Webnames.ru Меню
Рус Eng
Поддержка: support@webnames.ru 8 (800) 100-40-22, +7 (495) 134-37-06

Документация по SSL сертификатам

Общие вопросы

Зачем нужен SSL-cертификат?

HTTP-протокол, по которому передается сейчас большинство html-страниц в сети Интернет, не может защитить соединение браузера c Вашим сервером от вторжения третьих лиц и утечки конфиденциальной информации. SSL-сертификат, установленный на Вашем сайте, позволит ему поддерживать соединения по протоколу HTTPS — защищенному протоколу передачи гипертекстовых данных.

Установка SSL-сертификата на Ваш сайт гарантирует:

  • Подлинность соответствия ресурса подписям в сертификате, что не может не сказаться на уровне доверия посетителей к Вашему сайту и к Вашей организации в целом;
  • Целостность передаваемой информации — на время передачи информации от сервера к браузеру гарантируется отсутствие изменений или потерь данных;
  • Конфиденциальность — за счет использования 256-разрядного шифрования данных информация, передаваемая между Вашим сервером и браузером посетителя, недоступна для просмотра и изменения посторонним лицам.

Какой сертификат подойдет мне?

Наша компания может предложить Вам несколько видов сертификатов:

  • FreeSSL ( 0 руб./месяц )
    Сертификат начального уровня. Предоставляется на один месяц для одного поддомена призван ознакомить потенциального заказчика с технологией SSL.
  • RapidSSL ( 1499 руб./год )
    Сертификат начального уровня. Данный сертификат предназначен только для шифрования, он не подтверждает бизнес-статус Вашей компании. Рекомендуем использовать данный сертификат только в том случае, если Вам необходима исключительно функция шифрования передаваемых данных, но не требуется подтверждения уровня Вашего бизнеса. Типичное использование: доступ к внутренним системам компании через каналы сети Интернет для сотрудников и партнеров; доступ к системам статистики.Не рекомендуется к использованию в системах электронной торговли (интернет-магазины и платные сервисы), общедоступных биллинговых системах. Активируется 1-2 рабочих дня. Срок заказа 1-6 лет.
  • True Business ID ( 5299 руб./год )
    Сертификаты премиум класса. Данный сертификат предназначен для шифрования и подтверждает высокий бизнес-статус Вашей компании. При выдаче сертификата Ваша компания будет проверена аттестационным центром. Данный сертификат является универсальным и рекомендуется для любых типов использования. Является прекрасным подтверждением уровня Вашего бизнеса. Активируется 1-2 рабочих дня. Срок заказа 1-5 лет.
  • QuickSSL Premium ( 5399 руб./год )
    Сертификат премиум класса. В отличии от предыдущего активация занимает нескольких минут. Срок заказа 1-6 лет.
  • RapidSSL WildCard ( 5899 руб./год )
    Сертификат премиум класса. Защищает соединение с любым количеством поддоменов, то есть сертификат для mydomain.com защищает xxx.mydomain.com, но не будет работать для xxx.yyy.mydomain.com. Срок заказа 1-6 лет.
  • True Business ID EV ( 8999 руб./год )
    True Business ID EV Сертификат премиум класса. True BusinessID сертификат EV требует наиболее тщательного процесса аутентификации личности, который выполняется для того, чтобы быть уверенным, что любая заверенная организация существует. Зеленая строка адреса, отображающая название организации и GeoTrust как удостоверяющий центр, составляющие,тяжелые для иммитации мошенниками подлинности. Эти два основных аспекта стандарта EV объединяются, чтобы создавать прочную защиту против "фишинг" мошенничества. Срок заказа 1-6 лет.

Какие файлы входят в комплект SSL-сертификата?

Для установки SSL-сертификата на Ваш сервер Вам понадобится 3 файла:
1. Сертификат центра сертификации ( root.crt );
2. Серверный сертификат ( your_domain_name.crt );
3. Файл ключа, который был создан для получения сертификата (в нашем примере это был your_domain_name.key ). Найти его можно в разделе «Мои домены и услуги» / «Мои домены и услуги» / «Управление сертификатом» (напротив заказанной услуги) портала webnames.ru.

Заказ SSL-сертификата

Как заказать сертификат?

Заказ сертификата происходит в несколько шагов:

  1. Необходимо заполнить анкету в разделе «Личный кабинет» / «Мои анкеты для SSL» портала www.webnames.ru

    Order_Step1
  2. До заказ услуги у Вас должен существовать и функционировать почтовый ящик, указанный в поле «Основной email» анкеты. Если этого ящика нет, то необходимо его создать и проверить работоспособность. На этот email будет отправлен запрос от компании выдающей сертификат с просьбой подтвердить его получение. Без него сертификат не может быть получен.

    Внимание! Если сертификат заказывается для поддомена www.your_domain_name.tld, то и ящик должен иметь вид admin@WWW.your_domain_name.tld, а не admin@your_domain_name.tld
  3. Начать оформление SSL сертификата можно из раздела «Хостинг и услуги» / «Сертификаты SSL»

    Order_Step3
  4. Внизу открывшейся страницы введите имя домена для которого нужно заказать сертификат и нажмите кнопку «Заказать».

    Order_Step4
  5. Выберите тип сертификата ( описание сертификатов можно найти здесь ) и поддомен для которого необходимо заказать сертификат и нажмите кнопку «Заказать».

    Order_Step5
  6. Заполните поля «Период» (время на которое будет заказан сертификат), «Анкета с необходимыми контактными данными», поставьте галочку напротив «Я соглашаюсь с условиями оказания услуг» и нажмите кнопку «Оплатить»

    Order_Step6
  7. В течение суток на почтовый ящик, указанный в анкете для сертификата будет прислано письмо с следующей темой «...SSL Certificate Request Confirmation». По ссылке в этом письме необходимо подтвердить Ваше желание получить SSL сертификат.

    Order_Step7
  8. В течение часа после подтверждения на контактный e-mail поступит письмо с темой «your_domain_name SSL Order: order_id Complete». В этом письме будет 2 SSL сертификата «Web Server CERTIFICATE» и «INTERMEDIATE CA:». Web Server CERTIFICATE нужно сохранить ( включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) в отдельный файл с именем your_domain_name.crt — это серверный сертификат, а INTERMEDIATE CA нужно сохранить( так же включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) с именем root.crt — это сертификат центра сертификации. Серверный сертификат ни в коем случае не должен попасть в руки злоумышленников. В случае если сертификат был получен злоумышленником сертификат необходимо аннулировать и заказать новый. После того как сертификаты будут сохранены письмо, в целях безопасности, необходимо удалить.
Установка на сервер

Установка SSL сертификата на Microsoft IIS 7

  1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.
  2. Нажмите на имени сервера.
  3. В центральном меню откройте «Server Certificates» в разделе «Security».

    MS7_3
  4. Далее из меню «Actions» в правой части окна нажмите на «Complete Certificate Request». Откроется окно мастера Complete Certificate Request.

    MS7_4
  5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.

    MS7_5
  6. Нажмите «ОК» и сертификат будет установлен на сервер.
  7. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.
  8. В разделе Sites выберите сайт, для которого оформлялся сертификат.
  9. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.

    MS7_9
  10. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.

    MS7_9
  11. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).

    MS7_9
  12. Нажмите «ОК».

    MS7_9
  13. Ваш сертификат установлен и сайт будет работать через защищенное соединение.

Установка SSL-сертификата на Microsoft IIS 5/6

  1. Зайдите в Панель управления. Откройте Internet Services Manager. Нажмите правой кнопкой на Default Website или веб-сайт, для которого создавался запрос и выберите «Properties». Сертификат может быть установлен лишь на тот сайт, для которого создавался запрос (CSR).

    MS5_1
  2. Выберите вкладку Directory Security. Нажмите на кнопку «Server Certificate...». Нажмите «Далее».

    MS5_2
  3. Выберите Process the pending request and install the certificate и нажмите «Далее».

    MS5_2
  4. Нажмите «Browse». Найдите your_domain_name.cer, потом нажмите «Далее». Следуйте последующим шагам мастера до завершения.

Установка SSL-сертификата на Exchange 2007

  1. Загрузите и переименуйте ваш сертификат. Он должен называться your_domain_name.cer.
  2. Скопируйте your_domain_name.cer на диск С:\ вашего Exchange сервера.
  3. Откройте Exchange Management Shell. Для этого нажмите Пуск - Программы - Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
  4. Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate вместе (обе команды в одной строке, разделяя чертой):
    [PS] C:\>Import-ExchangeCertificate -Path C:\your_domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
    Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP. Чтобы отключить сертификат, установите параметр "None".
  5. Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.
    [PS] C:\> Get-ExchangeCertificate -DomainName your.domain.name
    Thumbprint
    ----------
    136849A2963709E2753214BED76C7D6DB1E4A270
    Services
    ----------
    SIP.W
    Subject
    ----------
    CN=your.domain.name
    [PS] C:\>
    В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).
  6. Если ваш сертификат не правильно включен, вы можете перезапустить команду Enable-ExchangeCertificate со вставкой отпечатка аргумента вашего сертификата, как например:
    [PS]C:\>Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
  7. Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync, или Outlook.
    Если вы используете ISA 2004 или ISA 2006 - надо перезагрузить систему. Некоторые пользователи сообщают, что сервисы ISA не хотят отправлять промежуточный сертификат, пока не будет выполнена перезагрузка.

Установка SSL-сертификата на Exchange 2010

  1. Скопируйте ваш сертификат на Exchange сервер.
  2. Запустите консоль управления Exchange следующим образом: Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
  3. Нажмите «Manage Databases» и далее «Server configuration».
  4. Выберите ваш сертификат из меню в центре окна, затем нажмите на «Complete Pending Request» в меню «Actions».
  5. Откройте файл вашего сертификата, после нажмите Open > Complete
  6. Довольно часто Exchange 2010 выдает сообщение об ошибке, начинающееся фразой «The source data is corrupted or not properly Base64 encoded.» Игнорируйте данную ошибку.
  7. Далее, для того, чтобы начать использовать сертификат, вернитесь к консоли управления Exchange и нажмите «Assign Services to Certificate.»
  8. Выберите ваш сервер из списка, нажмите «Next».
  9. Выберите сервисы, которые должны быть защищены сертификатом, нажмите Next > Assign > Finish.
  10. Ваш сертификат теперь установлен и готов к использованию на Exchange.

Установка SSL-сертификата на Courier IMAP

  1. Скопируйте ваш сертификат в новый файл вместе с ключом.Содержимое должно выглядеть так:
    -----BEGIN RSA PRIVATE KEY-----
          (your_private.key)
    ------END RSA PRIVATE KEY------
    -------BEGIN CERTIFICATE-------
         (your_domain_name.crt)
    --------END CERTIFICATE--------
                
    Убедитесь, что между ключом и сертификатом нет пустых строк!
  2. Сохраните сертификат с секретным ключом, как yourdomain_cert_key.pem в подходящем месте на сервере.
  3. Скопируйте файл корневого сертификата root.crt на сервер.
  4. Чтобы обеспечить безопасность IMAP - найдите и откройте файл imapd-ssl (обычно он находится в /usr/lib/courier-imap/ и т.д./).
  5. Добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
                
    Убедитесь, так же, что расположенная ниже строка присутствует и корректна:
    - TLS_PROTOCOL=SSL3
  6. Для обеспечения безопасности POP3 найдите и откройте файл pop3d-ssl (обычно он находится /usr/lib/courier-imap/ и т.д./) и добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
                
  7. Убедитесь, что файл yourdomain_cert_key.pem доступен только для чтения.
  8. Перезагрузите ваш сервер.

Установка SSL-сертификата на Apache

  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер.
  2. Откройте файл конфигурации Apache для редактирования блока «VirtualHost». В зависимости от особенностей Вашего сервера этот файл Вы можете найти одним из следующих путей: /etc/httpd/httpd.conf, /etc/httpd/vhosts.d/httpd.conf, /etc/httpd/sites/httpd.conf или /etc/httpd/ssl.conf. Более подробно данную информацию Вы можете уточнить Вашего хостинг-провайдера.
  3. Отредактируйте блок «VirtualHost», добавив в него следующие строки:
    SSLEngine on
    SSLCertificateFile /path/to/your_domain_name.crt
    SSLCertificateKeyFile /path/to/your_private.key
    SSLCertificateChainFile /path/to/root.crt
                
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, Вам необходим виртуальный хост для каждого соединения. Поэтому создайте 2 блока «VirtualHost», лишь в один из которых включите SSL-директивы.
  5. Проверьте конфигурацию Apache до перезапуска командой:
     
    [root@server~]# apachectl configtest
                
  6. Перезапустите Apache.

Установка SSL-сертификата на Nginx

  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер в директорию /etc/ssl/.
  2. Объедините файлы your_domain_name.crt и root.crt в один, выполнив команду:
     
    [root@server~]# cat root.crt >> your_domain_name.crt
                
  3. Отредактируйте файл виртуального хоста Nginx, добавив в серверный модуль server {} следующие строки:
    listen 443;
    ssl on;
    ssl_certificate /etc/ssl/your_domain_name.crt;
    ssl_certificate_key /etc/ssl/your_domain_name.key;
                
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, то продублируйте серверный модуль файла перед добавлением директив и только в один из них добавьте новые строки.
  5. Перезагрузите сервер командой:
    [root@server~]#/etc/init.d/nginx restart
                
Русский English
Меню Webnames.ru
Служба поддержки: support@webnames.ru 8(800)100-40-22, +7(495)134-37-06