Как установить SSL-сертификат на VPS?
После получения файла с сертификатом необходимо настроить веб-сервер следующим образом:
Если вы используете Apache, то необходимо добавить в файл конфигурации нужного xоста:
<VirtualHost 192.168.1.1:443>
SSLEngine on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
SSLCertificateFile newcert.crt
SSLCertificateKeyFile key_name.key
** 192.168.1.1 — указан для примера. В вашем файле конфигурации должен фигурировать ip-адрес вашего сервера.
Если на вашем сервере фронтенда используется Nginx, то необходимо выполнить следующие действия:
Создайте файл параметров Diffie-Hellman:
openssl dhparam -out 2048
Файл может генерироваться долго.
Также необходимо добавить в конфигурационный файл nginx для вашего сайта следующее:
http {
ssl_session_cache shared:SSL:50m;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
server {
listen 80;
server_name domain.ltd;
#Редирект на версию сайта с https
return 301 https://$server_name$request_uri;
}
server {
ssl on;
ssl_certificate /domain.crt;
ssl_certificate_key /domain_key.key;
ssl_dhparam /etc/nginx/certs/dhparam.pem;
ssl_session_timeout 24h;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000";
}
}
Далее проверьте результат работы сайтов в разных браузерах. Если в браузере нет корневых сертификатов провайдеров или они устарели, то их необходимо добавить в файл newcert.crt, после сертификата файла. Получить их можно на сайте удостоверяющего центра, например, комодо или геотраст:
https://www.geotrust.com/resources/root-certificates/
https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/
Обращаем ваше внимание, что указанная выше конфигурация не будет работать в таком программном обеспечении, как Windows XP, IE 6, IE 8 и более ранних.
Установка SSL в ISP Manager
1. Подключитесь к контрольной панели ISPmanager, используя логин и пароль пользователя, которому принадлежит защищаемый домен.
При подключении от root-пользователя раздел SSL будет недоступен.
2. Выберите пункт «SSL-сертификаты», расположенный в разделе «World Wide Web».
3. В открывшейся странице нажмите на кнопку «Создать» (New) SSL in ISPmanager Lite
4. В результате откроется форма для создания сертификата. В пункте «Тип сертификата» (Certificate type) выберите «Существующий» (Existing).
5. Заполните пустые поля необходимой информацией:
Имя сертификата (Name) – доменное имя, на которое заказывался SSL-сертификат.
Ключ (Certificate key)- содержимое приватного (RSA) ключа.
Сертификат (Certificate) – содержимое сертификата.
Пароль (Password) – пароль необходимо указывать, если вы собираетесь добавить сертификат с зашифрованным ключом.
Цепочка сертификатов (Certificates chain) - цепочка сертификатов (ca_bundle), которыми подписан данный сертификат. Обычно данная цепочка приходит в письме вместе с сертификатом. В ином случае скачать данную цепочку возможно на официальном сайте Центра сертификации, который выпускал SSL-сертификат.
6. Для активации сертификата его необходимо подключить к WWW-домену. Для этого перейдите в раздел «WWW-домены» и выберите данный сертификат в поле «SSL-сертификаты».
Проверить корректно ли установлен сертификат (в правильном порядке установлены промежуточные сертификаты) можно с помощью сервиса https://www.sslshopper.com/SSL-CHECKER.HTML
Проверить рейтинг сертификата можно через сервис https://www.ssllabs.com/ssltest/
