SSL сертификаты
Категория:Виртуальный хостинг -> Панель управления
Категория:Виртуальный хостинг -> Инструкции -> Панель управления
Содержание
- Что такое SSL-сертификат?
- Зачем нужен выделенный ip-адрес для SSL-сертификатов?
- В чем отличие самоподписанного сертификата и сертификата, выпущенного центром сертификации?
- Как самостоятельно сгенерировать SSL-сертификат?
- Как привязать SSL-сертификат к сайту?
- Промежуточный (Intermediate) сертификат
- Как заставить сайт работать только по HTTPS
Что такое SSL-сертификат?
SSL – это технология, обеспечивающая безопасную передачу данных внутри сети. Использование SSL позволяет решить следующие задачи:
- целостность информации (гарантия того, что данные не были изменены в процессе передачи);
- подтверждение подлинности сторон, участвующих в диалоге;
- безопасность передачи данных (данные передаются по сети в зашифрованном виде)
В основе технологии SSL лежат криптографические алгоритмы, которые используют понятие публичного и приватного ключей. Таким образом SSL-сертификат – это комбинация, публичного и приватного ключей, выписанная на определенное доменное имя. Публичный и приватный ключи представляют собой обычные текстовые файлы. Наиболее часто технология SSL применяется для защищенной работы с сайтами. Например, вы можете сделать работу пользователей вашего электронного магазина более безопасной, если пользователи будут работать по протоколу https (то есть с использованием SSL-сертификатов).
Зачем нужен выделенный ip-адрес для SSL-сертификатов?
В начале работы по протоколу https браузер устанавливает защищенное соединение с Web-сервером. Только после установки защищенного соединения браузер может запросить страницу конкретного сайта по протоколу http. Для того, чтобы при запросе к сайту выдавался правильный SSL-сертификат (принадлежащий запрашиваемому домену), необходимо, чтобы данный сайт либо обслуживался на отдельном ip-адресе, либо на отдельном порту сервера. Мы предоставляем работу с SSL-сертификатами на основе выделенного ip-адреса.
В чем отличие самоподписанного сертификата и сертификата, выпущенного центром сертификации?
В случае, когда сертификат выпущен доверенным центром сертификации, клиент может проверить валидность этого сертификата у центра сертификации. Таким образом центр сертификации является третьим лицом, которое выступает гарантом подлинности сертификата сервера. Дополнительным плюсом является то, что браузеры при попытке зайти на сайт с сертификатом выпущенным доверенным центром сертификации, не будут выдавать предупреждение о том, что сертификат узла подписан неизвестным центром сертификации.
Как самостоятельно сгенерировать SSL-сертификат?
Для того, чтобы самостоятельно сгенерировать SSL-сертификат, необходимо:
- Зайти на сервер по протоколу SSH
- Выполнить последовательность команд:
$ openssl genrsa -out phuser.spb.ru.key 1024
Generating RSA private key, 1024 bit long modulus
………………++++++
……………………………………..++++++
e is 65537 (0×10001)
$ openssl req -new -key phuser.spb.ru.key -out phuser.spb.ru.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——-
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Saint-Petersburg
Locality Name (eg, city) []:Saint-Petersburg
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Peterhost.ru
Organizational Unit Name (eg, section) []:Virtual Hosting
Common Name (eg, YOUR name) []:PHuser
Email Address []:support@peterhost.ru
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
$ openssl x509 -req -days 365 -in phuser.spb.ru.csr -signkey phuser.spb.ru.key -out phuser.spb.ru.crt
Signature ok
subject=/C=RU/ST=Lenigradskaya/L=Saint-Petersburg/O=Peterhost.ru/OU=Virtual Hosting/CN=PHuser/emailAddress=support@peterhost.ru
Getting Private key
Данные, выделенные жирным необходимо изменить на корректные для вас.
После выполнения команд, в рабочей директории появится три файла:
- phuser.spb.ru.csr – запрос на сертификат
- phuser.spb.ru.crt – публичный ключ
- phuser.spb.ru.key – приватный ключ
Как привязать SSL-сертификат к сайту?
Для привязки SSL-сертификата к сайту необходимо зайти в панель управления, далее перейти в раздел «Управление» пункт Сайты. В настройках нужного сайта необходимо загрузить SSL-сертификат. Для этого скопировать содержимое crt файла в поле «Публичный ключ», а содержимое key файла в поле «Приватный ключ».
Промежуточный (Intermediate) сертификат
Иногда требуется добавить промежуточный сертификат. Для этого нужно вставить его текст сразу за текстом основного сертификата в поле «Публичный ключ».
Как заставить сайт работать только по HTTPS
В конфигурации, где фронт-эндом выступает сервер nginx, а бэк-эндом Apache, настроить сайт на работу только по защищённому протоколу HTTPS с помощью mod_rewrite можно, проверив наличие дополнительного заголовка «X-Request-Scheme».
Пример:
RewriteEngine On
RewriteCond %{HTTP:X-Request-Scheme} ^http$
RewriteRule ^(.*)$ https://ssl.aaa.bir.ru/$1 [R,L]
