Документация по SSL сертификатам

Заказ SSL-сертификата

Заказ сертификата происходит в несколько шагов:

  1. Необходимо заполнить анкету в разделе «Кабинет» / «Мои анкеты для SSL» портала www.webnames.ru

    Order_Step1

  2. До заказа услуги у Вас должен существовать и функционировать почтовый ящик, указанный в поле «Основной email» анкеты. Если этого ящика нет, то необходимо его создать и проверить работоспособность. На этот email будет отправлен запрос от компании выдающей сертификат с просьбой подтвердить его получение. Без него сертификат не может быть получен.

    Внимание! Если сертификат заказывается для поддомена www.your_domain_name.tld, то и ящик должен иметь вид admin@WWW.your_domain_name.tld, а не admin@your_domain_name.tld
  3. Начать оформление SSL сертификата можно из раздела «Хостинг и услуги» / «Сертификаты SSL»

    Order_Step3

  4. На открывшейся странице выберите тип сертификата и нажмите «Купить».

    Order_Step4

  5. Укажите имя домена, для которого необходим сертификат. Не ставьте флажок «Свой CSR», если Вы не знаете, что это такое. Нажмите «Заказать».

    Order_Step5

  6. Заполните поля «Период» (время на которое будет заказан сертификат), «Анкета с необходимыми контактными данными», выберите удобный способ оплаты, поставьте галочку напротив «Я соглашаюсь с условиями оказания услуг» и нажмите кнопку «Оплатить»

    Order_Step6

  7. В течение суток на почтовый ящик, указанный в анкете для сертификата будет прислано письмо от удостове­рящего центра с запросом о подтверждении издания сертификата. По ссылке в этом письме необходимо подтвердить Ваше желание получить SSL сертификат.
  8. В течение часа после подтверждения на контактный e-mail поступит письмо от удостоверяющего центра. В этом письме будет ссылка на архив с сертификатом. В архиве 2 SSL сертификата «Web Server CERTIFICATE» и «INTERMEDIATE CA:». Web Server CERTIFICATE нужно сохранить ( включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) в отдельный файл с именем your_domain_name.crt — это серверный сертификат, а INTERMEDIATE CA нужно сохранить(также включая строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE-----» ) с именем root.crt — это сертификат центра сертификации. Серверный сертификат ни в коем случае не должен попасть в руки злоумышленников. В случае если сертификат был получен злоумышленником сертификат необходимо аннулировать и заказать новый. После того как сертификаты будут сохранены письмо, в целях безопасности, необходимо удалить.

Установка SSL-сертификата на сервер

  1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.
  2. Нажмите на имени сервера.
  3. В центральном меню откройте «Server Certificates» в разделе «Security».

    MS7_3

  4. Далее из меню «Actions» в правой части окна нажмите на «Complete Certificate Request». Откроется окно мастера Complete Certificate Request.

    MS7_4

  5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.

    MS7_5

  6. Нажмите «ОК» и сертификат будет установлен на сервер.
  7. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.
  8. В разделе Sites выберите сайт, для которого оформлялся сертификат.
  9. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.

    MS7_9

  10. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.

    MS7_9

  11. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).

    MS7_9

  12. Нажмите «ОК».

    MS7_9

  13. Ваш сертификат установлен и сайт будет работать через защищенное соединение.
  1. Зайдите в Панель управления. Откройте Internet Services Manager. Нажмите правой кнопкой на Default Website или веб-сайт, для которого создавался запрос и выберите «Properties». Сертификат может быть установлен лишь на тот сайт, для которого создавался запрос (CSR).

    MS5_1

  2. Выберите вкладку Directory Security. Нажмите на кнопку «Server Certificate...». Нажмите «Далее».

    MS5_2

  3. Выберите Process the pending request and install the certificate и нажмите «Далее».

    MS5_2

  4. Нажмите «Browse». Найдите your_domain_name.cer, потом нажмите «Далее». Следуйте последующим шагам мастера до завершения.
  1. Загрузите и переименуйте ваш сертификат. Он должен называться your_domain_name.cer.
  2. Скопируйте your_domain_name.cer на диск С:\ вашего Exchange сервера.
  3. Откройте Exchange Management Shell. Для этого нажмите Пуск - Программы - Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
  4. Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate вместе (обе команды в одной строке, разделяя чертой):
    [PS] C:\>Import-ExchangeCertificate -Path C:\your_domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
    Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP. Чтобы отключить сертификат, установите параметр "None".
  5. Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.
    [PS] C:\> Get-ExchangeCertificate -DomainName your.domain.name
    Thumbprint                                 Services     Subject
    ----------                                 ----------   ----------
    136849A2963709E2753214BED76C7D6DB1E4A270   SIP.W        CN=your.domain.name
    [PS] C:\>
    

    В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).
  6. Если ваш сертификат не правильно включен, вы можете перезапустить команду Enable-ExchangeCertificate со вставкой отпечатка аргумента вашего сертификата, как например:
    [PS]C:\>Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
  7. Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync, или Outlook.
    Если вы используете ISA 2004 или ISA 2006 - надо перезагрузить систему. Некоторые пользователи сообщают, что сервисы ISA не хотят отправлять промежуточный сертификат, пока не будет выполнена перезагрузка.
  1. Скопируйте ваш сертификат на Exchange сервер.
  2. Запустите консоль управления Exchange следующим образом: Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
  3. Нажмите «Manage Databases» и далее «Server configuration».
  4. Выберите ваш сертификат из меню в центре окна, затем нажмите на «Complete Pending Request» в меню «Actions».
  5. Откройте файл вашего сертификата, после нажмите Open > Complete
  6. Довольно часто Exchange 2010 выдает сообщение об ошибке, начинающееся фразой «The source data is corrupted or not properly Base64 encoded.» Игнорируйте данную ошибку.
  7. Далее, для того, чтобы начать использовать сертификат, вернитесь к консоли управления Exchange и нажмите «Assign Services to Certificate.»
  8. Выберите ваш сервер из списка, нажмите «Next».
  9. Выберите сервисы, которые должны быть защищены сертификатом, нажмите Next > Assign > Finish.
  10. Ваш сертификат теперь установлен и готов к использованию на Exchange.
  1. Скопируйте ваш сертификат в новый файл вместе с ключом. Содержимое должно выглядеть так:
    -----BEGIN RSA PRIVATE KEY-----
    	(your_private.key)
    ------END RSA PRIVATE KEY------
    -------BEGIN CERTIFICATE-------
    	(your_domain_name.crt)
    --------END CERTIFICATE--------
    

    Убедитесь, что между ключом и сертификатом нет пустых строк!

  2. Сохраните сертификат с секретным ключом, как yourdomain_cert_key.pem в подходящем месте на сервере.
  3. Скопируйте файл корневого сертификата root.crt на сервер.
  4. Чтобы обеспечить безопасность IMAP - найдите и откройте файл imapd-ssl (обычно он находится в /usr/lib/courier-imap/ и т.д./).
  5. Добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
    
    Убедитесь, так же, что расположенная ниже строка присутствует и корректна:
    - TLS_PROTOCOL=SSL3
  6. Для обеспечения безопасности POP3 найдите и откройте файл pop3d-ssl (обычно он находится /usr/lib/courier-imap/ и т.д./) и добавьте следующие директивы и месторасположения файлов:
    - TLS_CERTFILE=/some/path/yourdomain_cert_key.pem
    - TLS_TRUSTCERTS=/some/path/root.crt
    
  7. Убедитесь, что файл yourdomain_cert_key.pem доступен только для чтения.
  8. Перезагрузите ваш сервер.
  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер.
  2. Откройте файл конфигурации Apache для редактирования блока «VirtualHost». В зависимости от особенностей Вашего сервера этот файл Вы можете найти одним из следующих путей: /etc/httpd/httpd.conf, /etc/httpd/vhosts.d/httpd.conf, /etc/httpd/sites/httpd.conf или/etc/httpd/ssl.conf. Более подробно данную информацию Вы можете уточнить Вашего хостинг-провайдера.
  3. Отредактируйте блок «VirtualHost», добавив в него следующие строки:
    SSLEngine on
    SSLCertificateFile /path/to/your_domain_name.crt
    SSLCertificateKeyFile /path/to/your_private.key
    SSLCertificateChainFile /path/to/root.crt
    
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, Вам необходим виртуальный хост для каждого соединения. Поэтому создайте 2 блока «VirtualHost», лишь в один из которых включите SSL-директивы.
  5. Проверьте конфигурацию Apache до перезапуска командой:
     
    [root@server~]# apachectl configtest
    
  6. Перезапустите Apache.
  1. Скопируйте файлы сертификата your_domain_name.crt, your_private.key и root.crt на Ваш сервер в директорию /etc/ssl/.
  2. Объедините файлы your_domain_name.crt и root.crt в один, выполнив команду:
     
    [root@server~]# cat root.crt >> your_domain_name.crt
    
  3. Отредактируйте файл виртуального хоста Nginx, добавив в серверный модуль server {} следующие строки:
    listen 443;
    ssl on;
    ssl_certificate /etc/ssl/your_domain_name.crt;
    ssl_certificate_key /etc/ssl/your_domain_name.key;
    
  4. Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, то продублируйте серверный модуль файла перед добавлением директив и только в один из них добавьте новые строки.
  5. Перезагрузите сервер командой:
    [root@server~]#/etc/init.d/nginx restart