Как установить SSL-сертификат: инструкция и важные нюансы, о которых рассказывают не везде

SSL-сертификат — обязательный атрибут любого коммерческого сайта. Без него многие пользователи просто не смогут попасть на ваш веб-ресурс т.к. браузер будет «ругаться», предупреждая, что «подключение не защищено и может быть небезопасным», всячески препятствуя загрузке такого сайта. Будет невозможно организовать прием платежей онлайн (платежные сервисы откажут в подключении). Скорее всего возникнут проблемы с SEO-продвижением.

Мы в GMHOST подготовили инструкцию по установке разных видов SSL-сертификатов. Чтобы установить SSL-сертификат, его надо купить

Это делается напрямую в центре сертификации (GeoTrust, Thawte, Symantec, Comodo, RapidSSL, Global Sign и пр.) или у посредника. У нас в GMHOST можно купить и подключить сертификат в несколько кликов. Наши специалисты помогут выбрать и настроить подходящий вариант. Предлагаем разные способы оплаты.

В зависимости от специфики сайта и ваших пожеланий можно выбрать один из вариантов:

• Сертификат с проверкой домена (Domain validation, DV).
• С проверкой организации (Organization validation, OV).
• С расширенной проверкой (Extended validation, EV).

Подробнее об их особенностях — в статье в нашем блоге. Механизм установки для всех трех разновидностей един. Он включает создание запроса в центр сертификации, приобретение SSL, установку, настройку и перенаправление трафика с HTTP на HTTPS. Давайте рассмотрим все эти этапы.

Выпуск SSL начинается с создания SCR запроса

Чтобы центр сертификации выпустил сертификат, требуется сформировать так называемый SCR-запрос. В него в зашифрованном виде заносится информация о покупателе (физическом лице или компании). Также в составе SCR-запроса содержится приватный ключ для подписи сертификата.

Создать удобнее всего через специальные онлайн-сервисы или панели управления хостингом. Принцип в обоих случаях одинаков — заполняются поля со сведениями о покупателе, и система формирует запрос, который отправляется в центр сертификации.

Например у нас в хостинге GMHOST с панелью управления ISPmanager этот процесс выглядит так (в других панелях все делается по аналогии):

• Зайдите в раздел панели управления WWW->SSL-сертификаты.
• Кликните по ярлыку «Запросы (SCR)».

• В появившемся окне кликните по кнопке «Создать». Появится форма для внесения данных о заказчике. Заполните поля и нажмите Ок.

Значение полей понятно, главное — не ошибиться в написании при вводе информации. Есть критически важный момент — адрес электронной почты. Допускается использовать только e-mail на вашем домене. Почтовые ящики из других систем не подходят. При этом допустимы 5 вариантов имен почтовых ящиков: [email protected], [email protected], administrator@…, admin@ либо webmaster@. У большинства хостеров при вводе в поле e-mail неверного значение появится ошибка. Но все равно знать об этом обязательном требовании надо. Мало ли каким сервисом для генерации SCR вы решите воспользоваться (мы в GMhost рекомендуем делать это через панель управления хостингом).

В результате генерации вы получите текст запроса и приватный ключ. Эти сведения требуются для покупки.

Покупка SSL-сертификата

До оплаты или после нее (в зависимости от продавца) требуется заполнить форму запроса на подпись сертификата. Здесь выберите «Ввод имеющегося SCR» а поле для запроса вставьте текст, скопированный из поля «Текст запроса SSL-сертификата», сформированный на предыдущем шаге.

Содержимое поля копируется в полном объеме, начиная с ——BEGIN CERTIFICATE REQUEST——, заканчивая ——END CERTIFICATE REQUEST——, включительно.

В следующей форме вводятся данные покупателя (физического лица или компании), почта, срок действия.

Подтверждение владения доменом

После оформления заявки на выпуск требуется подтвердить владение доменом. Сделать это можно:

• По ссылке в e-mail. На почту, указанную при формировании запроса, приходит ссылка. Для подтверждения нужно перейти по ней.
• По TXT-файлу. Центр сертификации отправляет txt-файл, который нужно разместить в корневой директории сайта.
•  Добавив txt-запись в конфигурацию DNS-своего домена (подробная инструкция есть в нашем блоге).
• Добавив мета-тег в код главной страницы web-ресурса.

Выбор способа зависит от центра сертификации и ваших предпочтений.

Замечание для покупателей OV и EV-сертификатов

На углубленную проверку компании требуется некоторое время. Поэтому письмо с SSL-сертификатом и цепочкой придет не сразу. Вам еще предстоит предоставить центру сертификации документы, которые он запросит, и только после этого сертификат будет выпущен. Как правило, документы предоставляются в электронном виде (сканы с печатями). Некоторые центры сертификации используют для проверки данные из общедоступных источников (базы налоговой, реестра юридических лиц и пр.).

После всех проверок центр сертификации пришлет на указанную вами почту письмо с файлом, в котором содержиться информация о вашем SSL, и цепочку сертификатов. Сохраните их в надежном месте. Эти сведения понадобятся на следующих этапах.

Как установить SSL-сертификат на сайт

Перейдите в раздел WWW->SSL-сертификаты. Нажмите кнопку «Создать». В появившемся окне поставьте отметку напротив пункта «Существующий» и нажмите «Далее».

Появится форма. Для заполнения. В поле

введите имя, которое указали при создании SCR-запроса. Здесь

укажите текст из файла c SSL-сертификатом, который прислал на почту регистратор.

В поле для ключа

вставьте текст из раздела «Проверочный ключ запроса SSL-сертификата» из сформированного ранее SCR-запроса.
Текст вставляется полностью, начиная с ——BEGIN RSA PRIVATE KEY——, заканчивая ——END RSA PRIVATE KEY——, включительно.

Сюда вставьте цепочку из письма, присланного на e-mail центром сертификации.

Готово. SSL-сертификат подключен. Но это не все. Его еще нужно активировать — «привязать» к домену.

Активация установленного SSL

Активация происходит через панель управления. Для привязки установленного на хостинг SSL-сертификата к домену перейдите в раздел WWW->WWW-домены и кликните по нужному. Появится форма для редактирования сведений о домене. Менять в ней ничего не нужно. Поставьте галочку напротив пункта SSL, а ниже в выпадающем списке выберите имя сертификата, который был добавлен на предыдущем шаге.

Готово. SSL-подключен, подключение к веб-ресурсу осуществляется по защищенному протоколу HTTPS.

Важный нюанс, который может коснуться вас

После подключения обязательно проверьте код веб-ресурса на наличие абсолютных ссылок на ресурсы (файлы стилей, скрипты, изображения и пр.) без SSL (когда ссылка начинается с http, а не https). Особенно это актуально, если веб-ресурс создавался при помощи онлайн-конструкторов и прочих сервисов). Абсолютные линки вида http://yoursite.xyz/page/ в большинстве случаев расцениваются поисковыми системами как небезопасные. Поэтому по возможности поменяйте все абсолютные линки с http на относительные или безопасные — с https.

Для WordPress и других популярных систем управления контентом есть специальные плагины. Благодаря им не придется копаться в коде и отлавливать все ссылки с абсолютными адресами — все делается в автоматическом режиме. Вам нужно будет только проконтролировать результат.

Редирект трафика с HTTP на HTTPS

Для повышения уровня защиты сайта после установки SSL-сертификата не помешает сделать редирект незащищенного соединения на защищенное (с HTTP на HTTPS). Для этого в корневой папке веб-ресурса нужно изменить файл .htaccess (или добавить, если его нету). Для редиректа в файле должны быть следующие строки:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Если сайт не новый и вы используете его для продаж, обратите внимание, что изменение протокола с http на https может привести к «выпадению» ресурса из индекса поисковых систем на некоторое время. В данном случае рекомендуем перед установкой сертификата на сайт согласовать все с вашими специалистами по продвижению.

Как установить бесплатный SSL-сертификат

Для некоторых веб-ресурсов будет достаточно бесплатного SSL-сертификата. Установить его также можно через панель управления хостингом. При этом нет необходимости обращаться в центр сертификации — все делается автоматически.

Рассмотрим процесс на примере бесплатного Let’s Encrypt (именно его предлагает большинство хостеров). Чтобы установить его на сайт:

• Перейдите в раздел WWW->SSL-сертификаты.
• В появившемся окне нажмите кнопку «Let’s Encrypt».
• Появится форма для выбора домена, который нужно защитить с помощью HTTPS. В выпадающем списке выберите сайт, для которого требуется выпустить бесплатный «Let’s Encrypt».
• Нажмите ОК, сертификат будет выпущен и автоматически установится.

Let’s Encrypt  как правило активируется на сразу, чего не происходит с обычными сертификатами . В некоторых случаях требуется подождать до 30 минут.

Можно пользоваться как есть, а можно изменить сведения по умолчанию. Кликните по созданному сертификату и нажмите кнопку «Информация». Появится форма, которую по умолчанию хостер заполняет идентично для всех клиентов, выпускающих бесплатный Let’s Encrypt. В нее можно внести сведения о себе (если web-ресурс принадлежит физическому лицу) или компании (если веб-ресурс корпоративный). Обязательно ли вносить свои данные? Нет. Но если вы хотите повысить уровень доверия пользователей, которые решат проверить сведения, содержащиеся в SSL-сертификате, рекомендуем сделать это.

Если устанавливаете Let’s Encrypt или другое бесплатное решение, имейте в виду, что в большинстве случаев срок действия ограничен 3 месяцами. Т.е. ежеквартально придется проделывать процедуру по его перевыпуску.

В качестве альтернативы Let’s Encrypt можно рассмотреть такие варианты, как CAsert, AlwaysOnSSL, CloudFlare.

Как проверить, что все установлено и работает нормально

Для проверки есть соответствующие сервисы в интернете, которые легко найти с помощью поисковика по запросам вида «проверить SSL». Если все ок, по результатам проверки сервис выдаст сообщение вроде

Или в подобном виде:

Как видите, справиться с установкой SSL-сертификата реально своими силами. Если же что-то не получается, обратитесь в службу поддержки своего хостера. Например, мы в GMHOST оказываем клиентам, размещающим сайты на наших виртуальном хостинге и VPS/VDS, бесплатную помощь в таких вопросах.