Управление SSL-сертификатами

Материал из DiPHOST.Ru wiki system

Перейти к: навигация, поиск

Конечной целью раздела управления SSLсертификатами является включение на выбранном сайте протокола HTTPS. Для этого требуется совершить два действия:

  • Одним из трёх способов завести в панели управления SSL-сертификат
  • Привязать SSL-сертификат к выбранному сайту
File:Info blue.png ПРИМИТЕ К СВЕДЕНИЮ:
Современные версии протокола SSL/TLS предполагают передачу браузером запрашиваемого доменного имени ещё на этапе установки защищённого соединения. Это так называемая технология SNI (Server Name Indication). Наши сервера поддерживают эту технологию. Однако, до сих пор не все операционные системы и не всё программное обеспечение умеет использовать этот новый протокол. Поэтому обычно предполагается, что каждый сайт (в данном случае — доменное имя, или набор доменных имён, указанных в сертификате) должен иметь уникальный IP-адрес.


Содержание

Добавление SSL-сертификата

Наш хостинг распознаёт x509v3 сертификаты и ключи с применением алгоритмов шифрования DSA, RSA и ГОСТ. Панель управления хостингом автоматически распознаёт доменные имена, связанные с сертификатом, и сроки действия сертификата.

File:Messagebox warning.png ВНИМАНИЕ!
Перед выбором того или иного SSL-сертификата, обратите внимание, что зачастую сертификат подписывает только одно доменное имя. Т.е. домен www.example.com и example.com - для сертификата являются двумя разными доменными именами. Если сертификат будет выписан на домен example.com, а при соединении по протоколу HTTPS сайт будет производить редирект на www.example.com, браузеры будут выдавать грозное предупреждение о неправильном сертификате


Добавление готового SSL-сертификата

Пошаговая загрузка готовой пары SSL-сертификата и ключа используется для уже созданных или купленных сертификатов. Понадобится секретный ключ (и пароль, если он защищен паролем), сам сертификат и цепочка сертификатов удостоверяющего центра, которая составляет цепочку доверия к данному сертификату. Наша система узнаёт доверенные центры сертификации, и если цепочка доверия была уже загружена кем-либо ранее, то загружать дополнительно её не требуется. Загрузка может быть прервана на любом этапе, а затем продолжена.

Купить сертификат можно в том числе и на нашем хостинге. Мы предоставляем широкий выбор коммерческих SSL-сертификатов.

Создание запроса на сертификат

Многие Удостоверяющие Центры для покупки SSL-сертификата просят сделать так называемый запрос на сертификат. Создание запроса (CSR) из панели управления упрощает эту процедуру. Будет создан сертификат с 2048-битным ключем RSA. Текст запроса всегда можно посмотреть из панели управления. После покупки SSL-сертификата, его можно будет подгрузить к сохранённому панелью запросу и ключу.

Обратите внимание, что для создания запроса требуется выбрать только один домен. Список доменов формируется из привязанных к сайтам на хостинге. Дополнительные домены и поля обычно создаёт уже сам Удостоверяющий Центр. Если для запроса требуются специальные параметры ключа или тела запроса, то его следует сделать самостоятельно или попросить нашу службу поддержки.

Создание самоподписанного сертификата

Создание самоподписанного SSL-сертификата обычно испольуется для тестирования, или для технической защиты соединения, когда проверка подлинности сторон используя иерархию сертификатов не требуется. Однако, браузеры будут выдавать грозное предупреждение о неправильном сертификате. Самоподписанный сертификат сам по себе не защищает от внедрения прослушки передаваемого трафика. Наша система создаёт простой сертификат с 2048-битным ключем RSA на одно доменное имя.

Обратите внимание, что для создания самоподписанного сертификата возможно выбрать только один домен. Список доменов формируется из привязанных к сайтам на хостинге.

Привязка SSL-сертификата к сайту

Для того, чтобы сайт стал отвечать по протоколу HTTPS, SSL-сертификат нужно привязать к сайту. Один сертификат на один сайт. Для этого в списке сертификатов в панели управления надо нажать ссылку настроить напротив требуемого сертификата. В разделе настройки следует выбрать нужный сайт. Если сертификат уже привязан к сайту, то привязка нового сайта отвяжет этот сертификат от предыдущего сайта. Так же возможно привязать к сертификату сайт, к которому привязан другой сертификат. Это отвяжет от сайта предыдущий сертификат и привяжет текущий. Такая система сделана для того, чтобы менять сертификаты на сайте без перерыва в работе сайта.


File:Messagebox warning.png ВНИМАНИЕ!
Поддержка SSL-сертификата на хостинге и стоимость самого SSL-сертификата - разные понятия. Большинство SSL-сертификатов имеют конечный срок действия (обычно год) и их надо продлевать, что делается обычно новым выпуском SSL-сертификата.


После привязки SSL-сертификата к сайту, в списке сайтов и в настройках сайта в разделе Сайты в панели управления появляется ссылка на информацию об этом сертификате.

Настройки сайта, связанные с SSL

Панель управления хостингом реализует две дополнительные настройки сайта, связанные с HTTPS:

  • Только HTTPS-сайт. Запросы на HTTP протокол для данного сайта будут перенаправляться на HTTPS. При отсутствии привязанного к сайту SSL-сертификата сайт просто перестанет работать. Эта настройка подходит сайтам со строгими требованиями к безопасности, когда блокировка информации лучше отсутствия защищённого соединения.
  • Запрос клиентского сертификата SSL. У каждого пользователя сайта будет запрошен SSL-сертификат для идентификации пользователя. Соединение не будет осуществлено только в случае предоставления пользователем сертификата с истёкшим сроком действия. В остальных случаях соединение будет успешным, проверку предоставленного сертификата требуется осуществлять программным обеспечением сайта самостоятельно. Настройка работает только для сайтов с привязанным SSL-сертификатом, в противном случае игнорируется. Не устанавливайте эту настройку, если чётко не представляете, что она делает.

Сведения об HTTPS-соединении, передаваемые сайтам

Сведения об SSL-соединении передаются скриптам сайта в переменных окружения вида HTTP_SSL_*. Само наличие SSL-соединения можно контролировать по переменной окружения HTTPS

Источник — «https://wiki.diphost.ru/SSLManagement»

Категория:

Личные инструменты
© 2006 — ООО «Дремучий лес»
Служба техподдержки: support@diphost.ru
Тексты этого сайта являются полностью оригинальными
или оригинальными компиляциями ООО «Дремучий Лес».
Распространяются по лицензии WTFPL
Отзывы о хостинге diphost.ru Отзывы на hostobzor.ru