Как установить SSL-сертификат на VPS?

После получения файла с сертификатом необходимо настроить веб-сервер следующим образом:

Если вы используете Apache, то необходимо добавить в файл конфигурации нужного xоста:

 

<VirtualHost 192.168.1.1:443>

SSLEngine on

SSLCipherSuite  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;

SSLCertificateFile newcert.crt

SSLCertificateKeyFile key_name.key

 

** 192.168.1.1 — указан для примера. В вашем файле конфигурации должен фигурировать ip-адрес вашего сервера.

 

Если на вашем сервере фронтенда используется Nginx, то необходимо выполнить следующие действия:

 

Создайте файл параметров Diffie-Hellman:

 

openssl dhparam -out 2048

 

Файл может генерироваться долго.

 

Также необходимо добавить в конфигурационный файл nginx для вашего сайта следующее:

 

http {

 

    ssl_session_cache shared:SSL:50m;

    add_header X-Content-Type-Options nosniff;

    add_header X-XSS-Protection "1; mode=block";

 

    server {

        listen 80;

        server_name domain.ltd;

        #Редирект на версию сайта с https

        return 301 https://$server_name$request_uri;

    }

 

    server {

 

        ssl on;

 

        ssl_certificate /domain.crt;

        ssl_certificate_key /domain_key.key;

        ssl_dhparam  /etc/nginx/certs/dhparam.pem;

 

        ssl_session_timeout 24h;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;

        ssl_prefer_server_ciphers   on;

            add_header Strict-Transport-Security "max-age=31536000";

 

    }   

}

 

Далее проверьте результат работы сайтов в разных браузерах. Если в браузере нет корневых сертификатов провайдеров или они устарели, то их необходимо добавить в файл newcert.crt, после сертификата файла. Получить их можно на сайте удостоверяющего центра, например, комодо или геотраст:

 

https://www.geotrust.com/resources/root-certificates/

https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/

 

Обращаем ваше внимание, что указанная выше конфигурация не будет работать в таком программном обеспечении, как Windows XP, IE 6, IE 8 и более ранних.

 

<h2>Установка SSL в ISP Manager</h2>

1. Подключитесь к контрольной панели ISPmanager, используя логин и пароль пользователя, которому принадлежит защищаемый домен.

При подключении от root-пользователя раздел SSL будет недоступен.

 

2. Выберите пункт «SSL-сертификаты», расположенный в разделе «World Wide Web».

 

3. В открывшейся странице нажмите на кнопку «Создать» (New) SSL in ISPmanager Lite

 

4. В результате откроется форма для создания сертификата. В пункте «Тип сертификата» (Certificate type) выберите «Существующий» (Existing).

 

5. Заполните пустые поля необходимой информацией:

 

Имя сертификата (Name) – доменное имя, на которое заказывался SSL-сертификат.

Ключ (Certificate key)- содержимое приватного (RSA) ключа.

Сертификат (Certificate) – содержимое сертификата.

Пароль (Password) – пароль необходимо указывать, если вы собираетесь добавить сертификат с зашифрованным ключом.

Цепочка сертификатов (Certificates chain) - цепочка сертификатов (ca_bundle), которыми подписан данный сертификат. Обычно данная цепочка приходит в письме вместе с сертификатом. В ином случае скачать данную цепочку возможно на официальном сайте Центра сертификации, который выпускал SSL-сертификат.

 

6. Для активации сертификата его необходимо подключить к WWW-домену. Для этого перейдите в раздел «WWW-домены» и выберите данный сертификат в поле «SSL-сертификаты».

 

Проверить корректно ли установлен сертификат (в правильном порядке установлены промежуточные сертификаты)  можно с помощью сервиса https://www.sslshopper.com/SSL-CHECKER.HTML

 

Проверить рейтинг сертификата можно через сервис https://www.ssllabs.com/ssltest/