Зачем нужен SSL-cертификат?

• Подлинность соответствия ресурса подписям в сертификате, что не может не сказаться на уровне доверия посетителей к Вашему сайту и к Вашей организации в целом;
• Целостность передаваемой информации — на время передачи информации от сервера к браузеру гарантируется отсутствие изменений или потерь данных;
• Конфиденциальность — за счет использования 256-разрядного шифрования данных информация, передаваемая между Вашим сервером и браузером посетителя, недоступна для просмотра и изменения посторонним лицам.

Как правильно выбрать сертификат?

Как лучше отправлять документы сертификационному центру Thawte?

Какие документы могут потребоваться сертификационному центру для выдачи сертификата?

При заказе сертификатов SSL Web Server Certificate, SGC Certificate, SSL Wildcard Certificate, сертификационный центр может запросить документы, подтверждающие легальность бизнеса владельца сертификата. Предоставить документы возможно по факсу или в виде скан-копий по электронной почте.
Заверять скан-копии документов не требуется.

Необходимые документы:

• Свидетельство ИНН / КПП;
• Свидетельство ОГРН;
• Приказ о назначении директора;
• Свидетельство о регистрации доменного имени;
• Устав организации (первые 3 и последние 3 страницы);
• Счета на оплату телефонных разговоров с номера компании за последние 3 месяца, с обязательным указанием в счетах названия и номера телефона организации и названия организации-поставщика услуг (если в счете не указан номер телефона или название организации необходимо дополнительно приложить скан-копию договора с поставщиком услуг или детализацию вызовов).

Также представитель сертификационного центра свяжется по указанному при заказе сертификата номеру телефона для подтверждения телефонного номера организации и подтверждения заказа сертификата.

Представители сертификационного центра для подтверждения владельца сертификата в праве запросить документы не указанные в данном списке.

Установка SSL-сертификата на IIS 5/6

• Зайдите в Панель управления. Откройте Internet Services Manager. Нажмите правой кнопкой на Default Website или веб-сайт, для которого создавался запрос и выберите «Properties». Сертификат может быть установлен лишь на тот сайт, для которого создавался запрос (CSR).
• Выберите вкладку Directory Security. Нажмите на кнопку «Server Certificate...». Нажмите «Далее».
• Выберите Process the pending request and install the certificate и нажмите «Далее».
• Нажмите «Browse». Найдите domain_name.cer, потом нажмите «Далее». Следуйте последующим шагам мастера до завершения.

Установка SSL-сертификата на Lotus Domino Web Server 8.5

Как и в случае, когда вы работаете с хранилищем сертификатов, вы должны убедиться, что при импорте вашего SSL сертификата на Lotus Domino 8.5, файлы будут импортированы с тем же ключем, который был использован при создании CSR-запроса. Если приватный ключ потерян, вы должны создать новый ключ/CSR и запросить перевыпуск сертификата прежде чем приступить к установке.

Ваши сертификаты должны быть установлены следующим образом.
TrustedRoot.crt Primary_Intermediate.crt Secondary_Intermediate.crt domain.crt

• В Domino Server Certificate Administration, выбрать опцию «Install Trusted Root Certificate into Key Ring».
• Введите имя файла, которое было выбрано при создании CSR, затем пройдите далее и импортируйте доверенный корневой сертификат (TrustedRoot.crt). Вы можете увидеть сообщение, что ваш корневой сертификат уже установлен. Если это произойдет, просто перейдите к следующему шагу.
• Еще раз выберите опцию «Install Trusted Root Certificate into Key Ring». Теперь вы должны установить файл(ы) промежуточного сертификата. Сначала установите Primary_Intermediate.crt, а затем Secondary_Intermediate.crt.
• Для следующего шага выберите опцию «Install Certificate into Key Ring». Введите имя Key Ring, а затем импортируйте файл вашего сертификата (domain.crt).

Установка SSL-сертификата на IBM HTTP

• В UNIX-е введите IKEYMAN из командной строки. В Windows запустите утилиту управления ключами в папке сервера IBM HTTP.
• В главном пользовательском меню выберите Файл базы данных ключей. Выберите «Открыть».
• Выберите ваш ключ и нажмите «Ок».
• Далее введите ваш пароль и нажмите «Ок».
• Нажмите на ссылку Signer Certificates в Key Database. Нажмите «Добавить».
• Выберите сертификат, который Вы добавляете, затем нажмите «Oк». Начните с Root.crt. Если вы получаете сообщение, что данный файл уже установлен, нажмите «Продолжить».
• Далее необходимо установить файл промежуточного сертификата intermediate.crt в том же порядке, в котором вы установили Root.

• В IKEYMAN нажмите на «Personal Certificates», далее на кнопку «Receive».
• Выберите ваш сертификат (domain_name.crt). Затем нажмите на «Oк».

Установка SSL-сертификата на Exchange 2010

• Скопируйте ваш сертификат на Exchange сервер.
• Запустите консоль управления Exchange следующим образом: Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
• Нажмите «Manage Databases» и далее «Server configuration».
• Выберите ваш сертификат из меню в центре окна, затем нажмите на «Complete Pending Request» в меню «Actions».
• Откройте файл вашего сертификата, после нажмите Open > Complete
  
  Довольно часто Exchange 2010 выдает сообщение об ошибке, начинающееся фразой «The source data is corrupted or not properly Base64 encoded.» Игнорируйте данную ошибку.
• Далее, для того, чтобы начать использовать сертификат, вернитесь к консоли управления Exchange и нажмите «Assign Services to Certificate.»
• Выберите ваш сервер из списка, нажмите «Next».
• Выберите сервисы, которые должны быть защищены сертификатом, нажмите Next > Assign > Finish.
• Ваш сертификат теперь установлен и готов к использованию на Exchange.

Установка SSL-сертификата на Exchange 2007

• Загрузите и переименуйте ваш сертификат. Он должен называться domain_name.cer.
• Скопируйте domain_name.cer на диск С:\ вашего Exchange сервера.
• Откройте Exchange Management Shell. Для этого нажмите Пуск - Программы - Microsoft Exchange Server 2007 и выберите Exchange Management Shell.
• Запустите команды Import-ExchangeCertificate и Enable-ExchangeCertificate вместе (обе команды в одной строке, разделяя чертой):
  Import-ExchangeCertificate -Path C:\domain_name.cer | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
  Сервис-опции могут принимать любые из значений: IMAP, POP, UM, IIS, SMTP. Чтобы отключить сертификат, установите параметр "None".
• Убедитесь, что ваш сертификат позволяет запустить команду Get-ExchangeCertificat.
  [PS] C:\> Get-ExchangeCertificate -DomainName domain.name
  Thumbprint                                                                    Services    Subject
  ----------                                                                          --------      -------
  136849A2963709E2753214BED76C7D6DB1E4A270 SIP.W      CN=domain.name
  В столбике Services буквы SIP и W выставленны для SMTP, IMAP, POP3 и Web (IIS).
• Если ваш сертификат не правильно включен, вы можете перезапустить команду Enable-ExchangeCertificate со вставкой отпечатка аргумента вашего сертификата, как например:
  Enable-ExchangeCertificate -ThumbPrint [paste] -Services "SMTP, IMAP, POP, IIS"
  
• Протестируйте сертификат при помощи соединения вашего сервера с IE, ActiveSync, или Outlook.

Установка SSL-сертификата на Courier IMAP

• Скопируйте ваш сертификат в новый файл вместе с ключом. Содержимое должно выглядеть так:
  -----BEGIN RSA PRIVATE KEY----- (private.key) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- (domain_name.crt) -----END CERTIFICATE-----
  Убедитесь, что между ключом и сертификатом нет пустых строк!
• Сохраните сертификат с секретным ключом, как domain_cert_key.pem в подходящем месте на сервере.
• Скопируйте файл корневого сертификата Thawte root.crt на сервер.
• Чтобы обеспечить безопасность IMAP - найдите и откройте файл imapd-ssl (обычно он находится в /usr/lib/courier-imap/и т.д./).
• Добавьте следующие директивы и месторасположения файлов:
  - TLS_CERTFILE=/some/path/cert_key.pem - TLS_TRUSTCERTS=/some/path/root.crt
  Убедитесь, так же, что расположенная ниже строка присутствует и корректна:
  - TLS_PROTOCOL=SSL3
  
• Для обеспечения безопасности POP3 найдите и откройте файл pop3d-ssl (обычно он находится /usr/lib/courier-imap/и т.д./) и добавьте следующие директивы и месторасположения файлов:
  - TLS_CERTFILE=/some/path/domain_cert_key.pem - TLS_TRUSTCERTS=/some/path/root.crt
  
• Убедитесь, что файл domain_cert_key.pem доступен только для чтения.
• Перезагрузите ваш сервер.

Установка SSL сертификата на IIS 7

1. Нажмите Старт - Панель управления - Internet Information Services (IIS) Manager.
2. Нажмите на имени сервера.
3. В центральном меню откройте «Server Certificates» в разделе «Security».
4. Далее из меню «Actions» в правой части окна нажмите на «Complete Certificate Request». Откроется окно мастера Complete Certificate Request.
5. Загрузите выданный вам сертификат. Затем введите имя сертификата. Имя не является частью сертификата, но оно необходимо администратору, чтобы легко распознать сертификат.
6. Нажмите «ОК» и сертификат будет установлен на сервер.
7. Из меню Connections главного окна Internet Information Services (IIS) Manager выберите имя сервера, на который был установлен сертификат.
8. В разделе Sites выберите сайт, для которого оформлялся сертификат.
9. Из меню Actions в правой части страницы нажмите на Bindings. Откроется окно Site Bindings.
10. В окне Site Bindings нажмите Add... Откроется окно Add Site Binding.
11. В меню Type выберите https.В меню IP address должен быть IP адрес сайта или All Unassigned. Порт, через который траффик будет зашифрован с помощью SSL по умолчанию 443. В поле SSL Certificate надо указать точное имя сертификата, который вы установили (шаг 7).
12. Нажмите «ОК».
13. Ваш сертификат установлен и сайт будет работать через защищенное соединение.

Срок действия сертификата

Как происходит enroll (подтверждение, верификация) сертификата?

• Правильно ли заполнено поле «Компания» в анкете;
• Принадлежит ли домен этой компании;
• Действительно ли компания зарегистрирована в одной или нескольких странах;
• Совпадает ли название компании с указанным в сертификате.

Как проверить правильность установки SSL-сертификата?

• Правильно ли заполнено поле «Компания» в анкете;
• Принадлежит ли домен этой компании;
• Действительно ли компания зарегистрирована в одной или нескольких странах;
• Совпадает ли название компании с указанным в сертификате.

Как сделать запрос CSR?

• Сгенерируйте приватный ключ командой
  openssl genrsa -out private.key 2048
  или с указанием алгоритма шифрования:
  openssl genrsa -des3 -out private.key 1024
  private.key - выходной файл который будет содержать ключ
  2048 - размер ключа. Для SGC Certificate он должен быть равен 1024, для остальных 2048.
• Сгенерируйте CSR (Certificate Sign Request = Строка запроса на подписку сертификата)
  openssl req -new -key private.key -out domain_name.csr
  Здесь domain_name.csr — генерируемый файл, который как раз будет содержать CSR - строку запроса, а private.key — созданный на предыдущем этапе секретный ключ.
• Содержимое domain_name.csr отправляется в анкету, и через какое-то время (после подтверждения) Вы получите сертификат.

Появляется ошибка «поле не соответствует значению в строке CSR». Что делать?

При смене данных владельца домена требуется ли производить измения с сертификатом?

Установка SSL-сертификата на Apache.

• Скопируйте файлы сертификата domain_name.crt, private.key и root.crt на Ваш сервер.
• Откройте файл конфигурации Apache для редактирования блока «VirtualHost». В зависимости от особенностей Вашего сервера этот файл Вы можете найти одним из следующих путей: /etc/httpd/httpd.conf, /etc/httpd/vhosts.d/httpd.conf, /etc/httpd/sites/httpd.conf или /etc/httpd/ssl.conf. Более подробно данную информацию Вы можете уточнить Вашего хостинг-провайдера.
• Отредактируйте блок «VirtualHost», добавив в него следующие строки:
  SSLEngine on SSLCertificateFile /path/to/domain_name.crt SSLCertificateKeyFile /path/to/private.key SSLCertificateChainFile /path/to/root.crt
  
• Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, Вам необходим виртуальный хост для каждого соединения. Поэтому создайте 2 блока «VirtualHost», лишь в один из которых включите SSL-директивы.
• Проверьте конфигурацию Apache до перезапуска командой:
  apachectl configtest
  
• Перезапустите Apache:
  sudo /etc/init.d/apache2 restart
  

Установка SSL-сертификата на Nginx.

• Скопируйте файлы сертификата domain_name.crt, private.key и root.crt на Ваш сервер в директорию/etc/ssl/.
• Объедините файлы domain_name.crt и root.crt в один, выполнив команду:
  cat root.crt >> domain_name.crt
  
• Отредактируйте файл виртуального хоста Nginx, добавив в серверный модуль server {} следующие строки:
  listen 443; ssl on; ssl_certificate /etc/ssl/domain_name.crt; ssl_certificate_key /etc/ssl/domain_name.key;
  
• Если необходимо, чтобы сайт работал и с защищенным соединением и с незащищенным, то продублируйте серверный модуль файла перед добавлением директив и только в один из них добавьте новые строки.
• Перезагрузите сервер Nginx командой
  sudo /etc/init.d/nginx restart
  

Что нужно для того чтобы получить SSL-сертификат?

• контактные данные Вашего домена должны соответствовать тем, которые Вы вводите в заявке на сертификат.
  E-mail подтверждения может быть одним из следующих:
  admin@ваше_имя_домена
  webmaster@имя_домена
  administrator@имя_домена
  hostmaster@имя_домена
  postmaster@имя_домена
  e-mail на основе поддомена, к примеру: admin@mydomain.spb.ru
  
• у домена, для которого заказывается SSL-сертификат, должен быть отключён сервис сокрытия персональных данных Private Person. Исключения составляют зоны .RU и .РФ, в данных зонах установить SSL-сертификат возможно без отключения сервиса Private Person;
• при заказе сертификатов SSL Web Certificate, SGC SuperCert, SSL Wildcard Certificate Вам будет необходимо отправить документы, подтверждающие легальность Вашего бизнеса, по факсу или в виде скан-копий по электронной почте.

Что такое CSR?