Что это такое?
IIS 8 — встроенный веб-сервер доступный на VPS Windows, с помощью которого вы можете располагать сайты в сети Интернет, работать с большим стеком протоколов, создать собственный файл-сервер и использовать многие другие возможности продукта. Управление возможно как из приложения рабочего стола — для новичков, так и из консоли — для опытных системных администраторов. Установка данного свидетельства на сервер позволит защитить ваши данные и повысит уровень доверия клиентов. В нашей инструкции мы подробно рассмотрим этот процесс.
Работа с панелью управления
После заказа SSL-сертификата через панель управления 1cloud , необходимо установить полученные сертификаты .CRT и .CA на сервер
После успешного заказа SSL-сертификата файлы для его установки появятся в панели управления 1cloud (меню SSL):
Однако стоимость их, мягко говоря, завышена. Чтобы создать самоподписанный сертификат, понадобится минут 5 времени, из которых 99% — это ввод данных о домене. Понятно, что компании хотят кушать и поэтому продают их. Бесплатно можно получить лишь при регистрации домена на первый год, это вроде как сыра в мышеловке.
Указанный ниже способ работает, если у вас есть доступ к SSH. Если его нет, то Let’s Encrypt предоставляет бесплатный сертификат только на 3 месяца и придется заморачиваться этим каждый раз.
Let`s Encrupt рекомендует использовать утилиту Certbot. Переходим на сайт утилиты.
К примеру, на моем проекте Электронная сервисная книжка авто веб-сервер Nginx и операционная система Debian 9. Поэтому я выбрал их и далее откроется детальная инструкция по дальнейшим шагам. Если у вас другой веб-сервер или ОС, дальнейшие примеры будут немного отличаться, но шаги будут примерно одинаковыми.
Что такое HTTPS
Для того, чтобы объяснить, что такое HTTPS, обратимся к истокам.
Большая часть запросов в интернете проходит по протоколу HTTP. Его придумали еще в 90-х годах для передачи текстов с гиперссылками (документы, в которых вшиты ссылки для перехода к другим документам). Аббревиатура HTTP расшифровывается как HyperText Transfer Protocol.
Сайт — это по сути своей документ, который состоит из файлов: текста, картинок, видео и так далее. При помощи HTTP браузер просит сервер отправить данные разного формата для отображения страницы.
Для того, чтобы его открыть, протокол HTTP подходил идеально. За исключением одного «но» — его использование не подразумевает шифрование данных. То есть, пока запрос идет от клиента (вас) к серверу и обратно, к информации о вас и о вашем запросе могут иметь доступ посторонние, например, интернет-провайдер или злоумышленники.
В целях повышения безопасности в интернете компания Netscape Communications в 2000-м году выпустила расширение протокола HTTP — HTTPS (HyperText Transfer Protocol Secure). При использовании HTTPS данные передаются поверх криптографических протоколов SSL или TLS и зашифровываются. Для того, чтобы сайт мог работать по протоколу HTTPS, на домен должен быть выпущен и установлен SSL-сертификат.
Что такое SSL/TLS
Перейдем к понятию SSL/TLS. SSL — это сертификат, который подтверждает подлинность веб-сайта. Аббревиатура переводится как Secure Sockets Layer.
SSL-сертификат подтверждает ваш домен или организации и позволяет установить безопасное соединение. Он содержит индивидуальный ключ вашего домена, с помощью которого информация между сервером и клиентом (вами) зашифровывается.
Протокол SSL был выпущен более 25 лет назад компанией NetScape в нескольких версиях, но ни одна из них не могла полностью обеспечить безопасность данных пользователей. Поэтому в 1999 году компания IEFT создала новую версию сертификата — TLS (Transport Layer Security), которая смогла решить проблемы предшественника. Первые версии протокола сейчас не актуальны, но TLS-соединение 2008 и 2018 года все еще используются в наши дни.
Интересно, что компания IEFT не могла использовать в названии аббревиатуру SSL по юридическим причинам (права на имя принадлежали NetScape), но в обиходе мы до сих пор чаще используем именно название первого протокола.
Правильная настройка работы на вашем сайте SSL-сертификата — это гарантия, что данные между пользователем и веб-сайтом или двумя системами зашифрованы. К таким данным относятся имена, адреса, номера телефонов, номера банковских карт и другая информация. SSL не позволяет сторонним пользователям, в том числе и злоумышленники, воспользоваться ими.
Хостинг Beget совместно с некоммерческой организацией Let’s Encrypt запустили открытое бета-тестирование для своих клиентов. Теперь пользователи хостинга Beget бесплатно могут заказать SSL-сертификат, предоставляемый Let’s Encrypt.
Сертификаты Let’s Encrypt распознаются как подтвержденные во всех основных браузерах.
Выпуск, установка и продление бесплатны!
Установить сертификат можно прямо из панели управления хостингом:
1. Перейдите в Панель управления, выберите раздел «Домены»
2. Выберите напротив домена «Управление SSL сертификатами»
3. Во вкладке «Бесплатный SSL сертификат» нажмите Установить
Вы получите уведомление об успешной подаче заявки на ваш email, и еще одно письмо о завершении установки.
Дождитесь письма о выпуске сертификата.
В случае если ваш домен работает от DNS серверов хостинга Beget:
Необходимая DNS запись будет настроена автоматически.
После сохранения, DNS записи обычно обновляются в течение 10-15 минут. Далее проверьте корректную работу сайта через https и при необходимости настройте редирект с http на https на постоянной основе.
Если все прошло успешно, то при запросе сайта по https, в адресной строке браузера вы увидите зеленый замок слева от домена
Всем привет! В этой небольшой статье я расскажу, как установить SSL сертификат на сайт на хостинге Бегет. Если быть точным, то SSL сертификат устанавливается не на сам сайт, а на доменное имя. Поэтому, в первую очередь нужно приобрести домен, который будет привязан к вашему сайту на постоянной основе. Я рекомендую приобретать домены прямо на сайте хостинга Beget. Здесь вы найдете одни из самых низких цен на рынке.
SSL сертификат в наше время является не обязательным, но весьма рекомендуемым пунктом для любого сайта. Такие популярные поисковые системы, как Яндекс и Google ранжируют сайты с установленным SSL сертификатом гораздо лучше, нежели без него. К тому же, наличие иконки закрытого замка вызывает у пользователей больше доверия. Одним словом, установка SSL сертификата на сайт окажет лишь позитивное влияние и им не стоит пренебрегать.
Теперь же непосредственно перейдем к установке сертификата. Для этого нам нужно перейти в панель управления хостингом и выбрать раздел «Домены и поддомены»:
Далее нам нужно выбрать необходимый домен и щелкнуть в правой части от него на иконку щита с подписью SSL:
Выбираем бесплатный SSL сертификат Let’s Encrypt и жмем «Установить»:
Теперь остается вопрос времени. Если ваш домен был зарегистрирован в этот же день, то выпуск сертификата может занимать по времени до 3 суток. Если же ваш домен старше 3-х суток (с момента регистрации), то сертификат будет установлен в течение часа. В любом случае на вашу электронную почту придет уведомление об установке.
Данная инструкция подойдет как для SSL-сертификатов, заказанных в REG.RU, так и для SSL-сертификатов, заказанных в других компаниях.
Важно! Перед установкой SSL-сертификата от REG.RU перейдите в Личный кабинет и убедитесь, что услуга SSL-сертификата активна:
Если услуга неактивна, то воспользуйтесь инструкцией Как активировать SSL-сертификат.
В Windows 10 служба IIS не установлена, но все компоненты программы находятся на ПК. Перед работой с SSL-сертификатом установите IIS на компьютер.
Чтобы установить SSL-сертификат на Microsoft IIS:
-
Нажмите Пуск — Средства администрирования Windows — Диспетчер служб IIS или нажмите Win+R и введите команду inetMgr.
-
Откройте раздел Сертификаты сервера (Server Certificates):
-
-
Конвертируйте сертификат в формат .pfx и сохраните PFX-пароль в надёжном месте.
-
В открывшемся блоке нажмите на троеточие и выберите файл на локальном компьютере. В поле «Пароль» введите PFX-пароль и в качестве хранилища сертификатов выберите Личный. Затем нажмите OK:
-
В блоке «Подключения» (Connections) нажмите Default Web Site:
-
-
В окне «Привязки сайта» (Site Bindings) кликните Добавить (Add):
-
В открывшемся блоке заполните поля:
- Тип (Type) ― https,
- IP-адрес (IP address) ― все неназначенные (All Unassigned) или IP-адрес сервера, на котором расположен сайт,
- Порт (Port) ― 443,
- SSL-сертификат (SSL Certificate) ― выберите имя загруженного сертификата.
Готово, вы установили SSL-сертификат. Теперь ваш сайт будет работать через защищенное соединение.
То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет — это уже вопрос другой.
Оглавление
<!—
—>
Что за сертификат Let’s Encrypt?
Let’s Encrypt — бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG).
Мы помогаем людям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Потому что хотим сделать интернет безопасным, и уважающим конфиденциальность его пользователей.
letsencrypt.org
Куда и зачем мне нужен был SSL сертификат
Начнём с того, что SSL (Secure Sockets Layer) сертификат защищает данные пользователей, которые передаются по сети. Для интеграции с одним из известных маркетплейсов
мне нужно было использовать web-сервис 1С и на тестовом Windows Server, на котором был развёрнут тестовый сервер 1С, был поднят IIS (internet Information Services). Веб сервер Windows.
В требованиях обмена маркетплейса было указано что обмен должен идти через защищенный HTTPS протокол. И не через IP адрес, а через домен. Ниже расскажу последовательность моих действий:
- Установка Windows Server
- Установка Ролей ISS и DNS
- Установка Сервера 1С
- Подключение модуля расширения веб-сервера
- Скачиваем программу LetsEncrypt для Windows
- Настраиваем DNS
- Настраиваем шлюз (в моём случае это был Kerio Control)
- Выпускаем SSL сертификат LetsEncrypt
- Проверяем привязку в Диспетчере служб IIS
- Проверяем планировщик заданий на наличие таска для перевыпуска сертификата
Установку Windows Server и сервера 1С я тут рассматривать не буду, так как. Во-первых Windows Server установка мало чем отличается от установки обычной десктопной винды,
а по 1С можно почитать эту статью. Во-вторых я хочу рассказать именно про то как установить SSL сертификат
от Let’s Encrypt на Windows Server IIS. Начнём!
Установка SSL сертификата на IIS
Скачиваем программу LetsEncrypt-Win-Simple
Для того чтобы выпустить сертификат на Windows Server IIS на необходима программа LetsEncrypt-Win-Simple. Качаем её на официальном сайте www.win-acme.com
Скачиваем и распаковываем архив в директорию на жёстком диске. Для выпуска сертификата нам нужно будет запустить из каталога файл wacs.exe. Но это чуть позже.
Если мы сейчас попытаемся выпустить сертификат, то получим предупреждение
No sites with host bindings have been configured in IIS. Add one in the IIS Manager or choose the plugin 'Manual input' instead.
Добавим веб-сайт в Диспетчере служб IIS
Запускаем Диспетчере служб IIS через панель управления — администрирование. Или через WIN + R
InetMgr.exe
Добавляем записи в Диспетчере DNS
Открываем Диспетчер DNS через команду выполнить WIN + R (или любым удобным для вас способом 😉 )
dnsmgmt.msc
Так как домен у меня находится у хостинг провайдера, то я на всякий случай указал в Диспетчере DNS его NS сервера. В свою очередь у хостинг провайдера прописываем A запись с
нашим выделенным IP адресом. Позже мы настроим правило для того чтобы входящее соединение перебрасывало на нужный сервер.
Выпуск SSL сертификата Let’s Encrypt
И так. У нас есть 1С сервер с расширением веб-сервера, добавили DNS и CNAME записи, указали A запись. Теперь запускаем WACS.EXE и вводим букву N для
инициирования выпуска сертификата. Далее выбираем на какой домен будем выпускать сертификат, даём пару соглашений (y) и вводим email адрес, куда нам будут приходить уведомления
в случае каких-либо проблем (Enter email for notifications about problems and abuse).
В принципе всё готово. По части сертификата. Программа автоматически добавляет привязку 443 SSL порта к сайту в Диспетчере служб IIS и в Планировщике заданий таск на автоматический перевыпуск сертификата, но можно в этом убедиться самостоятельно
Настройка шлюза (роутера)
В моём случае это был Kerio Control. Я добавил правило для всех входящих по HTTPS (443 порт) и по HTTP (80 порт) переадресацию на нужный сервер IIS с SSL сертификатом
И теперь, когда мы перейдём по ссылке https://domain.site то мы увидим заветный замочек в левом углу адресной строки
😎 Всё готово!
<!—
—>
<!——>
<!—Let’s Encrypt — бесплатный—>
<!——>
<!—
—>
Доброго дня, читатели и гости. Как вы думаете возможно ли на сегодняшний момент продвигать свой интернет-ресурс, будь то блог, информационный сайт или интернет-магазин, без перехода на HTTPS?
Для того чтобы разобраться с данным вопросом и принять верное решение считаю полезным рассказать в данной статье о том, что такое HTTPS, в чём отличие HTTP от HTTPS, как перейти на HTTPS и получить бесплатный SSL сертификат Let’s Encrypt на хостинге Beget для сайта или блога, установленного на WordPress. Именно так это реализовано на этом блоге. Я расскажу для чего нужно переходить на HTTPS и кому подойдёт бесплатный SSL сертификат Let’s Encrypt. Итак, поехали.
SSL сертификат что это такое и зачем переходить на https?
Что такое http:// и https://. Отличия
Протокол Передачи Гипертекста — HyperText Transfer Protocol (HTTP) — Набора правил для передачи файлов — тексты, картинки, аудио, видео, и другие мультимедиа в интернет. То есть это правила, при которых информация с сервера в браузер. Например, в браузере Хром вы набираете адрес сайта и на вашем экране появляется страница с картинками, с текстами и т. д. В данный момент как раз и происходит передача. Когда вы пишете адрес, ваш браузер запрашиваете информацию у сервера где лежат файлы (база данных) этого сайта. Сервер отвечает и информациям и в итоге вы на экране видите содержание сайта (картинки, тексты, видео и т. д.).
Безопасный Протокол Передачи Гипертекста HyperText Transfer Protocol Secure (HTTPS) — это расширенная версия HTTP. Это один и тот же протокол, один и тот же набор правил, только в безопасном режиме. Этот безопасный режим как некая вставка — SSL протокол.
Уровень сокетов (SSL протокол) — стандартная технология безопасности для установления зашифрованного соединения между веб-сервером и браузером.
Сокеты — это своего рода технология, в передачу данных встраивается некий протокол безопасности и обеспечивает соединение в зашифрованном виде, те безопасное соединение между веб-сервером и браузером.
А нужен ли нам SSL сертификат?
Ответ очевиден: «Да, SSL сертификат нам нужен и нужен он нам для того, чтобы содержащиеся на вашем веб-ресурсе данные не попали в руки мошенников».
Наш браузер соединяется с сервером и сервер передает информацию в чистом виде. Протокол SSL безопасное соединение в зашифрованном виде.
Для работы SSL протокола требуется чтобы на сервере был установлен SSL сертификат. Это своего рода уникальная цифровая подпись вашего сайта. Сертификат называют паспортом вашего сайта.
подтверждает то, домен принадлежит реальной компании и его владелец вправе пользоваться секретным ключом на законных основаниях.
На изображении , что при данных по HTTP данные передаются в открытом доступе и ими может воспользоваться злоумышленник. Передача же данных по HTTPS осуществляется в зашифрованном виде.
Виды SSL сертификатов:
По доверию:
- Самоподписные (Self-Signed) При переходе на сайт с самоподписным сертификатом вы увидите предупреждение о том, что вы сейчас переходите на сайт, о котором мы ничего не знаем. Вряд ли подобный вариант вызовет у нас доверие.
- Доверительные (Trusted).
По уровню проверки:
- Простые (Domain Validation, DV) — в сертификате указан только домен. Подходит для блогов, информационных сайтов, сайтов визиток.
- С проверкой компании (Organization Validation, OV) — указан домен и название компании. для интернет-магазинов.
- С расширенной проверкой (Extended Validation, EV) — адресная строка браузера, название компании в ней, в сертификате также домен и название компании. для систем, банков.
По количеству доменов на один сертификат:
- для одного домена — устанавливается только на один домен или поддомен.
- — Multi-Domen — защита до 100 доменов.
- — Wildcard — устанавливается на домен и все поддомены.
По цене:
Дальше я расскажу как установить SSL сертификат на сайт WordPress.
Шаг 1 Заказ SSL сертификата на хостинге
Переходим в раздел «Домены и поддомены» и напротив нужного доменного имени выбираем значок сертификата и жмем на «Заказать». Через какое-то время мы увидим информацию о том, что наш сертификат готов.
Шаг 2 Редактирование раздела «Настройки — Общие» в консоле WordPress
Заходим в админ панель нашего сайта на WorldPress. в Настройки Общие.
И меняем Адрес WordPress (URL) и Адрес сайта (URL) с http на https.
Шаг 3 Настройка переадресации
На шаге переводим все URL нашего сайта на . Сделать это очень просто. Для этого достаточно настроить 301 редирект.
По FTP открываем корень нашего сайта. Находим файл . Открываем его на редактирование. И в файл прописываем ряд инструкций в самом начале:
RewriteEngine On
RewriteBase /
Шаг 4 Проверка переадресации
Для того чтобы проверить все ли мы с вами правильно сделали мы используем инструмент проверки наличия редиректа. Вводим название нашего сайта без https и на «проверить». Если все сделано правильно, то мы с вами увидим следующее:
Хорошо! Значит, мы все правильно сделали!
Надеюсь, ознакомившись с , вы без труда для себя определите нужно ли вам переходить на HTTPS и как получить бесплатный SSL сертификат Encrypt на хостинге .
С вами была Юлия Хайретдинова
How to Set Up SSL on IIS 7 or later
by Saad Ladki
Introduction
- Get an appropriate certificate.
- Create an HTTPS binding on a site.
- Test by making a request to the site.
- Optionally configure SSL options, that is, by making SSL a requirement.
- Using IIS Manager.
- Using the AppCmd.exe command line tool.
- Programmatically through Microsoft.Web.Administration.
- Using WMI scripts.
SSL Configuration
When a client connects and initiates an SSL negotiation, HTTP.sys looks in its SSL configuration for the IP:Port pair to which the client connected. The HTTP.sys SSL configuration must include a certificate hash and the name of the certificate store before the SSL negotiation will succeed.
Troubleshooting Tip: If you’re having trouble with an SSL binding, verify that the binding is configured in ApplicationHost.config, and that the HTTP.sys store contains a valid certificate hash and store name for the binding.
Choosing a Certificate
- That the current date and time is within the «Valid from» and «Valid to» date range on the certificate.
- That the certificate’s «Common Name» (CN) matches the host header in the request. For example, if the client is making a request to
https://www.contoso.com/, then the CN must bewww.contoso.com. - That the issuer of the certificate is a known and trusted CA.
Using AppCmd
You cannot request or create a certificate by using AppCmd.exe. You also cannot use AppCmd.exe to create an SSL binding.
Configure SSL Settings
Using WMI
Create an SSL Binding
Configure SSL Settings
<div data-snippet-clipboard-copy-content="CONST SSL = 8
Set oIIS = GetObject("winmgmts:root\WebAdministration")
Set oSection = oIIS.Get(\_
"AccessSection.Path='MACHINE/WEBROOT/APPHOST',Location='Default Web Site'")
oSection.SslFlags = oSection.SslFlags OR SSL
oSection.Put\_ «>
CONST SSL = 8
Set oIIS = GetObject("winmgmts:root\WebAdministration")
Set oSection = oIIS.Get(\_
"AccessSection.Path='MACHINE/WEBROOT/APPHOST',Location='Default Web Site'")
oSection.SslFlags = oSection.SslFlags OR SSL
oSection.Put\_ <a id="IISManager"></a>
IIS Manager
Obtain a Certificate
Select the server node in the treeview and double-click the Server Certificates feature in the listview:
Enter a friendly name for the new certificate and click OK.
Now you have a self-signed certificate. The certificate is marked for «Server Authentication» use; that is, it uses as a server-side certificate for HTTP SSL encryption and for authenticating the identity of the server.
Create an SSL Binding
The default settings for a new binding are set to HTTP on port 80. Select https in the Type drop-down list. Select the self-signed certificate you created in the previous section from the SSL Certificate drop-down list and then click OK.
Now you have a new SSL binding on your site and all that remains is to verify that it works.
Verify the SSL Binding
In the Actions pane, under Browse Web Site, click the link associated with the binding you just created.
Internet Explorer (IE) 7 and above will display an error page because the self-signed certificate was issued by your computer, not by a trusted Certificate Authority (CA). IE 7 and above will trust the certificate if you add it to the list of Trusted Root Certification Authorities in the certificates store it on the local computer, or in Group Policy for the domain.
Click Continue to this website (not recommended).
Configure SSL Settings
Configure SSL settings if you want your site to require SSL, or to interact in a specific way with client certificates. Click the site node in the tree view to go back to the site’s home page. Double-click the SSL Settings feature in the middle pane.
Summary
In this walkthrough, we successfully used the command-line tool AppCmd.exe, the scripting provider WMI, and IIS Manager to set up SSL on IIS.
Выбираем, как хотим запустить Certbot
Если хотим, чтобы бот автоматически установил сертификат и отредактировал конфиг Nginx (прописал пути до полученных сертификатов), выполним команду
sudo certbot —nginx
Если же хотим только установить сертификат, а конфиг потом отредактируете самостоятельно, то выполняем
sudo certbot certonly —nginx
Платный SSL-сертификат
Если вы создаете интернет-магазин, представляете юридическое лицо или планируете собирать данные пользователей, то вы можете установить платный SSL.
Платные сертификаты бывают трех видов (DV, OV, EV).
Их основное преимущество — более высокий уровень защиты данных пользователей и гарантия сертифицированного центра. В случае, если сессионный ключ сертификата будет взломан, то центры обязуются выплатить гарантийную сумму пользователю. При возникновении проблем с сертификатом вы всегда сможете обратиться в техническую поддержку центров, чтобы решить проблему.
Бесплатный SSL-сертификат от Let’s Encrypt
Еще совсем недавно SSL-сертификат можно было либо купить, либо установить самоподписной. Это вызывало ряд проблем: либо его устанавливали на сервера крупный бизнес и сайты с большим потоком посетителей, либо сертификаты не считались браузерами валидными. Это привело к тому, что к большей части сайтов в интернете можно было подключиться только по незащищенному соединению.
Со временем ситуация изменилась. Появилась некоммерческая организация Let’s Encrypt, которая выпускает бесплатные SSL-сертификаты на сайты. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей.
Бесплатный сертификат относится к типу DV (Domain Validation).
Сертификаты Let’s Encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s Encrypt никогда не хранит закрытые ключи на своих серверах, а информация о сертификатах находится в публичном доступе.
Основной минус сертификата от Let’s Encrypt — его действие рассчитано на срок не более 90 дней. Затем его нужно перевыпускать. Сделать это можно как вручную, так и автоматически через планировщик задач Cron. Например у нас можно настроить автоматический перевыпуск сразу в панели. Если вам интересно, вы можете почитать об этом в нашей статье на сайте Beget.
Настройка редиректа на HTTPS
Для того, чтобы ваш сайт работал только по безопасному соединению, вам необходимо настроить редирект страниц вашего сайта на HTTPS. Инструкции по его установке вы можете узнать у своего хостинг-провайдера. Например, в Beget в большинстве случаев вы можете настроить редирект на HTTPS одной кнопкой в Панели управления.
Если же ваш сайт работает через популярные CMS, такие как WordPress, Joomla или Bitrix, то настройка редиректа займет немного больше времени. Вам на помощь придут плагины и дополнительные инструкции.
2. Также вы можете воспользоваться этой инструкцией;
Такие инструкции существуют для всех популярных CMS. Найти вы их сможете в Google или Яндекс по запросу «mixed content» или «смешанное содержимое» с добавлением названия вашей CMS.
Мы считаем, что обеспечить безопасность данных пользователей — важная задача для тех, у кого есть собственные онлайн-ресурсы. Надеемся, эта статья помогла вам разобраться в том, что такое SSL-сертификат, и интернет станет безопаснее
Установка SSL-сертификата сайта (. CRT) на IIS 8
Шаг 1
Запустите Диспетчер Серверов (Server Manager).
Шаг 2
В меню Средства (Tools) выберите Диспетчер служб IIS (Internet Information Services Manager).
Шаг 3
В меню Подключения (Connections) в левой части открывшегося окна выберите сервер, для которого вы ранее генерировали CSR-запрос на подпись сертификата.
Примечание: CSR — Code Signing Request, запрос на выдачу SSL-сертификата.
Шаг 4
В центральной части окна откройте меню Сертификаты Сервера (Server Certificates).
Шаг 5. Для файла .CRT выполните следующие действия:
В панели Действия (Actions) в правой части окна выберите пункт Запрос установки сертификатов (Complete Certificate Request).
В открывшемся окне заполните поля:
Примечание: Для сертификатов Wildcard (сертификата для домена и его поддоменов) укажите имя, соответствующее значению Common Name, из SSL-сертификата. (напр., *.mydomain.com).
- Имя файла, содержащего ответ центра сертификации (File name containing the certificate authority’s response): выберите расположение полученного от центра сертификации файла SSL-сертификата (.crt) и нажмите Открыть (Open).
- В поле Понятное имя (Friendly Name) введите уникальное значение имени SSL-сертификата.
- Выбрать хранилище сертификатов для нового сертификата (Select a certificate store for the new certificate): выберите Личный (Personal).
Шаг 6. Для сертификата .PFX выполните следующие действия:
В панели Действия (Actions) в правой части найдите пункт Импортировать (Import).
В открывшемся окне введите путь до сертификата и пароль защищающий ваш сертификат из панели управления, выберете хранилище.
Шаг 7. Действия для файлов .CRT и .PFX
В меню Подключения (Connections) в левой части окна Диспетчера IIS выберите сервер, для которого только что установили SSL-сертификат. Раскройте список сайтов на сервере и выберите сайт, который вы хотите защитить с помощью SSL-сертификата (эта процедура называется Привязка (Binding)). В панели Действия (Actions) в правой части окна выберите Привязки (Bindings).
Шаг 8
В открывшемся окне нажмите Добавить (Add), и заполните необходимые поля:
Примечение: для привязки Wildcard сертификата необходимо отдельно привязать каждый поддомен (напр., www.mydomain.com, subdomain.mydomain.com)
- Тип (Type): https;
- IP-адрес (IP address): все неназначенные или IP адрес сервера, на котором расположен веб-сайт;
- Имя узла (Hostname): укажите доменное имя, для которого выпущен сертификат (напр., www.mydomain.com);
- Порт (Port): 443;
- SSL-сертификат (SSL certificate): выберите загруженный из панели 1cloud файл .CRT-сертификата.
Шаг 9
В панели Управление веб-сайтом (Manage Web-Site) в правой части окна Диспетчера IIS нажмите Перезапустить (Restart) для завершения процесса установки сертификата.
На этом процедура установки SSL-сертификата на веб-сервер IIS 8 завершена. Для проверки корректности установки перейдите на ваш веб-сайт, используя префикс https:// (напр., https://mydomain.com). Если сертификат установлен правильно, вы увидите замок в адресной строке браузера без отображения ошибок SSL-сертификата. При нажатии на иконку замка будет отображена информация о приобретенном вами SSL-сертификате.
Установка SSL-сертификата на IIS 8
Установка SSL-сертификата на IIS 8
Виды сертификатов
DV — Domain Validation — для подтверждения домена. Это значит, что сертификат подтверждает именно домен сайта, а не его владельца. Он показывает, что подключение защищено, и клиент обменивается зашифрованной информацией с сервером.
OV — Organization Validation — для подтверждения организации и домена. Он позволяет проверить не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV отлично подойдет для социальных сетей, форумов, интернет-магазинов или других ресурсов с приемом платежей.
EV — Extended Validation — для расширенного подтверждения организации и домена. Сертификат с самым высоким уровнем защиты. Рассмотрение его получения на ресурс самый длительный — сертификационная организация проверяет не только владельца, но и регистрационные данные владельца. Предназначен только для юридических лиц. Его могут заказать финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером.
Сертифицированные центры (CA)
Итак, если вы решили выпустить SSL-сертификат на ваш сайт, то вы можете обратиться к доверенным сертифицированным центрам (CA, Certification authority). Вот неполный список проверенных центров:
- Let’s Encrypt. Проверенная и надежная организация, которая выдает бесплатные SSL. Проект поддерживают материально многие крупные IT-компании, чтобы интернет стал безопаснее.
- GlobalSign by GMO. Один из самых крупных сертифицированных центров. GlobalSign выпускают SSL-сертификаты с 1996 года. Центру доверяют такие компании, как Microsoft, Netflix, Airbnb.
- Sectigo (бывший Comodo). Также один из самых авторитетных центров для получения сертификата. К сожалению, в данный момент не работает на территории РФ.
- Symantec. Компания выпускает большое количество продуктов для IT-сферы, которые признают по всему миру, уже около 30 лет. Не выдают сертификаты пользователям из РФ.
При выборе сертифицированного центра важно обращать внимание на его достоверность. Популярные браузеры регулярно проверяют качество сертификатов от разных сервисов. В случае нарушения правил безопасности, сертификаты от некоторых компаний становятся несовместимыми с браузером.
Отличия от других серитификатов
Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let’s Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let’s Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let’s Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.
Выпуск SSL-сертификата через хостинг
Другой способ выпустить сертификат – обратиться к своему хостинг-провайдеру. Обычно хостинг-провайдеры становятся партнерами с сертифицированными центрами.
Выпуск сертификата у вашего провайдера значительно упрощает процесс, ведь вы можете заказать, установить и настроить его в одном окне.
- Скорее всего у вашего хостинг-провайдера есть отдельная вкладка или кнопка для выпуска SSL-сертификата. В Beget вы можете найти ее в разделе «Домены и поддомены». Напротив домена вы увидите щит «SSL».
Кликнув на иконку щита, вы перейдете на страницу для выпуска или установки сертификата.
- Чтобы выпустить бесплатный сертификат достаточно выбрать его тип: обычный (может включать до 39 доменов) или Wildcard (сможет охватить неограниченное количество доменов).
- Для заказа платного сертификата вам нужно выполнить немного больше действий: выбрать тип сертификата (DV, OV или EV) и ввести данные владельца домена. Срок выпуска платного сертификата занимает от 2 дней.
- В последней вкладке «Установка SSL сертификата» вы можете ввести номер и приватный ключ уже имеющегося сертификата, а также выбрать домен, на который вы его устанавливаете.
Важно, что SSL-сертификат выпускается со стороны сервера, на котором он находится. Поэтому для выпуска SSL вам нужно обращаться к хостингу, на котором расположены файлы вашего сайта.
Вот и все!
Несколько простых шагов и на вашем сайте установлен SSL-сертификат.
Устанавливаем Certbot
sudo apt-get install certbot python-certbot-nginx
Как работает SSL
SSL-сертификат позволяет установить TLS-соединение с сервером, которое работает по следующей схеме:
Все шаги для подключения по безопасному соединению занимают миллисекунды.
Сценарий подключения по TLS-соединению возможен, если сервер воспринимает ваш сертификат как действительный. Если же ваш сертификат невалиден, то вы не сможете подключиться к сайту по безопасному соединению. Невалидным может считаться сертификат, срок действия которого истек. Ошибку также может вызвать самоподписной сертификат. Браузеры принимают только сертификаты, которые были выпущены у сертифицированных центров.
Чтобы проверить валидность сертификата вы можете воспользоваться онлайн-ресурсами. Например, с помощью инструмента «Проверка SSL» от 2IP.
Переадресация с http на https
Но даже после этих действий установка сертификата не завершена окончательно. Теперь Ваш сайт доступен по двум адресам: по протоколу http и по протоколу https. По сути поисковики видят ваш сайт как 2 разных сайта с абсолютно одинаковым контентом и воспринимает его как плагиат. Думаю не стоит объяснить, насколько это плохо для SEO.
Поэтому, нам нужно настроить редирект с http на https. Во многих современных CMS (системах управления сайтами, «движках») эта функция встроена по умолчанию:
Если же такой функции нет, то вам необходимо в корне сайта (корень сайта — это все содержимое, находящееся в папке public_html) найти файл .htaccess, открыть его в текстовом редакторе (я рекомендую использовать Sublime Text последней версии, но можно обойтись и стандартным блокнотом), найти строчку RewriteEngine On (если этой строчки нет, то ее необходимо добавить, без этой команды редиректы работать не будут) и вставить ниже следующий код:
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]У меня на хостинге Beget такая комбинация прекрасно работает. Если же у вас этот код работать отказывается, то попробуйте использовать другие варианты:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]RewriteEngine On
RewriteCond %{HTTPS} =off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteEngine On
RewriteCond %{ENV:HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Зачем нужен SSL
SSL играет роль и в SEO-оптимизации. Google и Яндекс учитывают наличие валидного сертификата и работу сайта по HTTPS как один из факторов ранжирования сайта в поисковой выдаче.
Если ваш сайт работает по HTTP, то рядом с адресной строкой браузеры выводят предупреждение «Не защищено», а значит пользователи будут меньше доверять вашему ресурсу.
Как я это делаю
Автоматическое продление сертификата
Certbot будет автоматически продлевать сертификат через задания cron или таймер systemd.
Чтобы выполнить тестовый запуск с симуляцией продления выполните команду
sudo certbot renew —dry-run
На этом всё. После этих действий Certbot будет автоматически продлевать сертификат на каждые 3 месяца. А сейчас можно зайти на свой сайт и убедиться, что сертификат уже действует!
На примере odo24.ru заходим на сайт (в моем случае Chrome), нажимаем возле адреса сайта замочек и выбираем пункт Сертификат
Установка сертификата Центра Сертификации (. CA) на IIS 8
Шаг 1
Откройте командную строку (Win+R) и наберите в ней mmc для открытия Корня консоли (Microsoft Management Console).
Шаг 2
В открывшемся окне Консоль1 (Console1), откройте меню Файл (File) и выберите пункт Добавить или удалить оснастку (Add/Remove Snap-in).
Шаг 3
В левой части открывшегося окна выберите пункт Сертификаты (Certificates) и нажмите кнопку Добавить (Add) по центру экрана.
Шаг 4
В открывшейся Оснастке диспетчера сертификатов (Certificates Snap-in) выберите пункт Учетной записи компьютера (Computer Account).
Шаг 5
Во вкладке Выбор компьютера (Select Computer) выберите Локальный компьютер (Local Computer) и нажмите Готово (Finish).
Шаг 6
Закройте оснастку Add or Remove Snap-in нажатием кнопки ОК.
Шаг 7
В той же Консоли 1 (Console 1) выберите пункт Промежуточные центры сертификации (Intermediate Certification Authorities), кликните на него правой кнопкой мыши — Все задачи (All tasks) — Импорт (Import).
Шаг 8
В открывшемся окне нажмите Далее (Next). Выберите загруженный из панели управления 1cloud.ru файл .CA-сертификата и нажмите Открыть (Open).
Шаг 9
Шаг 10
Нажмите OK и завершите Мастер импорта сертификатов.
Шаг 11
Закройте Консоль 1 (Console 1), ответив Нет на запрос о сохранении изменений.
Минусы
Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.