Домены, хостинг, 1С-Битрикс: Управление сайтом

Партнер REG.RU

slider

FAQ по SSL-сертификатам

  • Зачем нужен SSL-cертификат?
  • Как правильно выбрать сертификат?
  • Как лучше отправлять документы сертификационному центру Thawte?
  • Какие документы могут потребоваться сертификационному центру для выдачи сертификата?
  • Установка SSL-сертификата на IIS 5/6
  • Установка SSL-сертификата на Lotus Domino Web Server 8.5
  • Установка SSL-сертификата на IBM HTTP
  • Установка SSL-сертификата на Exchange 2010
  • Установка SSL-сертификата на Exchange 2007
  • Установка SSL-сертификата на Courier IMAP
  • Установка SSL сертификата на IIS 7
  • Срок действия сертификата
  • Как происходит enroll (подтверждение, верификация) сертификата?
  • Как проверить правильность установки SSL-сертификата?
  • Как сделать запрос CSR?
  • Появляется ошибка «поле не соответствует значению в строке CSR». Что делать?
  • При смене данных владельца домена требуется ли производить измения с сертификатом?
  • Установка SSL-сертификата на Apache.
  • Установка SSL-сертификата на Nginx.
  • Что нужно для того чтобы получить SSL-сертификат?
  • Что такое CSR?

  • Зачем нужен SSL-cертификат?

    Протокол HTTP, по которому передается большинство html-страниц в сети Интернет, не может защитить соединение браузера c Вашим сервером от вторжения третьих лиц и утечки конфиденциальной информации. SSL-сертификат, установленный на Вашем сайте, позволит ему поддерживать соединения по протоколу HTTPS — защищенному протоколу передачи гипертекстовых данных.
    Установка SSL-сертификата на Ваш сайт гарантирует:
    • Подлинность соответствия ресурса подписям в сертификате, что не может не сказаться на уровне доверия посетителей к Вашему сайту и к Вашей организации в целом;
    • Целостность передаваемой информации — на время передачи информации от сервера к браузеру гарантируется отсутствие изменений или потерь данных;
    • Конфиденциальность — за счет использования 256-разрядного шифрования данных информация, передаваемая между Вашим сервером и браузером посетителя, недоступна для просмотра и изменения посторонним лицам.



    Как правильно выбрать сертификат?

    SSL-cертификаты начального уровня

    К сертификатам данного уровня относятся: Thawte SSL123, Comodo SSL, Easy Trust SSL от TrustWave, а также QuickSSL premium от GeoTrust. Данные сертификаты предназначены только для шифрования, они не подтверждают бизнес-статус Вашей компании. Рекомендуем использовать данные сертификаты только в том случае, если Вам необходима исключительно функция шифрования передаваемых данных, но не требуется подтверждения уровня Вашего бизнеса.

    Типичное использование: доступ к внутренним системам компании через каналы сети Интернет для сотрудников и партнеров; доступ к системам статистики. Не рекомендуется к использованию в системах электронной торговли (интернет-магазины и платные сервисы), общедоступных биллинговых системах.

    SSL Web Server Certificate

    Данный сертификат предназначен для шифрования и подтверждает высокий бизнес-статус Вашей компании. При выдаче сертификата Ваша компания будет проверена аттестационным центром. Данный сертификат является универсальным и рекомендуется для любых типов использования. Является прекрасным подтверждением уровня Вашего бизнеса.

    SGC Certificate

    SGC Certificate предлагает все преимущества SSL Web Server Certificate, а также автоматически поднимает уровень защиты для клиента, даже если их браузеры имеют 40- битное или 56-битное шифрование.

    SSL Wildcard Certificate

    Защищает соединение с любым количеством поддоменов одного домена, например, сертификат выданный для reg.ru защищает stat.reg.ru, rf.reg.ru и www.reg.ru. При этом сертификат не защищает поддомены 2-го уровня, а также сам домен, т.е. сертификат для mydomain.com защищает xxx.mydomain.com, но не будет работать для xxx.yyy.mydomain.com и mydomain.com. Исключением из данного правила являются сертификаты SSL Wildcard и Premium SSL Wildcard от Comodo. При заказе данных сертификатов будут защищаться все прямые поддомены выбранного домена, а также сам выбранный домен.

    Данный сертификат предназначен для шифрования и подтверждает высокий бизнес-статус Вашей компании. При выдаче сертификата Ваша компания будет проверена аттестационным центром. Данный сертификат является универсальным и рекомендуется для любых типов использования. Является прекрасным подтверждением уровня Вашего бизнеса.



    Как лучше отправлять документы сертификационному центру Thawte?

    После обработки заказа, на Ваш контактный электронный адрес сертификационным центром будет отправлено сообщение с перечнем документов, необходимых для подтверждения легальности бизнеса. Предоставить данные документы Вы можете как по факсу так и по электронной почте. Обращаем Ваше внимание, что при отправке подтверждающих документов по электронной почте, проверка и подтверждение данных документов произойдет намного быстрее.


    Какие документы могут потребоваться сертификационному центру для выдачи сертификата?

    При заказе сертификатов SSL Web Server Certificate, SGC Certificate, SSL Wildcard Certificate, сертификационный центр может запросить документы, подтверждающие легальность бизнеса владельца сертификата. Предоставить документы возможно по факсу или в виде скан-копий по электронной почте.
    Заверять скан-копии документов не требуется.

    Необходимые документы:

    • Свидетельство ИНН / КПП;
    • Свидетельство ОГРН;
    • Приказ о назначении директора;
    • Свидетельство о регистрации доменного имени;
    • Устав организации (первые 3 и последние 3 страницы);
    • Счета на оплату телефонных разговоров с номера компании за последние 3 месяца, с обязательным указанием в счетах названия и номера телефона организации и названия организации-поставщика услуг (если в счете не указан номер телефона или название организации необходимо дополнительно приложить скан-копию договора с поставщиком услуг или детализацию вызовов).

    Также представитель сертификационного центра свяжется по указанному при заказе сертификата номеру телефона для подтверждения телефонного номера организации и подтверждения заказа сертификата.

    Представители сертификационного центра для подтверждения владельца сертификата в праве запросить документы не указанные в данном списке.




    Установка SSL-сертификата на IIS 5/6

    • Зайдите в Панель управления. Откройте Internet Services Manager. Нажмите правой кнопкой на Default Website или веб-сайт, для которого создавался запрос и выберите «Properties». Сертификат может быть установлен лишь на тот сайт, для которого создавался запрос (CSR).
    • Выберите вкладку Directory Security. Нажмите на кнопку «Server Certificate...». Нажмите «Далее».
    • Выберите Process the pending request and install the certificate и нажмите «Далее».
    • Нажмите «Browse». Найдите domain_name.cer, потом нажмите «Далее». Следуйте последующим шагам мастера до завершения.



    Установка SSL-сертификата на Lotus Domino Web Server 8.5

    Как и в случае, когда вы работаете с хранилищем сертификатов, вы должны убедиться, что при импорте вашего SSL сертификата на Lotus Domino 8.5, файлы будут импортированы с тем же ключем, который был использован при создании CSR-запроса. Если приватный ключ потерян, вы должны создать новый ключ/CSR и запросить перевыпуск сертификата прежде чем приступить к установке.

    Ваши сертификаты должны быть установлены следующим образом.
    TrustedRoot.crt Primary_Intermediate.crt Secondary_Intermediate.crt domain.crt

    • В Domino Server Certificate Administration, выбрать опцию «Install Trusted Root Certificate into Key Ring».
    • Введите имя файла, которое было выбрано при создании CSR, затем пройдите далее и импортируйте доверенный корневой сертификат (TrustedRoot.crt). Вы можете увидеть сообщение, что ваш корневой сертификат уже установлен. Если это произойдет, просто перейдите к следующему шагу.
    • Еще раз выберите опцию «Install Trusted Root Certificate into Key Ring». Теперь вы должны установить файл(ы) промежуточного сертификата. Сначала установите Primary_Intermediate.crt, а затем Secondary_Intermediate.crt.
    • Для следующего шага выберите опцию «Install Certificate into Key Ring». Введите имя Key Ring, а затем импортируйте файл вашего сертификата (domain.crt).



    Установка SSL-сертификата на IBM HTTP

    Прежде, чем вы установите ваш сертификат, необходимо установить корневой и промежуточный сертификаты. Выполните следующие действия: Установка промежуточного и корневого сертификатов:
    • В UNIX-е введите IKEYMAN из командной строки. В Windows запустите утилиту управления ключами в папке сервера IBM HTTP.
    • В главном пользовательском меню выберите Файл базы данных ключей. Выберите «Открыть».
    • Выберите ваш ключ и нажмите «Ок».
    • Далее введите ваш пароль и нажмите «Ок».
    • Нажмите на ссылку Signer Certificates в Key Database. Нажмите «Добавить».
    • Выберите сертификат, который Вы добавляете, затем нажмите «Oк». Начните с Root.crt. Если вы получаете сообщение, что данный файл уже установлен, нажмите «Продолжить».
    • Далее необходимо установить файл промежуточного сертификата intermediate.crt в том же порядке, в котором вы установили Root.
    Установка основного SSL сертификата (domain_name.crt):
    • В IKEYMAN нажмите на «Personal Certificates», далее на кнопку «Receive».
    • Выберите ваш сертификат (domain_name.crt). Затем нажмите на «Oк».
    Для получения дополнительной помощи, свяжитесь с IBM, у них есть детальное Руководство по установке SSL.


    Установка SSL-сертификата на Exchange 2010

    • Скопируйте ваш сертификат на Exchange сервер.
    • Запустите консоль управления Exchange следующим образом: Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
    • Нажмите «Manage Databases» и далее «Server configuration».
    • Выберите ваш сертификат из меню в центре окна, затем нажмите на «Complete Pending Request» в меню «Actions».
    • Откройте файл вашего сертификата, после нажмите Open > Complete

      Довольно часто Exchange 2010 выдает сообщение об ошибке, начинающееся фразой «The source data is corrupted or not properly Base64 encoded.» Игнорируйте данную ошибку.
    • Далее, для того, чтобы начать использовать сертификат, вернитесь к консоли управления Exchange и нажмите «Assign Services to Certificate.»
    • Выберите ваш сервер из списка, нажмите «Next».
    • Выберите сервисы, которые должны быть защищены сертификатом, нажмите Next > Assign > Finish.
    • Ваш сертификат теперь установлен и готов к использованию на Exchange.



    Установка SSL-сертификата на Exchange 2007

    • Загрузите и переименуйте ваш сертификат. Он должен называться domain_name.cer.
    • Скопируйте domain_name.cer на диск С:\ вашего Exchange сервера.
    • Откройте Exchange Management Shell. Для этого нажмите Пуск - Программы - Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
    • Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate вместе (обе команды в одной строке, разделяя чертой):
      Import-ExchangeCertificate -Path C:\domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
      Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP. Чтобы отключить сертификат, установите параметр "None".
    • Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.
      [PS] C:\> Get-ExchangeCertificate -DomainName domain.name
      Thumbprint                                                                    Services    Subject
      ----------                                                                          --------      -------
      136849A2963709E2753214BED76C7D6DB1E4A270 SIP.W      CN=domain.name

      В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).
    • Если ваш сертификат не правильно включен, вы можете перезапустить команду Enable-ExchangeCertificate со вставкой отпечатка аргумента вашего сертификата, как например:
      Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
    • Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync, или Outlook.
    Если вы используете ISA 2004 или ISA 2006 - надо перезагрузить систему. Некоторые пользователи сообщают, что сервисы ISA не хотят отправлять промежуточный сертификат, пока не будет выполнена перезагрузка.


    Установка SSL-сертификата на Courier IMAP

    • Скопируйте ваш сертификат в новый файл вместе с ключом. Содержимое должно выглядеть так:
      -----BEGIN RSA PRIVATE KEY----- (private.key) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- (domain_name.crt) -----END CERTIFICATE-----
      Убедитесь, что между ключом и сертификатом нет пустых строк!
    • Сохраните сертификат с секретным ключом, как domain_cert_key.pem в подходящем месте на сервере.
    • Скопируйте файл корневого сертификата Thawte root.crt на сервер.
    • Чтобы обеспечить безопасность IMAP - найдите и откройте файл imapd-ssl (обычно он находится в /usr/lib/courier-imap/и т.д./).
    • Добавьте следующие директивы и месторасположения файлов:
      - TLS_CERTFILE=/some/path/cert_key.pem - TLS_TRUSTCERTS=/some/path/root.crt
      Убедитесь, так же, что расположенная ниже строка присутствует и корректна:
      - TLS_PROTOCOL=SSL3
    • Для обеспечения безопасности POP3 найдите и откройте файл pop3d-ssl (обычно он находится /usr/lib/courier-imap/и т.д./) и добавьте следующие директивы и месторасположения файлов:
      - TLS_CERTFILE=/some/path/domain_cert_key.pem - TLS_TRUSTCERTS=/some/path/root.crt
    • Убедитесь, что файл domain_cert_key.pem доступен только для чтения.
    • Перезагрузите ваш сервер.



    Установка SSL сертификата на IIS 7

    1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.
    2. Нажмите на имени сервера.
    3. В центральном меню откройте «Server Certificates» в разделе «Security».
    4. Далее из меню «Actions» в правой части окна нажмите на «Complete Certificate Request». Откроется окно мастера Complete Certificate Request.
    5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.
    6. Нажмите «ОК» и сертификат будет установлен на сервер.
    7. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.
    8. В разделе Sites выберите сайт, для которого оформлялся сертификат.
    9. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.
    10. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.
    11. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).
    12. Нажмите «ОК».
    13. Ваш сертификат установлен и сайт будет работать через защищенное соединение.



    Срок действия сертификата

    Большинство SSL-сертификатов можно заказать на срок от 1 года ( ровно 365 дней, даже если год високосный ) до 4 лет (1460 дней). Максимальный срок, на который Вы желаете заказать SSL-сертификат варьируется от выбранного Вами сертификата.

    При этом датой начала действия сертификата считается дата его выдачи (выпуска), а не дата заказа.
    (Например, Вы заказали сертификат SSL Web Server сроком на 1 год для домена domain.ru 1 января 2012 года. После запроса и проверки всех документов сертификат был выдан вам 20 января 2012 года. В данном случае начало срока действия сертификата будет дата выдачи 20 января 2013 года, датой окончания будет 20 января 2014 года.)



    Как происходит enroll (подтверждение, верификация) сертификата?

    При заказе SSL-сертификата начального уровня и отсутствии в анкетных данных явных противоречий сертификат верифицируется автоматически.
    В случае наличия явных фактических несовпадений, а также в случае заказа сертификата любого другого типа кроме SSL-сертификата начального уровня, на Ваш e-mail подтверждения высылаются инструкции о том, какие документы (свидетельство о регистрации, паспорт и т.п.) и куда (на факс или другой канал связи) нужно отправить.

    Тщательно проверяется следующая информация:
    • Правильно ли заполнено поле «Компания» в анкете;
    • Принадлежит ли домен этой компании;
    • Действительно ли компания зарегистрирована в одной или нескольких странах;
    • Совпадает ли название компании с указанным в сертификате.
    В процедуру проверки могут быть включены обращения третьих лиц в адрес Вашей компании, а также контрольные телефонные звонки. В связи с этим имеет смысл указывать в анкете сертификата реальные, соответствующие действительности, данные.


    Как проверить правильность установки SSL-сертификата?

    При заказе SSL-сертификата начального уровня и отсутствии в анкетных данных явных противоречий сертификат верифицируется автоматически.
    В случае наличия явных фактических несовпадений, а также в случае заказа сертификата любого другого типа кроме SSL-сертификата начального уровня, на Ваш e-mail подтверждения высылаются инструкции о том, какие документы (свидетельство о регистрации, паспорт и т.п.) и куда (на факс или другой канал связи) нужно отправить.

    Тщательно проверяется следующая информация:
    • Правильно ли заполнено поле «Компания» в анкете;
    • Принадлежит ли домен этой компании;
    • Действительно ли компания зарегистрирована в одной или нескольких странах;
    • Совпадает ли название компании с указанным в сертификате.
    В процедуру проверки могут быть включены обращения третьих лиц в адрес Вашей компании, а также контрольные телефонные звонки. В связи с этим имеет смысл указывать в анкете сертификата реальные, соответствующие действительности, данные.


    Как сделать запрос CSR?

    Генерация CSR для unix-like систем (команды вводятся в командной строке):
    • Сгенерируйте приватный ключ командой
      openssl genrsa -out private.key 2048
      или с указанием алгоритма шифрования:
      openssl genrsa -des3 -out private.key 1024
      private.key - выходной файл который будет содержать ключ
      2048 - размер ключа. Для SGC Certificate он должен быть равен 1024, для остальных 2048.
    • Сгенерируйте CSR (Certificate Sign Request = Строка запроса на подписку сертификата)
      openssl req -new -key private.key -out domain_name.csr
      Здесь domain_name.csr — генерируемый файл, который как раз будет содержать CSR - строку запроса, а private.key — созданный на предыдущем этапе секретный ключ.
    • Содержимое domain_name.csr отправляется в анкету, и через какое-то время (после подтверждения) Вы получите сертификат.



    Появляется ошибка «поле не соответствует значению в строке CSR». Что делать?

    При заполнении анкеты на получение сертификата необходимо указать данные, в точности соответствующие указанным при генерации CSR, а также имеющие документальное подтверждение (например, свидетельство о регистрации предприятия, организации и т.д.).
    Все поля должны быть заполнены на английском языке, согласно правилам, указанным в подсказках:
    Страна = Country Code
    Штат (провинция) = State or Province Name (full name)
    Город = Locality Name (eg, city)
    Название организации = Organization Name (eg, company)
    Имя домена = Common Name (eg, your name or your server's hostname)



    При смене данных владельца домена требуется ли производить измения с сертификатом?

    Нет, если сертификат установлен до смены данных.


    Установка SSL-сертификата на Apache.

    • Скопируйте файлы сертификата domain_name.crt, private.key и root.crt на Ваш сервер.
    • Откройте файл конфигурации Apache для редактирования блока «VirtualHost». В зависимости от особенностей Вашего сервера этот файл Вы можете найти одним из следующих путей: /etc/httpd/httpd.conf, /etc/httpd/vhosts.d/httpd.conf, /etc/httpd/sites/httpd.conf или /etc/httpd/ssl.conf. Более подробно данную информацию Вы можете уточнить Вашего хостинг-провайдера.
    • Отредактируйте блок «VirtualHost», добавив в него следующие строки:
      SSLEngine on SSLCertificateFile /path/to/domain_name.crt SSLCertificateKeyFile /path/to/private.key SSLCertificateChainFile /path/to/root.crt
    • Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, Вам необходим виртуальный хост для каждого соединения. Поэтому создайте 2 блока «VirtualHost», лишь в один из которых включите SSL-директивы.
    • Проверьте конфигурацию Apache до перезапуска командой:
      apachectl configtest
    • Перезапустите Apache:
      sudo /etc/init.d/apache2 restart



    Установка SSL-сертификата на Nginx.

    • Скопируйте файлы сертификата domain_name.crt, private.key и root.crt на Ваш сервер в директорию/etc/ssl/.
    • Объедините файлы domain_name.crt и root.crt в один, выполнив команду:
      cat root.crt >> domain_name.crt
    • Отредактируйте файл виртуального хоста Nginx, добавив в серверный модуль server {} следующие строки:
      listen 443; ssl on; ssl_certificate /etc/ssl/domain_name.crt; ssl_certificate_key /etc/ssl/domain_name.key;
    • Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, то продублируйте серверный модуль файла перед добавлением директив и только в один из них добавьте новые строки.
    • Перезагрузите сервер Nginx командой
      sudo /etc/init.d/nginx restart



    Что нужно для того чтобы получить SSL-сертификат?

    Для того, чтобы получить SSL-сертификат Вам необхоимо:
    • контактные данные Вашего домена должны соответствовать тем, которые Вы вводите в заявке на сертификат.
      E-mail подтверждения может быть одним из следующих:
      admin@ваше_имя_домена
      webmaster@имя_домена
      administrator@имя_домена
      hostmaster@имя_домена
      postmaster@имя_домена
      e-mail на основе поддомена, к примеру: admin@mydomain.spb.ru

    • у домена, для которого заказывается SSL-сертификат, должен быть отключён сервис сокрытия персональных данных Private Person. Исключения составляют зоны .RU и .РФ, в данных зонах установить SSL-сертификат возможно без отключения сервиса Private Person;
    • при заказе сертификатов SSL Web Certificate, SGC SuperCert, SSL Wildcard Certificate Вам будет необходимо отправить документы, подтверждающие легальность Вашего бизнеса, по факсу или в виде скан-копий по электронной почте.



    Что такое CSR?

    CSR (Certificate Signing Request) — это зашифрованный запрос на удостоверение сертификата, содержащий подробную информацию о домене и организации. Генерация CSR является необходимой процедурой подготовки к получению SSL-сертификата. CSR генерируется на Вашем сервере и включается в анкету на получение сертификата.