Документация по SSL сертификатам

1. Общие вопросы
1.1. Зачем нужен SSL-cертификат?
1.2. Что такое CSR?
1.3. Можно ли заказать freeSSL для поддомена (не www)?
1.4. Можно ли заказать на несколько лет (доступно на 3, что будет через год)?
1.5. Как установить SSL на хостинге Webnames.ru?
1.6. Как установить SSL на чужом хостинге?
1.7. В чем различие всех сертификатов?
1.8. В чем различие сертификационных центров?
1.9. Какой сертификат нужен для доступа по https без подтверждения?
2. Заказ SSL-сертификата
2.1. Как заказать SSL-сертификат?
3. Установка на сервер
3.1. Установка SSL сертификата на Microsoft IIS 7
3.2. Установка SSL-сертификата на Microsoft IIS 5/6
3.3. Установка SSL-сертификата на Exchange 2007
3.4. Установка SSL-сертификата на Exchange 2010
3.5. Установка SSL-сертификата на Courier IMAP
3.6. Установка SSL-сертификата на Apache
3.7. Установка SSL-сертификата на Nginx
Общие вопросы

Зачем нужен SSL-cертификат?

HTTP-протокол, по которому передается сейчас большинство html-страниц в сети Интернет, не может защитить соединение браузера c Вашим сервером от вторжения третьих лиц и утечки конфиденциальной информации. SSL-сертификат, установленный на Вашем сайте, позволит ему поддерживать соединения по протоколу HTTPS — защищенному протоколу передачи гипертекстовых данных.

Установка SSL-сертификата на Ваш сайт гарантирует:

  • Подлинность соответствия ресурса подписям в сертификате, что не может не сказаться на уровне доверия посетителей к Вашему сайту и к Вашей организации в целом;
  • Целостность передаваемой информации — на время передачи информации от сервера к браузеру гарантируется отсутствие изменений или потерь данных;
  • Конфиденциальность — за счет использования 256-разрядного шифрования данных информация, передаваемая между Вашим сервером и браузером посетителя, недоступна для просмотра и изменения посторонним лицам.

Что такое CSR?

CSR (Certificate Signing Request) - запрос на получение сертификата. Это файл, который содержит в себе небольшой фрагмент зашифрованных данных о домене и владеющей доменом организации. Также в этом файле хранится открытый ключ, используемый при шифровании данных. Обычно при заказе сертификата CSR генерируется автоматически, используя данные из анкеты для сертфиката. При необходимости вы можете выбрать опцию "Свой CSR". В этом случае вам потребуется самостоятельно сгенерировать CSR и загрузить его в нашу систему после оплаты заказа.

Можно ли заказать freeSSL для поддомена (не www)?

Нет, бесплатный сертификат можно заказать только для домена 2 уровня.

Можно ли заказать на несколько лет (доступно на 3, что будет через год)?

Некоторые типы сертификатов можно заказать сразу на несколько лет. Это удобно, т.к. не требуется проводить ежегодные работы по перевыпуску и переустановке сертификата на веб-сервер. Максимально возможный срок заказа будет виден при оформлении заказа на сертификат.

Как установить SSL на хостинге Webnames.ru?

Сертификат устанавливается вручную нашей службой поддержки. Для установки сертификата необходимо:

  1. Подключить к хостингу услугу выделенного IP-адреса (предоставляется бесплатно на тарифе "Эксперт", на других тарифах - за отдельную плату).
  2. Загрузить в любой каталог на сервере файл сертификата (.crt), незашифрованный секретный ключ без пароля (.nokey) и, желательно, intermediate сертификат (.ca-bundle).
  3. Сообщить в службу поддержки о необходимости установить сертификат, указав, в каком каталоге размещены файлы.

Как установить SSL на чужом хостинге?

Для установки сертификата на стороннем хостинге вам необходимо обратиться к своему хостинг-провайдеру.

В чем различие всех сертификатов?

Ключевые различия сертификатов:

  • Возможность работы с кириллическими доменами (например, для доменов .рус).
  • Доступность для частных (физических) лиц. Некоторые типы сертификатов доступны только для организаций.
  • Сертификаты типа Wildcard защищают не только сам домен, но и все возможные субдомены на его базе.
  • Сертификаты типа EV (Extended Validation) подтверждают факт принадлежности доменного имени конкретной организации. Такой сертификат отображается в браузере пользователя как "Зеленая адресная строка", это сразу заметно пользователю и в итоге это вызывает больше доверия к сайту. Выпуск такого сертификата требует прохождения дополнительных проверок организации-заказчика.

В чем различие сертификационных центров?

Бренд сертификационного центра влияет на цену сертификата. Простой сертификат от Symantec при прочих равных всегда будет дороже, чем, например, аналогичный сертификат от Comodo, хотя практической разницы между ними может не быть. Некоторые сертификационные центры не выпускают сертификатов для кириллических доменов. Например, если вам нужен простой и дешевый сертификат для кириллического домена, то выбор ограничится только сертификатами от Thawte.

Какой сертификат нужен для доступа по https без подтверждения?

Подойдёт любой простой сертификат. Например Geotrust RapidSSL или Comodo Essential SSL. Для кириллического домена - Thawte SSL123.

Заказ SSL-сертификата

Как заказать сертификат?

Заказ сертификата происходит в несколько шагов:

  1. Необходимо заполнить анкету в разделе «Кабинет» / «Мои анкеты для SSL» портала domains.webmoney.ru
  2. До заказа услуги у Вас должен существовать и функционировать почтовый ящик, указанный в поле «Основной email» анкеты. Если этого ящика нет, то необходимо его создать и проверить работоспособность. На этот email будет отправлен запрос от компании выдающей сертификат с просьбой подтвердить его получение. Без него сертификат не может быть получен.

    Внимание! Если сертификат заказывается для поддомена www.your_domain_name.tld, то и ящик должен иметь вид admin@WWW.your_domain_name.tld, а не admin@your_domain_name.tld
  3. Начать оформление SSL сертификата можно из раздела «Хостинг и услуги» / «Сертификаты SSL»
  4. На открывшейся странице выберите тип сертификата и нажмите «Купить».

    Order_Step4
  5. Укажите имя домена, для которого необходим сертификат. Не ставьте флажок «Свой CSR», если Вы не знаете, что это такое. Нажмите «Заказать».

    Order_Step5
  6. Заполните поля «Период» (время на которое будет заказан сертификат), «Анкета с необходимыми контактными данными», выберите удобный способ оплаты, поставьте галочку напротив «Я соглашаюсь с условиями оказания услуг» и нажмите кнопку «Оплатить»

    Order_Step6
  7. В течение суток на почтовый ящик, указанный в анкете для сертификата будет прислано письмо от удостове­рящего центра с запросом о подтверждении издания сертификата. По ссылке в этом письме необходимо подтвердить Ваше желание получить SSL сертификат.
  8. В течение часа после подтверждения на контактный e-mail поступит письмо от удостоверяющего центра. В этом письме будет ссылка на архив с сертификатом. В архиве 2 SSL сертификата «Web Server CERTIFICATE» и «INTERMEDIATE CA:». Web Server CERTIFICATE нужно сохранить ( включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) в отдельный файл с именем your_domain_name.crt — это серверный сертификат, а INTERMEDIATE CA нужно сохранить(также включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) с именем root.crt — это сертификат центра сертификации. Серверный сертификат ни в коем случае не должен попасть в руки злоумышленников. В случае если сертификат был получен злоумышленником сертификат необходимо аннулировать и заказать новый. После того как сертификаты будут сохранены письмо, в целях безопасности, необходимо удалить.
Установка на сервер

Установка SSL сертификата на Microsoft IIS 7

  1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.
  2. Нажмите на имени сервера.
  3. В центральном меню откройте «Server Certificates» в разделе «Security».

    MS7_3
  4. Далее из меню «Actions» в правой части окна нажмите на «Complete Certificate Request». Откроется окно мастера Complete Certificate Request.

    MS7_4
  5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.

    MS7_5
  6. Нажмите «ОК» и сертификат будет установлен на сервер.
  7. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.
  8. В разделе Sites выберите сайт, для которого оформлялся сертификат.
  9. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.

    MS7_9
  10. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.

    MS7_9
  11. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).

    MS7_9
  12. Нажмите «ОК».

    MS7_9
  13. Ваш сертификат установлен и сайт будет работать через защищенное соединение.

Установка SSL-сертификата на Microsoft IIS 5/6

  1. Зайдите в Панель управления. Откройте Internet Services Manager. Нажмите правой кнопкой на Default Website или веб-сайт, для которого создавался запрос и выберите «Properties». Сертификат может быть установлен лишь на тот сайт, для которого создавался запрос (CSR).

    MS5_1
  2. Выберите вкладку Directory Security. Нажмите на кнопку «Server Certificate...». Нажмите «Далее».

    MS5_2
  3. Выберите Process the pending request and install the certificate и нажмите «Далее».

    MS5_2
  4. Нажмите «Browse». Найдите your_domain_name.cer, потом нажмите «Далее». Следуйте последующим шагам мастера до завершения.

Установка SSL-сертификата на Exchange 2007

  1. Загрузите и переименуйте ваш сертификат. Он должен называться your_domain_name.cer.
  2. Скопируйте your_domain_name.cer на диск С:\ вашего Exchange сервера.
  3. Откройте Exchange Management Shell. Для этого нажмите Пуск - Программы - Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
  4. Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate вместе (обе команды в одной строке, разделяя чертой):
    [PS] C:\>Import-ExchangeCertificate -Path C:\your_domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
    Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP. Чтобы отключить сертификат, установите параметр "None".
  5. Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.
    [PS] C:\> Get-ExchangeCertificate -DomainName your.domain.name
    Thumbprint
    ----------
    136849A2963709E2753214BED76C7D6DB1E4A270
    Services
    ----------
    SIP.W
    Subject
    ----------
    CN=your.domain.name
    [PS] C:\>
    В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).
  6. Если ваш сертификат не правильно включен, вы можете перезапустить команду Enable-ExchangeCertificate со вставкой отпечатка аргумента вашего сертификата, как например:
    [PS]C:\>Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
  7. Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync, или Outlook.
    Если вы используете ISA 2004 или ISA 2006 - надо перезагрузить систему. Некоторые пользователи сообщают, что сервисы ISA не хотят отправлять промежуточный сертификат, пока не будет выполнена перезагрузка.

Установка SSL-сертификата на Exchange 2010

  1. Скопируйте ваш сертификат на Exchange сервер.
  2. Запустите консоль управления Exchange следующим образом: Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
  3. Нажмите «Manage Databases» и далее «Server configuration».
  4. Выберите ваш сертификат из меню в центре окна, затем нажмите на «Complete Pending Request» в меню «Actions».
  5. Откройте файл вашего сертификата, после нажмите Open > Complete
  6. Довольно часто Exchange 2010 выдает сообщение об ошибке, начинающееся фразой «The source data is corrupted or not properly Base64 encoded.» Игнорируйте данную ошибку.
  7. Далее, для того, чтобы начать использовать сертификат, вернитесь к консоли управления Exchange и нажмите «Assign Services to Certificate.»
  8. Выберите ваш сервер из списка, нажмите «Next».
  9. Выберите сервисы, которые должны быть защищены сертификатом, нажмите Next > Assign > Finish.
  10. Ваш сертификат теперь установлен и готов к использованию на Exchange.

Установка SSL-сертификата на Courier IMAP

  1. Скопируйте ваш сертификат в новый файл вместе с ключом.Содержимое должно выглядеть так:
    -----BEGIN RSA PRIVATE KEY-----
          (your_private.key)
    ------END RSA PRIVATE KEY------
    -------BEGIN CERTIFICATE-------
         (your_domain_name.crt)
    --------END CERTIFICATE--------
                
    Убедитесь, что между ключом и сертификатом нет пустых строк!
  2. Сохраните сертификат с секретным ключом, как yourdomain_cert_key.pem в подходящем месте на сервере.
  3. Скопируйте файл корневого сертификата root.crt на сервер.
  4. Чтобы обеспечить безопасность IMAP - найдите и откройте файл imapd-ssl (обычно он находится в /usr/lib/courier-imap/ и т.д./).
  5. Добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
                
    Убедитесь, так же, что расположенная ниже строка присутствует и корректна:
    - TLS_PROTOCOL=SSL3
  6. Для обеспечения безопасности POP3 найдите и откройте файл pop3d-ssl (обычно он находится /usr/lib/courier-imap/ и т.д./) и добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
                
  7. Убедитесь, что файл yourdomain_cert_key.pem доступен только для чтения.
  8. Перезагрузите ваш сервер.

Установка SSL-сертификата на Apache

  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер.
  2. Откройте файл конфигурации Apache для редактирования блока «VirtualHost». В зависимости от особенностей Вашего сервера этот файл Вы можете найти одним из следующих путей: /etc/httpd/httpd.conf, /etc/httpd/vhosts.d/httpd.conf, /etc/httpd/sites/httpd.conf или /etc/httpd/ssl.conf. Более подробно данную информацию Вы можете уточнить Вашего хостинг-провайдера.
  3. Отредактируйте блок «VirtualHost», добавив в него следующие строки:
    SSLEngine on
    SSLCertificateFile /path/to/your_domain_name.crt
    SSLCertificateKeyFile /path/to/your_private.key
    SSLCertificateChainFile /path/to/root.crt
                
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, Вам необходим виртуальный хост для каждого соединения. Поэтому создайте 2 блока «VirtualHost», лишь в один из которых включите SSL-директивы.
  5. Проверьте конфигурацию Apache до перезапуска командой:
     
    [root@server~]# apachectl configtest
                
  6. Перезапустите Apache.

Установка SSL-сертификата на Nginx

  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер в директорию /etc/ssl/.
  2. Объедините файлы your_domain_name.crt и root.crt в один, выполнив команду:
     
    [root@server~]# cat root.crt >> your_domain_name.crt
                
  3. Отредактируйте файл виртуального хоста Nginx, добавив в серверный модуль server {} следующие строки:
    listen 443;
    ssl on;
    ssl_certificate /etc/ssl/your_domain_name.crt;
    ssl_certificate_key /etc/ssl/your_domain_name.key;
                
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, то продублируйте серверный модуль файла перед добавлением директив и только в один из них добавьте новые строки.
  5. Перезагрузите сервер командой:
    [root@server~]#/etc/init.d/nginx restart
                
Способы оплаты
  1. Перевод с кошелька WebMoney
  2. Оплата с помощью банковских карт
Наши преимущества
  1. Мгновенная регистрация
  2. Надежная авторизация через WMKeeper
  3. Удобная оплата прямым платежом