3.2.9 Як встановити SSL-сертифікат в панелі управління ISPmanager

SSL Security

Що потрібно для встановлення SSL-сертифіката

Зверніть увагу: ця інструкція стосується саме встановлення комерційних SSL-сертифікатів. Якщо вас цікавить встановлення безкоштовних SSL від Let’s Encrypt, ви можете знайти інформацію за наступним посиланням

Перед тим як встановлювати SSL-сертифікат, переконайтеся, що ви успішно пройшли валідацію сертифіката та маєте наступні файли “на руках”:

  • Сертифікат. Надсилається на електронну пошту адміністратора після успішної валідації. Зазвичай має назву ваш_домен.crt.
  • Ланцюжок сертифікатів. Надсилається на електронну пошту адміністратора після успішної валідації. Назва ланцюжків може трохи відрізнятися, зазвичай це: USERTrust_RSA_Certification_Authority або CA_Bundle. Іноді ланцюжок може прийти у вигляді двох файлів, наприклад Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt і USERTrust_RSA_Certification_Authority.crt. У такому випадку реальний ланцюжок - це зміст цих двох файлів, доданих один до одного, саме в такому порядку.
  • Секретний (приватний) ключ. Генерується разом з CSR, на етапі замовлення або генерації SSL. Є конфіденційною інформацією, яку суворо заборонено передавати третім особам.
Питання: де знайти секретний (приватний) ключ мого SSL-сертифіката, замовленого у TheHost?

Якщо SSL-сертифікат замовлявся у нас, Ви можете знайти секретний ключ у панелі білінгу, у розділі SSL сертифікати. Виберіть потрібний сертифікат кліком миші та натисніть зверху праворуч Змінити. В одному з розділів спливаючого вікна Ви зможете побачити секретний ключ:

Секретний ключ у білінгу

Файли сертифікатів можуть мати формати типу .crt або .bundle, і Windows може не визначити, якою програмою його відкрити. Не хвилюйтеся, ці файли завжди можна відкрити будь-яким текстовим редактором, включаючи Блокнот.

Якщо перед встановленням сертифіката Ви помітили, що у вас немає доступу до одного з таких файлів - перевірте ще раз свою електронну пошту адміністратора, після чого зверніться до Служби підтримки.

Приклад поетапної установки SSL-сертифіката

Припустимо, у вас вже є файли сертифіката. Як їх зараз встановити та підключити до вашого сайту? Розглянемо установку SSL-сертифіката детально, крок за кроком:

1. Перейдіть в панель управління хостингом/сервером. При підключенні як користувач root, розділ SSL буде недоступний. Спочатку потрібно увійти в обліковий запис, якому належить домен.

2. Виберіть пункт SSL сертифікати, розташований в розділі World Wide Web.

3. У відкритій сторінці натисніть на кнопку Створити.

4. У результаті відкриється форма для створення сертифіката. У пункті Тип сертифіката виберіть Існуючий.

Устанока SSL в панели

5. Заповніть порожні поля необхідною інформацією:

  • Ім’я сертифіката – потрібно вказати доменне ім’я, на яке замовлявся SSL сертифікат. Це технічна назва і може бути будь-якою, за винятком вже існуючих імен сертифікатів.
  • Приватний ключ - вміст приватного (RSA) ключа.
  • Сертифікат – вміст сертифіката.
  • Пароль – пароль потрібно вказати, якщо ви плануєте додати сертифікат із зашифрованим ключем. Зазвичай це поле залишають порожнім.
  • Ланцюжок сертифікатів - ланцюжок сертифікатів (ca_bundle), якими підписаний цей сертифікат. Зазвичай цей ланцюжок приходить у листі разом із сертифікатом. У іншому випадку, цей ланцюжок можна завантажити на офіційному сайті Центру сертифікації, який видав SSL сертифікат.

Зверніть увагу: потрібно повністю копіювати вміст файлів без пробілів, разом з -----BEGIN CERTIFICATE----- та -----END CERTIFICATE-----.

6. Після цього натисніть ОК. У випадку вірності всіх даних, сертифікат буде успішно створений та доданий до списку існуючих у вкладці SSL сертифікати. Але його все ще потрібно підключити до сайту.

Підключення встановленого SSL до Вашого сайту

Для підключення раніше встановленого SSL-сертифіката до сайту необхідно перейти в розділWWW домени. У властивостях вашого сайту активуйте чек-бокс SSL, після чого виберіть ім’я вашого сертифіката зі списку та збережіть зміни, натиснувши Ok.

Как подключить SSL к сайту

Якщо ви встановлюєте SSL на віртуальному або виділеному сервері з панеллю ISPManager4, для застосування змін вам також може знадобитися перезавантажити Nginx у вкладці Сервіси під користувачем root.

Перевірити, чи успішно ви встановили та підключили сертифікат, можна за допомогою будь-якого онлайн-чекера, наприклад, за посиланням.

Активація примусового перенаправлення з http на https

Сертифікат встановлено, підключено і активовано. Як примусово перенаправити всіх відвідувачів з http:// на https://?

Існують два варіанти активації такого перенаправлення з боку веб-сервера.

1. Стандартний, можливий для всіх наших серверів хостингу та нових шаблонів ОС з панеллю ISPManager:

Додатково: активація примусового перенаправлення з http:// на https:// в панелі ISPManager.

На всіх shared-хостинг серверах це можна зробити в панелі управління ISP. Для цього в панелі потрібно перейти в розділ WWW домени, виділити потрібний домен та натиснути кнопку Змінити. Далі потрібно в властивостях відзначити прапорцем пункт Тільки SSL.

Как сделать редирект на https

2. Ручний, при використанні віртуальних та виділених серверів зі старими шаблонами ОС (нижче за Ubuntu 18 з встановленою панеллю ISPManager4):

Додатково: активація примусового перенаправлення з http:// на https:// за допомогою конфігурації Nginx.

Необхідно в конфігурації Nginx для потрібного WWW-домену додати наступний блок:

/etc/nginx/nginx.conf/
    if ($ssl_protocol = "") {
      rewrite ^ https://$server_name$request_uri? permanent;
    }

Приклад, як це повинно бути у файлі конфігурації /etc/nginx/nginx.conf/:

/etc/nginx/nginx.conf/
  server {
    server_name example.com www.example.com;
    listen 91.234.32.170;
    listen 91.234.32.170:443 ssl;
    disable_symlinks if_not_owner from=$root_path;
    set $root_path /var/www/exampleuser/data/www/example.com;
  if ($ssl_protocol = "") {
    rewrite ^ https://$server_name$request_uri? permanent;
 }
  location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
    root $root_path;
    access_log /var/www/nginx-logs/exampleuser isp;
    access_log /var/www/httpd-logs/example.com.access.log ;
    error_page 404 = @fallback;
 }
  location / {
    proxy_pass http://91.234.32.170:81;
    ....

Також зазначене можна зробити на VPS під root в розділі WWW-домени, вибравши потрібний сайт, натиснувши справа вгорі Конфіг, та, у вкладці Nginx додати потрібний код для сайту.