift + S.
    3. При сохранении укажите имя файла и необходимое расширение.

    При необходимости повторите действия для других файлов. 

    Конвертируйте файлы в формат PEM через команду:

    openssl ФОРМАТ_СТАРОГО_ФАЙЛА -print_certs -in СТАРЫЙ_ФАЙЛ.РАСШИРЕНИЕ -out НОВЫЙ_ФАЙЛ.РАСШИРЕНИЕ

    Пример:

    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.crt

Проверка работы SSL-сертификата

После добавления SSL рекомендуем проверить работу сертификата одним из способов:

  • в разделе Сайты для домена в столбце SSL установился знак
  • на странице сайта в адресной строке URL начнется с https://
  • на странице сайта рядом с URL появился значок замочка или щита

Технические подробности

Файлы SSL-сертификатов

По умолчанию все добавленные для пользователя SSL-сертификаты помещаются в директорию: /var/www/httpd-cert/ИМЯ_ПОЛЬЗОВАТЕЛЯ

От типа выпущенного сертификата меняется его имя в панели:

 Для Let`s EncryptДля существующего и самоподписанного
ШаблонНАЗВАНИЕ_СЕРТИФИКАТА_le_НОМЕРНАЗВАНИЕ_СЕРТИФИКАТА_НОМЕР
Примерexample-crt_le1example-crt_1

Логирование SSL-сертификатов

Из всех типов сертификатов работает логирование для Let`s Encrypt.

Для самоподписанного и существующего сертификатов записывается общая информация о создании и добавлении в директории:

  • /usr/local/mgr5/etc/ispmgr.conf — основной конфигурационный файл ispmanager
  • /usr/local/mgr5/var/ispmgr.log — основной лог ispmanager
В этой статье