Документация ISPmanager Lite

Установка SSL-сертификата

Для установки сертификата потребуется:

  • Файл сертификата и цепочка сертификата.
  • Ключ сертификата. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.
  • Root доступ к серверу.

Где взять данные для установки SSL-сертификата?


Архив с данными для установки SSL-сертификата отправляется после выпуска сертификата на контактный e-mail, который вы указали при регистрации на сайте ispsystem.ru.

Также вы можете скачать архив в личном кабинете на сайте ispsystem.ru в разделе Товары - SSL сертификаты - кнопка Просмотр.

Где взять приватный ключ сертификата?


Если при заказе SSL сертификата вы не устанавливали галочку “Не сохранять ключ в системе”, то тогда ключ можно найти в личном кабинете в разделе SSL сертификаты - Просмотр.

Если же данную галочку установили, либо запрос CSR вы генерировали не на сайте ispsystem.ru, то приватный ключ должен быть у вас. Если по какой-то причине вы его не сохранили, либо потеряли, то сертификат необходимо будет перевыпускать с новым CSR запросом.

Как установить SSL-сертификат на VPS или выделенный сервер?

Установка SSL сертификата через панель управления ISPmanager

1. Зайдите в ISPmanager под пользователем, которому принадлежит домен. Войдя под root'ом это можно сделать так: ISPmanager - Пользователи - выделите пользователя - нажмите "Вход" (справа вверху кнопка с изображением лестницы и двери).

Не забудьте для пользователя включить возможность использования SSL (это можно сделать в разделе Пользователи - двойной клик по пользователю - вкладка "Доступ")

2. В разделе WWW - "SSL-сертификаты" - справа вверху кнопка "Создать". Укажите "Тип сертификата" - “Существующий” и заполните все поля:

Имя сертификата - имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -

Приватный ключ - укажите содержимое файла приватного ключа

Сертификат - укажите содержимое файла SSL-сертификата

Пароль - указывайте, если ключ сертификата зашифрован (обычно не требуется)

Цепочка сертификатов - Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат. В письме от центра сертификации обычно приходит архив, в котором есть два файла - сам сертификат и цепочка сертификата (файл с расширение .ca-bundle)

3. После успешного добавления сертификата в разделе "WWW домены" его можно включить для сайта (двойной клик - установить галочку "Повышенная безопасность SSL" - выбрать из списка нужный сертификат)

4. Детальная проверка установленного сертификата доступна по ссылкам: https://www.ssllabs.com/ssltest/analyze.html https://www.sslshopper.com/ssl-checker.html

Ручная установка SSL сертификата


Установка SSL-сертификата на Apache

Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:

# netstat -napt | grep 443

Для установки сертификата откройте конфигурационный файл Apache.

Debian - /etc/apache2/apache2.conf 
Centos - /etc/httpd/conf/httpd.conf.

Найдите VirtualHost вашего домена. Отредактируйте блок «VirtualHost», добавив в него следующие строки:

<VirtualHost 10.0.0.1:443> 
	DocumentRoot /var/www/user/data/www/domain.com 
	ServerName domain.com SSLEngine on 
	SSLCertificateFile /path/to/domain.crt 
	SSLCertificateKeyFile /path/to/domain.key 
	SSLCACertificateFile /path/to/ca.crt 
</VirtualHost>

Где domain.com — имя вашего домена.

10.0.0.1 — ip адрес, на котором находится домен.

/var/www/user/data/www/domain.com — путь до домашней директории вашего домена.

/path/to/domain.crt — файл, в котором находится сертификат.

/path/to/domain.key — файл, в котором находится ключ сертификата.

/path/to/ca.crt - файл корневого сертификата.


Перезапустите Apache командой

apachectl restart
или
apache2ctl restart

Установка SSL-сертификата на Nginx

Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

1. Для начала вам необходимо объединить 3 сертификата (сам SSL-сертификат, промежуточный и корневой сертификаты) в один файл. Для этого создайте на локальном ПК новый текстовый документ с именем your_domain.crt, например, при помощи блокнота.

Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь такой вид:

-----BEGIN CERTIFICATE----- 
#Ваш сертификат# 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
#Промежуточный сертификат# 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
#Корневой сертификат# 
-----END CERTIFICATE-----

Обратите внимание!

Между сертификатами нет пустых строк

Данные сертификаты вы можете найти в электронном сообщении, отправленным на ваш контактный e-mail после выпуска сертификата. Также можете скачать их вместе с основным сертификатом в личном кабинете на сайте ispsystem.ru

2. Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата;

3. Загрузите файл your_domain.crt и приватный ключ сертификата your_domain.key на сервер, в директорию /etc/ssl/. Директория может быть и любой другой;

4. Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, добавив следующие строки:

server{ 
listen 443; 
ssl on; 
ssl_certificate /etc/ssl/your_domain.crt; 
ssl_certificate_key /etc/ssl/your_domain.key; 
server_name your.domain.com;

/etc/ssl/your_domain.crt и /etc/ssl/your_domain.key — пути до загруженных вами файлов.

Если необходимо, чтобы сайт работал и с защищенным соединением (https:// ) и с незащищенным (http:// ), вам необходимо иметь две секции server{} для каждого типа соединения: для этого создайте копию секции server{} и оставьте её без изменения, а вторую отредактируйте согласно коду выше;

5. Чтобы изменения вступили в силу, перезагрузите сервер Nginx командой:

/etc/init.d/nginx restart