Чтобы воспользоваться преимуществами тестовой среды, просто используйте ключ —staging для certbot. Таким образом, вы можете протестировать, например, выдачу сертификатов:
Что такое SSL и TLS, как установить и настроить
Базовая установка и настройка производится на Debian 8 Jessie, с веб-сервером NGINX, с Apache или PHP-FPM на бэкенде. Инструменты. Команды вводятся в консоли SSH. Если вы вошли в систему не под именем root, добавьте sudo перед командами консоли.
SSL (Secure Sockets Layer) — это криптографический протокол, который обеспечивает безопасную связь между клиентом и сервером. Этот протокол шифрует интернет-трафик, чтобы его нельзя было перехватить. В 2014 году он был скомпрометирован (была обнаружена уязвимость в системе безопасности), что привело к созданию стандарта TLS на основе SSL 3.0, в котором были устранены недостатки предшественника, и SSL по сути перестал развиваться.
TLS (Transport Layer Security) — это криптографический протокол, который обеспечивает безопасную передачу данных от сервера к клиенту. Являясь потомком SSL 3.0, TLS полагается на симметричное шифрование для обеспечения конфиденциальности, асимметричную криптографию для аутентификации и коды аутентификации для обеспечения целостности сообщения.
Этот протокол широко используется в таких интернет-приложениях, как веб-браузеры, электронная почта, обмен мгновенными сообщениями и голосовая телефония через IP (VoIP).
Когда сегодня люди говорят об SSL, они обычно имеют в виду его потомка — TLS. Поэтому, когда кто-то говорит, что хочет установить SSL-сертификат на сайт, он обычно имеет в виду TLS-сертификат.
Почему нужно использовать SSL/TLS
Для этого есть как минимум одна веская причина: вы можете воспользоваться преимуществами нового протокола HTTP2 (HTTP/2 заменяет текущий стандарт HTTP/1.1) только в том случае, если вы установили и настроили сертификат безопасности SSL/TLS для своего сайта.
Безопасность данных в Интернете также становится все более популярной и актуальной темой. И далее: Google заявил, что наличие SSL-шифрования на сайте является положительным фактором для ранжирования сайта в результатах поисковых систем. Более того, HTTPS необходим для любого сайта электронной коммерции: интернет-магазинов, платежных сервисов, бирж и даже платежных сервисов, чьи пользовательские данные являются желанной добычей для хакеров. Чтобы предотвратить фишинговую атаку на пользователя и не обмануть его, необходимо установить SSL-безопасность и шифрование данных, чтобы пользователь мог увидеть подтверждение того, что он находится на правильном сайте.
Откройте файл конфигурации вашего сайта. Если NGINX настроен, как показано здесь, файл конфигурации можно найти здесь: /etc/nginx/vhosts/example.com.conf.
Чтобы снизить нагрузку на процессор, официальная документация рекомендует вам
- Установите количество рабочих процессов равным количеству процессоров,
- разрешить соединения без перерыва,
- включить общий кэш сеансов,
- отключить родной кэш сессий
- и, возможно, увеличить продолжительность сеанса (по умолчанию 5 минут):
Я прокомментирую изменения
Сохранить, протестировать, перезагрузить
Пучок сертификатов — пучок сертификатов, которым подписан конкретный сертификат. Письмо центра сертификации обычно содержит файл с несколькими файлами — сам сертификат и его цепочка (файл с расширением .ca-bundle) или используйте наш собственный.
Автоматическая установка в ЛК
Если вы заказали бесплатный SSL-сертификат, вы можете установить его автоматически через сервисную карту SSL. Если у вас другой SSL-сертификат, а ваш хостинг находится на REG.RU, установите SSL через карту хостинга. В других случаях вы можете установить сертификат вручную.
В личном кабинете зайдите в карточку нужного вам SSL-сертификата:
На вкладке Администрирование нажмите Установить:
На открывшейся странице выберите сертификат, приобретенный в REG.RU, и прикрепите файл закрытого ключа в формате .key: Где получить закрытый ключ для установки SSL-сертификата. Затем выберите службу хостинга, в которой вы хотите установить сертификат, и нажмите Отправить запрос на установку :
Аналогичным образом загружаются сертификаты сторонних производителей. Вам понадобятся учетные данные для установки этого сертификата. Вы получите их от поставщика SSL-сертификата.
Готово, после установки вы получите уведомление на ваш контактный email.
В личном кабинете вызовите нужную карту хостинга:
На вкладке Операции нажмите Установить SSL-сертификат:
Заполните форму на открывшейся странице. Выберите сертификат от REG.RU из выпадающего списка или загрузите свой собственный. Если вы выбираете сертификат, приобретенный на сайте REG.RU, вам необходимо приложить файл закрытого ключа. Подробнее о том, как его получить, читайте в статье Где найти данные для установки SSL-сертификатов?
Выберите нужный хостинг в поле «Установить на хостинг», а затем нажмите кнопку Отправить для выполнения установки:
Готово, SSL-сертификат будет установлен в течение 15 минут после отправки запроса.
Ручная установка в панели хостинга
Чтобы установить его, просто войдите в свою панель управления (ISPmanager, cPanel или Plesk) и следуйте приведенным ниже инструкциям:
Обратите внимание! Если внешний вид вашей панели управления отличается от указанного в инструкции, нажмите «Попробовать новый интерфейс» в левом нижнем углу.
Перейдите в раздел «SSL-сертификаты» и нажмите на кнопку Добавить сертификат:
Выберите тип сертификата «Существующий» и нажмите Далее :
Заполните поля на открывшейся странице. Детали установки сертификата будут отправлены на ваш почтовый ящик после активации услуги: Где получить сведения об установке SSL-сертификата.
— Имя SSL-сертификата — введите любое имя, которое будет отображаться в сертификате (можно использовать только латинские символы),
— SSL-сертификат — введите данные SSL-сертификата (вы найдете их после слов «Ваш сертификат предоставлен ниже» в рассылке),
— Ключ сертификата SSL — введите закрытый ключ сертификата,
— Цепочка сертификатов SSL — введите сначала промежуточный сертификат, а затем — в новой строке без пробелов — корневой сертификат. Нажмите кнопку Готово:
После завершения установки перейдите в раздел Сайты и дважды щелкните домен, для которого был выпущен сертификат:
Установите флажок Безопасное соединение (SSL). В раскрывающемся списке рядом с SSL-сертификатом выберите имя SSL-сертификата, который вы установили в шаге 4. Затем нажмите OK в нижней части страницы:
Готово, SSL-сертификат установлен. Проверьте сертификат (HTTPS), чтобы убедиться, что он установлен правильно, следуя приведенным ниже инструкциям.
Примечание: Если вид вашей панели управления отличается от показанного в статье, измените тему с paper_lantern на jupiter в разделе Основная информация.
В разделе Безопасность нажмите SSL/TLS :
Нажмите Управление SSL-сайтами :
Прокрутите вниз до блока «Установить SSL сайта». В раскрывающемся списке выберите домен, для которого необходимо установить SSL-сертификат:
Заполните поля. Данные для установки сертификата будут высланы по электронной почте после активации услуги: Где вы получите данные для установки SSL-сертификата.
— Сертификат: (CRT) — установите SSL-сертификат (в информационном письме после слов «Ваш сертификат предоставлен ниже»),
— Закрытый ключ (KEY) — введите закрытый ключ сертификата,
— CA Bundle: (CABUNDLE) — вставьте первый промежуточный сертификат, а затем на новой строке без пробелов вставьте корневой сертификат.
Нажмите Установить сертификат:
Чтобы завершить установку, нажмите OK в появившемся окне:
Обратите внимание. Если ваша панель управления выглядит иначе, чем показано в инструкции, перейдите в раздел «Сайты и домены» и измените вид в правом верхнем углу на «Активный».
В разделе Сайты и домены установите флажок для домена, для которого был выпущен SSL-сертификат, и нажмите SSL/TLS Certificates :
Нажмите Добавить сертификат SSL/TLS:
Заполните поля на открывшейся странице. Детали установки сертификата будут отправлены вам по электронной почте после активации услуги: Где я могу получить подробную информацию о том, как установить сертификат?
— Имя сертификата — введите любое имя, которое будет отображаться в сертификате (можно использовать только латинские буквы),
Как проверить правильность установки SSL-сертификата
Проверьте правильность установки SSL-сертификата с помощью сервиса sslshopper.com.
Чтобы проверить SSL-сертификат в режиме онлайн, следуйте приведенным ниже инструкциям:
Введите имя своего домена и нажмите Проверить SSL. Если у вас кириллический домен, вы должны ввести его в формате Punycode.
Если SSL-сертификат установлен правильно, вы увидите результат, подобный этому:
В некоторых случаях результаты проверки кэшируются, и отображаются устаревшие данные. На это указывает текст под строкой поиска. Чтобы получить актуальную информацию об установке SSL-сертификата, нажмите здесь и пройдите тест CAPTCHA:
Если сертификат установлен неправильно, обратитесь в службу технической поддержки.
