3.7.5 Налаштування SSL-сертифіката для панелі керування ISPManager

Банер

Інформуємо: дана стаття буде актуальна для власників віртуальних та виділених серверів зі встановленою панеллю керування ISPManager4. У Вас повинен бути доступ адміністратора root.

Безпека доступу до панелі керування віртуальним чи виділеним сервером є важливим кроком до безпеки інформації. Використання SSL/TLS сертифікатів для шифрування трафіку забезпечує конфіденційність та захист від перехоплення даних під час роботи з панеллю керування ISPManager4.

Захищене HTTPS-з’єднання не тільки шифрує дані, що передаються між браузером користувача та панеллю керування, але й підтверджує автентичність сервера, запобігаючи атакам типу “людина посередині” (man-in-the-middle).

Важливо: перед внесенням змін до конфігурації обов’язково створіть резервні копії стандартних файлів сертифікатів та конфігурації. Переконайтеся, що у Вас є актуальні файли сертифіката, ланцюжка сертифікатів та приватного ключа.

Попередні умови

Для налаштування безпечного з’єднання для Вашої панелі керування ISPManager4, потрібно замовити сертифікат на домен, який буде використовуватися для доступу до панелі керування, та активувати його.

Інформуємо: для зручного доступу до панелі керування ISPManager4 можете створити окремий піддомен, наприклад panel.назва_домену.com або admin.назва_домену.com. Ви можете використати будь-який з існуючих доменів на Вашому сервері або зареєструвати новий.

Важливо правильно налаштувати DNS-записи - створіть A-запис, який вказує на IP-адресу Вашого сервера, та дочекайтеся повного оновлення DNS (до 24 годин) перед замовленням SSL-сертифіката.

Після активації, перед тим як встановлювати SSL-сертифікат, переконайтеся, що Ви успішно пройшли валідацію сертифіката та маєте наступні файли “на руках”:

  • Сертифікат. Надсилається на електронну пошту адміністратора після успішної валідації. Зазвичай має назву Ваш_домен.crt.
  • Ланцюжок сертифікатів. Надсилається на електронну пошту адміністратора після успішної валідації. Назва ланцюжків може трохи відрізнятися, зазвичай це: USERTrust_RSA_Certification_Authority або CA_Bundle. Іноді ланцюжок може прийти у вигляді двох файлів, наприклад Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt і USERTrust_RSA_Certification_Authority.crt. У такому випадку реальний ланцюжок – це зміст цих двох файлів, доданих один до одного, саме в такому порядку.
  • Секретний (приватний) ключ. Генерується разом з CSR, на етапі замовлення або генерації SSL. Є конфіденційною інформацією, яку суворо заборонено передавати третім особам.
Питання: де знайти секретний (приватний) ключ мого SSL-сертифіката, замовленого у TheHost?

Якщо SSL-сертифікат замовлявся у нас, Ви можете знайти секретний ключ у панелі білінгу, у розділі SSL сертифікати. Виберіть потрібний сертифікат кліком миші та натисніть зверху праворуч Змінити. В одному з розділів спливаючого вікна Ви зможете побачити секретний ключ:

Секретний ключ у білінгу

Налаштування SSL/TLS для ISPManager

Інформуємо: файли сертифікатів можуть мати інший шлях, перевірити це можете в конфігураційному файлі /usr/local/ispmgr/etc/ispmgr.inc. Шлях до файлів сертифікату міститься в рядках:

SSLCertificateFile /usr/local/ispmgr/etc/manager.crt

SSLCertificateKeyFile /usr/local/ispmgr/etc/manager.key

1. Увійдіть до панелі керування під користувачем root та перейдіть до розділу НалаштуванняАдреса панелі.

2. У пункті Використовувати виділене ім’я вкажіть домен, для якого Ви маєте SSL-сертифікат.

Адреса панелі

Інформуємо: після зміни адреси панелі керування, доступ до неї буде здійснюватися за новою адресою. Переконайтеся, що DNS-записи налаштовані правильно перед внесенням змін.

3. Перейдіть до каталогу з сертифікатами через SSH або Менеджер файлів:

  1. cd /usr/local/ispmgr/etc/

4. Відкрийте файл manager.crt та замініть його вміст на Ваш сертифікат та ланцюжок сертифікатів. Важливо додавати їх послідовно, один за одним, без зайвих пробілів.

Сертифікат

5. Відкрийте файл manager.key та замініть його вміст на Ваш приватний ключ.

Ключ

6. Перезавантажте панель керування командою за допомогою SSH:

  1. killall -9 ispmgr

Важливо: після перезавантаження панелі керування може знадобитися декілька хвилин для відновлення доступу. Якщо виникають проблеми з доступом, перевірте правильність встановлених сертифікатів та конфігурації.

7. Перевірте доступність панелі керування через HTTPS за новою адресою, для цього відкрийте в адресній строці адресу https://Нова_адреса_панелі.com/ispmgr. При підключенні повинно відобразитись що з’єднання безпечне.

коректно

Варто зауважити: при подальшій роботі з панеллю керування потрібно використовувати при підключенні саме домен https://Нова_адреса_панелі.com/ispmgr а не IP, наприклад: https://172.172.172.172/ispmgr.

Кожен рік сертифікат потрібно продовжувати, разом з цим обновлюючи зміст файлів на сервері.