3.7.5 Настройка сертификата SSL для панели управления ISPManager

Банер

Информируем: данная статья будет актуальна для владельцев виртуальных и выделенных серверов с установленной панелью управления ISPManager4. У Вас должен быть доступ администратора root.

Безопасность доступа к панели управления виртуальным или выделенным сервером является важным шагом к безопасности информации. Использование SSL/TLS сертификатов для шифрования трафика обеспечивает конфиденциальность и защиту от перехвата данных во время работы с панелью управления ISPManager4.

Защищенное HTTPS-соединение не только шифрует данные, передаваемые между браузером пользователя и панелью управления, но и подтверждает подлинность сервера, предотвращая атаки типа “человек посередине” (man-in-the-middle).

Важно: перед внесением изменений в конфигурацию обязательно создайте резервные копии стандартных файлов сертификатов и конфигурации. Убедитесь, что у Вас есть актуальные файлы сертификата, цепочки сертификатов и приватного ключа.

Предварительные условия

Для настройки безопасного соединения для Вашей панели управления ISPManager4, нужно заказать сертификат на домен, который будет использоваться для доступа к панели управления, и активировать его.

Информируем: для удобного доступа к панели управления ISPManager4 можете создать отдельный поддомен, например panel.название_домена.com или admin.название_домена.com. Вы можете использовать любой из существующих доменов на Вашем сервере или зарегистрировать новый.

Важно правильно настроить DNS-записи - создайте A-запись, которая указывает на IP-адрес Вашего сервера, и дождитесь полного обновления DNS (до 24 часов) перед заказом SSL-сертификата.

После активации, перед тем как устанавливать SSL-сертификат, убедитесь, что Вы успешно прошли валидацию сертификата и имеете следующие файлы “на руках”:

  • Сертификат. Отправляется на электронную почту администратора после успешной валидации. Обычно имеет название Ваш_домен.crt.
  • Цепочка сертификатов. Отправляется на электронную почту администратора после успешной валидации. Название цепочек может немного отличаться, обычно это: USERTrust_RSA_Certification_Authority или CA_Bundle. Иногда цепочка может прийти в виде двух файлов, например Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt и USERTrust_RSA_Certification_Authority.crt. В таком случае реальная цепочка – это содержимое этих двух файлов, добавленных друг к другу, именно в таком порядке.
  • Секретный (приватный) ключ. Генерируется вместе с CSR, на этапе заказа или генерации SSL. Является конфиденциальной информацией, которую строго запрещено передавать третьим лицам.
Вопрос: где найти секретный (приватный) ключ моего SSL-сертификата, заказанного в TheHost?

Если SSL-сертификат заказывался у нас, Вы можете найти секретный ключ в панели биллинга, в разделе SSL сертификаты. Выберите нужный сертификат кликом мыши и нажмите сверху справа Изменить. В одном из разделов всплывающего окна Вы сможете увидеть секретный ключ:

Секретный ключ в билинге

Настройка SSL/TLS для ISPManager

Информируем: файлы сертификатов могут иметь другой путь, проверить это можете в конфигурационном файле /usr/local/ispmgr/etc/ispmgr.inc. Путь к файлам сертификата содержится в строках:

SSLCertificateFile /usr/local/ispmgr/etc/manager.crt

SSLCertificateKeyFile /usr/local/ispmgr/etc/manager.key

1. Войдите в панель управления под пользователем root и перейдите в раздел НастройкиАдрес панели.

2. В пункте Использовать выделенное имя укажите домен, для которого у Вас есть SSL-сертификат.

Адреса панели

Информируем: после изменения адреса панели управления, доступ к ней будет осуществляться по новому адресу. Убедитесь, что DNS-записи настроены правильно перед внесением изменений.

3. Перейдите в каталог с сертификатами через SSH или Менеджер файлов:

  1. cd /usr/local/ispmgr/etc/

4. Откройте файл manager.crt и замените его содержимое на Ваш сертификат и цепочку сертификатов. Важно добавлять их последовательно, один за другим, без лишних пробелов.

Сертификат

5. Откройте файл manager.key и замените его содержимое на Ваш приватный ключ.

Ключ

6. Перезагрузите панель управления командой с помощью SSH:

  1. killall -9 ispmgr

Важно: после перезагрузки панели управления может потребоваться несколько минут для восстановления доступа. Если возникают проблемы с доступом, проверьте правильность установленных сертификатов и конфигурации.

7. Проверьте доступность панели управления через HTTPS по новому адресу, для этого откройте в адресной строке адрес https://Новый_адрес_панели.com/ispmgr. При подключении должно отобразиться, что соединение безопасное.

коректно

Стоит отметить: при дальнейшей работе с панелью управления нужно использовать при подключении именно домен https://Новый_адрес_панели.com/ispmgr а не IP, например: https://172.172.172.172/ispmgr.

Каждый год сертификат нужно продлевать, вместе с этим обновляя содержимое файлов на сервере.