Întrebări frecvente

Pentru a instala certificatul SSL pe un server, trebuie să încărcați fișierele certificatului SSL, inclusiv certificatele rădăcină și intermediar (de obicei incluse într-un fișier CA Bundle), de pe dispozitivul dvs. pe serverul site-ului web pe care doriți să îl securizați. Deoarece nu există un proces universal de instalare a certificatelor SSL, cel mai rapid mod de a activa HTTPS pe orice server este să urmați ghidurile noastre de instalare SSL.

Copiați link-ul

Instalați certificatul SSL pe serverul de găzduire al site-ului dumneavoastră. Directorul de fișiere variază de la un sistem la altul, dar de obicei este indicat lângă secțiunea „Upload Certificate”. Unele platforme vor încărca automat certificatul în folderul corect, în timp ce alți clienți pot suporta doar comenzi OpenSSL pentru instalarea certificatului.

Copiați link-ul

Pentru a instala certificatul SSL pe site-ul dvs. web, trebuie să îl obțineți de la o autoritate de certificare validă prin trimiterea cererii de semnare a certificatului (CSR). După ce autoritatea de certificare validează cererea dumneavoastră, veți primi fișierele de instalare prin e-mail. Următorul pas este să le descărcați pe computerul local și apoi să încărcați fișierele pe serverul site-ului web. Aceasta este o scurtă explicație a modului de activare a SSL.

Copiați link-ul

Costul instalării unui certificat SSL pe un site web va varia în funcție de tipul de certificat ales și de autoritatea de certificare. Un certificat costă între 7 și sute de dolari pe an.

Costul instalării unui certificat SSL pe site-ul dvs. web de către cineva va depinde de competențele profesionale și de complexitatea instalării. Puteți găsi dezvoltatori web sau profesioniști IT care sunt specializați în instalarea de certificate SSL și puteți negocia un tarif cu aceștia în funcție de experiența lor și de amploarea proiectului. Costurile acestora variază între 20 și câteva sute de dolari.

Copiați link-ul

Timpul necesar pentru instalarea unui certificat SSL depinde de câțiva factori, cum ar fi platforma serverului web, tipul de autoritate de certificare și complexitatea instalării. În general, un certificat SSL poate fi instalat în câteva minute dacă sunt disponibile toate detaliile necesare. În cazul în care sunt necesare etape suplimentare, instalarea poate dura mai mult timp.

Copiați link-ul

Instalarea unui certificat SSL este destul de ușoară și se poate face, de obicei, în câțiva pași simpli. În primul rând, va trebui să generați un fișier CSR (Certificate Signing Request) și să îl trimiteți autorității de certificare. Odată ce certificatul SSL este emis, va trebui să îl instalați pe serverul web. În funcție de server, procesul de instalare poate varia, dar documentația furnizată de compania de găzduire sau de CA ar trebui să fie simplă.

Copiați link-ul

Puteți verifica integritatea unui certificat SSL și a unei perechi de chei private cu ajutorul aplicației
OpenSSL
și liniile de comandă ale acestuia.

Procesul constă în patru etape:

1. Verificați dacă cheia privată nu a fost modificată.
2. Verificați dacă valoarea modulului se potrivește cu cheia privată și cu perechea de certificate SSL
3. Efectuați cu succes criptarea cu cheia publică din certificat și decriptarea cu cheia privată
4. Confirmă integritatea fișierului, care este semnat cu cheia privată

Verificarea integrității cheii private

Executați următoarea comandă: openssl rsa -in [key-file .key] -check -noout

Iată un exemplu de cheie privată coruptă:

Alte erori care rezultă dintr-o cheie modificată/contrafăcută sunt enumerate mai jos:

• Eroare cheie RSA: p nu este prim
• Eroare de cheie RSA: n nu este egal cu p q
• Eroare cheie RSA: d e nu este congruent cu 1
• Eroare cheie RSA: dmp1 nu este congruent cu d
• Eroare cheie RSA: iqmp nu este inversul lui q

Dacă ați întâlnit una dintre erorile de mai sus, cheia privată a fost modificată și este posibil să nu funcționeze cu cheia publică. Luați în considerare crearea unei noi chei private și solicitarea unui certificat de înlocuire.

Iată un exemplu de cheie privată care respectă integritatea:

Verificați dacă valoarea modulului se potrivește cu cheia privată și cu perechea de certificate SSL

Notă:

Modulul cheii private și al certificatului trebuie să corespundă exact.

Pentru a vizualiza modulul certificatului, executați comanda:

openssl x509 -noout -modulus -in [certificate-file .cer]

Pentru a vizualiza modulul cheii private Modulus, executați comanda:

openssl rsa -noout -modulus -in [key-file .key]

Criptarea cu cheia publică de la și decriptarea cu cheia privată

1. Obțineți cheia publică din certificat:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Criptați conținutul fișierului test.txt utilizând cheia publică

Creați un nou fișier numit test.txt (puteți folosi Notepad) cu conținutul „test de mesaj”. Executați următoarea comandă pentru a crea un mesaj criptat în fișierul cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3.Decriptarea dincipher.txt utilizând cheia privată
Executați următoarea comandă pentru a decripta conținutul cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Asigurați-vă că puteți decripta conținutul fișierului cipher.txt în terminalul dvs. Ieșirea din terminal trebuie să corespundă conținutului din fișierul test.txt.

În cazul în care conținutul nu se potrivește, cheia privată a fost falsificată și este posibil să nu funcționeze cu cheia dumneavoastră publică. Luați în considerare crearea unei noi chei private și solicitarea unui certificat de înlocuire. Iată un exemplu de mesaj decriptat:

4. Confirmați integritatea fișierului semnat cu cheia privată

Rulați următoarea comandă pentru a semna fișierul test.sig și test.txt cu cheia dvs. privată:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Acum, verificați fișierele semnate cu cheia dvs. publică extrasă la pasul 1.

openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt

Asigurați-vă că ieșirea din terminal este exact ca în exemplul de mai jos:

În cazul în care cheia dvs. privată este falsificată, veți primi următorul mesaj:

În acest caz, trebuie să creați o nouă cheie privată și să solicitați un certificat de înlocuire.

Sursa: Baza de cunoștințe Digicert’s Knowledge Base

Copiați link-ul

În directorul ~/public de pe serverul dvs., s-ar putea să găsiți folderul .well-known. URI-urile bine cunoscute sunt identificatori de resurse uniforme pentru servicii sau informații bine cunoscute, disponibile în mod constant pe toate serverele la adresele URL.

Unele servere creează automat folderul .well-known , dar uneori este posibil să fie necesar să îl adăugați manual. Acest director acționează ca un protocol bazat pe web pentru a prelua metadatele site-ului despre o gazdă înainte de a face o cerere.

Pentru ce este folosit folderul .well-known?

Atunci când comandați un certificat SSL, trebuie să dovediți că sunteți proprietarul domeniului ca parte a DCV. Dacă alegeți metoda HTTP/HTTPS, va trebui să creați directorul .well-known, folderul în care trebuie să încărcați un fișier TEXT pentru ca autoritatea de certificare să analizeze și să aprobe cererea SSL.

Fișierul ar trebui să fie accesibil prin intermediul unui link de pe un site web live. După ce adăugați fișierul de validare, sistemul CA crawler va scana site-ul dvs. web și va căuta fișierul. După ce îl găsește, ar trebui să treceți de validarea domeniului în câteva minute.

Copiați link-ul

Pentru a crea folderul bine-cunoscut, veți avea nevoie de acces la serverul dvs. prin intermediul unui client SFTP, al unui panou de control de găzduire web sau prin orice alt mijloc adecvat. Iată cum să creați folderul .well-known pe cele mai cunoscute platforme:

Cum se creează dosarul .well-known pe serverele bazate pe Linux?

Instrucțiunile de mai jos sunt valabile pentru serverele Ubuntu, Debian și CentOS.

1. Mergeți la directorul rădăcină al site-ului dvs.
2. Creați un director numit „.well-known”
3. În interiorul acestuia, creați un alt folder numit „pki-validation”
4. Încărcați fișierul TXT în directorul „pki-validation”.

Cum se creează folderul .well-known în cPanel?

1. Autentificați-vă în WHM sau săriți acest pas dacă nu aveți WHM
2. Localizați și conectați-vă la contul cPanel pentru numele de domeniu.
3. Faceți clic pe „File Manager”
4. Alegeți opțiunea „Web Root (public_html/www)” și faceți clic pe „Go”.
5. Creați un nou dosar numit .well-known
6. În interiorul acelui dosar, creați un alt dosar numit: pki-validation
7. Încărcați fișierul TXT în folderul pki-validation

Cum se creează dosarul .well-known în Plesk?

1. Utilizați opțiunea File Manager și accesați secțiunea Files (Fișiere) din meniul din dreapta.
2. Ar trebui să creați folderul.well-known în folderul rădăcină implicit al documentului pentru domeniul dumneavoastră, care în Plesk este httpdocs.
3. Pentru a crea dosarul, selectați New (Nou), apoi Create Directory (Creare director).
4. În interiorulfolderului .well-known, creați subfolderul pki-validation .
5. Utilizați butonul Upload (Încărcare ) pentru a adăuga fișierul TXT de validare în folderul pki-validation.

Cum se creează dosarul .well-known în serverele Windows IIS?

Serverele bazate pe Windows nu vă permit să puneți un punct în numele unui dosar, de aceea trebuie să urmați acești pași:

1. Mergeți la unitatea C:.
2. Creați un nou dosar numit bine-cunoscut
3. În interiorul folderului cunoscut, creați un alt folder numit pki-validation.
   Până acum, dosarele dvs. ar trebui să arate astfel: C:well-knownpki-validation
4. Încărcați fișierul TXT în dosarul pki-validation
5. Deschideți IIS Manager pe serverul dumneavoastră
6. Faceți clic dreapta pe site-ul dvs. și selectați Add Virtual Directory
7. În secțiunea Alias scrieți .well-known
8. În zona Calea psihică introduceți calea către folderul bine cunoscut. De exemplu:
   C:bine-cunoscut
9. Apăsați OK pentru a crea acest alias

Cum se creează un dosar .well-known în WordPress?

Puteți crea un dosar .well-known în WordPress în trei moduri diferite.

1. Utilizarea unui plugin special
2. Prin panoul de găzduire web
3. Printr-un client SFTP, cum ar fi FileZilla

Nu vă recomandăm să utilizați un plugin, deoarece acesta poate cauza probleme de compatibilitate și securitate în timp. În schimb, utilizați instrucțiunile noastre de mai sus pentru a crea folderul .well-known în cPanel, cel mai popular panou de găzduire.

Dacă nu aveți cPanel, utilizați un client SFTP. Conectați-vă la serverul dvs. și căutați directorul .well-knwon în folderul ~/public. Dacă nu se află acolo, faceți clic dreapta pe folderul public, alegeți Create directory (Creați un director ) și denumiți noul director .well-known (bine-cunoscut).

Cum se creează un dosar .well-known în AWS?

1. Utilizați comanda bash pentru a crea dosarul .well-known.folder în instanța AWS EC2:
   mkdir -p .well-known/pki-validation
2. Puneți fișierul de validare în subfolderul pki-validation:
   nano .well-known/pki-validation/HashFileName.txt

Cum se creează .well-known în macOS X Server?

Conectați-vă la server prin intermediul clientului FTP încorporat sau al interfeței de linie de comandă.

FTP

1. Apăsați Command+K
2. În fereastra Connect to Server (Conectare la server ), introduceți adresa serverului FTP. De exemplu, ftp://ftp.yourdomain.com. Faceți clic pe conectare.
3. Apoi, introduceți numele de utilizator și parola FTP și apăsați din nou Connect.
4. Găsiți directorul rădăcină al domeniului dumneavoastră.
5. Creați un director numit .well-known
6. În interiorul. binecunoscut, creați un alt dosar numit pki-validation.
7. Încărcați fișierul TXT în interiorul directorului pki-validation

Interfața liniei de comandă

Puteți utiliza SSH și protocolul Secure Copy pentru a încărca fișierul TXT.

scp AC3E5D6D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Unde „AC3E5D6D6I8G12935LSJEIK.txt” este numele fișierului de validare, „your_username” este numele de utilizator al contului dvs. de server, „hostname.tld” este numele de gazdă al serverului Mac OSX și „/Library/WebServer/Documents/” este directorul implicit al dosarului rădăcină al documentului.

Pentru toate tipurile de servere, dacă ați făcut totul corect, ar trebui să puteți deschide următorul URL și să vedeți codul hash împreună cu „comodoca.com” în orice browser web:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Copiați link-ul

Da, puteți vedea ce informații include CSR-ul dumneavoastră, utilizând instrumentul nostru CSR. Acesta face un proces care este opus criptării.

Copiați link-ul