Вопросы и ответы

Чтобы установить SSL-сертификат на сервер, Вы должны загрузить файлы SSL-сертификатов, включая корневой и промежуточный сертификаты (обычно они входят в состав файла CA Bundle), с Вашего устройства на сервер сайта, который Вы хотите зашифровать. Поскольку универсального процесса установки SSL-сертификата не существует, самый быстрый способ включить HTTPS на любом сервере — это следовать нашим руководствам по установке SSL.

Копировать ссылку

Чтобы установить SSL-сертификат на свой сайт, Вы должны получить его от действующего центра сертификации, отправив запрос на подписание сертификата. После того, как ЦС подтвердит Вашу заявку, Вы получите установочные файлы по электронной почте. Следующим шагом будет их загрузка на Ваш локальный компьютер, а затем загрузка файлов на сервер сайта. Это краткое объяснение того, как включить SSL.

Копировать ссылку

Вы устанавливаете SSL-сертификат на хостинг-сервер Вашего сайта. Каталог файлов зависит от системы, но обычно он указывается рядом с разделом «Upload Certificate». Некоторые платформы автоматически загружают сертификат в нужную папку, в то время как другие клиенты могут поддерживать только команды OpenSSL для установки сертификата.

Копировать ссылку

Стоимость установки SSL-сертификата на сайт зависит от типа выбранного Вами сертификата и центра сертификации. Покупка сертификата стоит от $7 до сотен долларов в год.

Стоимость услуг специалиста по установке SSL-сертификата на Ваш сайт будет зависеть от его квалификации и сложности Вашей конкретной установки. Вы можете найти веб-разработчиков или ИТ-специалистов, которые специализируются на установке SSL-сертификатов, и договориться с ними о плате в зависимости от их опыта и объема проекта. Их стоимость варьируется от $20 до нескольких сотен долларов.

Копировать ссылку

Время, необходимое для установки SSL-сертификата, зависит от нескольких факторов, таких как платформа веб-сервера, тип центра сертификации и сложность установки. Вообще говоря, сертификат SSL можно установить за несколько минут, если имеется вся необходимая информация. Если потребуются дополнительные шаги, установка может занять больше времени.

Копировать ссылку

Установить SSL-сертификат довольно просто, и обычно это можно сделать в несколько простых шагов. Сначала Вам нужно будет создать файл запроса на подписание сертификата (CSR) и отправить его в центр сертификации. Как только SSL-сертификат будет выпущен, Вам нужно будет установить его на веб-сервер. В зависимости от сервера, процесс установки может отличаться, но документация, предоставленная хостинговой компанией или CA, должна упростить этот процесс.

Копировать ссылку

Вы можете проверить целостность сертификата SSL и пары закрытых ключей с помощью
утилиты OpenSSL
и ее командной строки.

Процесс состоит из четырех шагов:

1. Убедитесь, что закрытый ключ не был изменен.
2. Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL
3. Успешно выполните шифрование с помощью открытого ключа из сертификата и расшифровку с помощью закрытого ключа
4. Подтвердите целостность файла, который подписан закрытым ключом

Проверьте целостность закрытого ключа

Выполните следующую команду: openssl rsa -in [key-file .key] -check -noout

Вот пример испорченного закрытого ключа:

Ниже перечислены другие ошибки, возникающие из-за измененного/подделанного ключа:

• Ошибка ключа RSA: p не простой
• Ошибка ключа RSA: n не равно p q
• Ошибка ключа RSA: d e не конгруэнтно 1
• Ошибка ключа RSA: dmp1 не конгруэнтен d
• Ошибка ключа RSA: iqmp не обратен q

Если Вы столкнулись с любой из вышеперечисленных ошибок, Ваш закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата.

Вот пример закрытого ключа, который отвечает требованиям целостности:

Проверьте соответствие значения модуля с парой закрытого ключа и сертификата SSL

Примечание:

Модули закрытого ключа и сертификата должны точно совпадать.

Чтобы просмотреть модуль сертификата, выполните команду:

openssl x509 -noout -modulus -in [certificate-file .cer]

Чтобы просмотреть закрытый ключ Modulus, выполните команду:

openssl rsa -noout -modulus -in [key-file .key]

Зашифруйте с помощью открытого ключа и расшифруйте с помощью закрытого ключа.

1. Получите открытый ключ из сертификата:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Зашифруйте содержимое файла test.txt с помощью открытого ключа

Создайте новый файл под названием test.txt (Вы можете использовать Блокнот) с содержанием «message test». Выполните следующую команду, чтобы создать зашифрованное сообщение в файле cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Расшифруйте содержимое cipher.txt с помощью закрытого ключа
Выполните следующую команду для расшифровки содержимого cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Убедитесь, что Вы можете расшифровать содержимое файла cipher.txt на своем терминале. Вывод из терминала должен совпадать с содержимым файла test.txt.

Если содержимое не совпадает, значит, закрытый ключ был подделан и может не работать с Вашим открытым ключом. Подумайте о создании нового закрытого ключа и запросе на замену сертификата. Вот пример расшифрованного сообщения:

4. Подтвердите целостность файла, подписанного закрытым ключом

Выполните следующую команду, чтобы подписать файл test.sig и test.txt Вашим закрытым ключом:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Теперь проверьте подписанные файлы с помощью Вашего открытого ключа, извлеченного из шага 1.

openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt

Убедитесь, что вывод из терминала выглядит так, как показано в примере ниже:

Если Ваш закрытый ключ будет подделан, Вы получите следующее сообщение:

В этом случае Вам следует создать новый закрытый ключ и запросить замену сертификата.

Источник: База знаний Digicert

Копировать ссылку

В каталоге ~/public на Вашем сервере Вы можете найти папку .well-known. Известные URI — это унифицированные идентификаторы ресурсов для известных сервисов или информации, постоянно доступных на всех серверах по URL.

Некоторые серверы создают папку .well-known автоматически, но иногда Вам может потребоваться добавить ее вручную. Этот каталог действует как веб-протокол для получения метаданных сайта о хосте перед выполнением запроса.

Для чего используется папка .well-known?

При заказе SSL-сертификата Вы должны подтвердить владение доменом как часть DCV. Если Вы выбрали метод HTTP/HTTPS, Вам придется создать каталог .well-known — папку, в которую Вы должны загрузить ТЕКСТОВЫЙ файл, чтобы ЦС проверил и одобрил Ваш SSL-запрос.

Файл должен быть доступен по живой ссылке на сайте. После того, как Вы добавите файл проверки, система CA crawler будет сканировать Ваш сайт и искать этот файл. Как только он найдет его, Вы пройдете проверку домена в течение нескольких минут.

Копировать ссылку

Чтобы создать папку well-known, Вам понадобится доступ к Вашему серверу через SFTP-клиент, панель управления хостингом или любым другим подходящим способом. Вот как создать папку .well-known на самых популярных платформах:

Как создать папку .well-known на серверах под управлением Linux?

Приведенные ниже инструкции действительны для серверов Ubuntu, Debian и CentOS.

1. Перейдите в корневой каталог Вашего сайта
2. Создайте каталог под названием «.well-known».
3. Внутри нее создайте еще одну папку под названием «pki-validation».
4. Загрузите TXT-файл в директорию «pki-validation».

Как создать папку .well-known в cPanel?

1. Войдите в WHM, или пропустите этот шаг, если у Вас нет WHM.
2. Найдите и войдите в учетную запись cPanel для Вашего доменного имени
3. Нажмите на «Диспетчер файлов».
4. Выберите опцию «Web Root (public_html/www)» и нажмите «Go».
5. Создайте новую папку под названием .well-known
6. Внутри этой папки создайте еще одну папку под названием: pki-validation
7. Загрузите Ваш TXT-файл в папку pki-validation.

Как создать папку .well-known в Plesk?

1. Воспользуйтесь опцией File Manager и перейдите в раздел Files в правом боковом меню.
2. Вам следует создать папку.well-known в корневой папке документов по умолчанию для Вашего домена, которая в Plesk называется httpdocs.
3. Чтобы создать папку, выберите Новый, затем Создать каталог.
4. Внутрипапки .well-known создайте подпапку pki-validation .
5. Используйте кнопку Upload , чтобы добавить TXT-файл проверки в папку pki-validation.

Как создать папку .well-known на серверах Windows IIS?

Серверы на базе Windows не позволяют ставить точку в имени папки, поэтому Вам необходимо выполнить следующие действия:

1. Перейдите на диск C:
2. Создайте новую папку под названием well-known
3. Внутри известной папки создайте еще одну папку с именем pki-validation.
   На данный момент Ваши папки должны выглядеть следующим образом: C:well-knownpki-validation
4. Загрузите TXT-файл в папку pki-validation.
5. Откройте Менеджер IIS на Вашем сервере
6. Щелкните правой кнопкой мыши на своем сайте и выберите Добавить виртуальную директорию.
7. В разделе Псевдоним напишите .well-known
8. В области Psychical Path введите путь к известной папке. Например:
   C:well-known
9. Нажмите OK, чтобы создать этот псевдоним

Как создать папку .well-known в WordPress?

Вы можете создать папку .well-known в WordPress тремя разными способами.

1. Использование специального плагина
2. Через панель Вашего хостинга
3. Через SFTP-клиент, например, FileZilla

Мы не рекомендуем использовать плагины, поскольку со временем они могут вызвать проблемы с совместимостью и безопасностью. Вместо этого воспользуйтесь нашими инструкциями выше, чтобы создать папку .well-known в cPanel, самой популярной панели хостинга.

Если у Вас нет cPanel, используйте SFTP-клиент. Подключитесь к своему серверу и внутри папки ~/public найдите директорию .well-knwon. Если его там нет, щелкните правой кнопкой мыши на общей папке, выберите Создать каталог и назовите новый каталог .well-known.

Как создать папку .well-known в AWS?

1. Используйте команду bash, чтобы создать папку .well-known.folder в экземпляре AWS EC2:
   mkdir -p .well-known/pki-validation
2. Поместите файл валидации в подпапку pki-validation:
   nano .well-known/pki-validation/HashFileName.txt

Как создать .well-known в macOS X Server?

Подключитесь к своему серверу с помощью встроенного FTP-клиента или интерфейса командной строки.

FTP

1. Нажмите Command+K
2. В окне Подключение к серверу введите адрес FTP-сервера. Например, ftp://ftp.yourdomain.com. Нажмите кнопку подключить.
3. Затем введите Ваше имя пользователя и пароль для FTP и снова нажмите Connect.
4. Найдите корневую директорию Вашего домена.
5. Создайте каталог под названием .well-known
6. Внутри. известной папки, создайте еще одну папку под названием pki-validation.
7. Загрузите TXT-файл в каталог pki-validation .

Интерфейс командной строки

Вы можете использовать SSH и протокол Secure Copy для загрузки TXT-файла.

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Где ‘AC3E5D6I8G12935LSJEIK.txt’ — имя файла проверки, ‘your_username’ — имя пользователя Вашей учетной записи на сервере, ‘hostname.tld’ — имя хоста Вашего сервера Mac OSX, а ‘/Library/WebServer/Documents/’ — каталог по умолчанию корневой папки документа.

Для всех типов серверов, если Вы все сделали правильно, Вы должны иметь возможность открыть следующий URL и увидеть хэш-код вместе с «comodoca.com» в любом веб-браузере:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Копировать ссылку

Да, Вы можете посмотреть, какую информацию содержит Ваш CSR, с помощью нашего инструмента CSR Decoder. Он выполняет процесс, противоположный шифрованию.

Копировать ссылку