Тильда предоставляет бесплатный SSL-сертификат от Let’s Encrypt, поэтому отдельно покупать сертификат нет необходимости. После подключения сертификат продлевается автоматически.
Если слова https или ssl вам не знакомы, советую сначала изучить данную статью, после чего приступить к этой. В материале будет рассмотрена практическая часть установки ssl-сертификата с минимальной теоретической частью.
Обратите внимание! Пункт 4 в инструкции по переезду на HTTPS неактуален, яндекс отказался от использования директивы host. Сейчас взамен этого необходимо настроить 301 редирект или канонические адреса, подробнее в Яндекс.Помощи.
Существует большое количество методов установки ssl-сертификата, в этой статье осветим наиболее распространенные.
Но перед установкой стоит рассмотреть еще один важный вопрос, как подтвердить право владения доменом.
Сегодня SSL-сертификат — обязательный атрибут серьезных сайтов. Расскажем, как установить бесплатный SSL-сертификат на сайт.
SSL-сертификат — это цифровой сертификат, позволяющий подтвердить подлинность сайта и использовать зашифрованное соединение. Зашифрованное соединение нужно для защиты от считывания и изменения информации между пользователем и сайтом. Благодаря SSL-сертификату злоумышленники не смогут вклиниться в это взаимодействие и что-либо изменить. Так, наличие SSL-сертификата крайне желательно в случае, если пользователь оставляет на сайте свою контактную информацию и данные банковской карты.
Что необходимо для выпуска SSL-сертификата
Для выпуска SSL-сертификата нужно воспользоваться услугами Центра сертификации (ЦС). Центров сертификации довольно много: например, Comodo, GlobalSign — они выпускают платные сертификаты. Стоимость сертификата зависит от разных параметров и может составлять от 3000 до 80000+ рублей в год.
При этом большинству сайтов достаточно проверки по доменному имени или компании. А с технической точки зрения обычный пользователь никогда не ощутит разницы между платным и бесплатным сертификатом.
Сейчас вы научитесь выпускать SSL-сертификат, используя бесплатный Центр сертификации Let’s Encrypt — за 0 рублей.
Как добавить сертификат на сервере
Рассмотрим установку сертификата на примере операционной системы Centos.
Наша команда INDEXIS занимается разработкой веб-проектов с продуктовым подходом и в основном использует технологию «1С-Битрикс». «1С-Битрикс» чаще всего устанавливают на сервер с операционной системой Centos. Этим обусловлен выбор ОС Centos в качестве примера.
Чтобы выпустить бесплатный SSL-letsencrypt сертификат, нужно:
1. Установить certbot и использовать команду: yum install certbot. Это команда для установки софта от ЦС Let’s encrypt, который поможет выпускать и перевыпускать сертификаты.
2. Выпустить сертификат. Есть тонкости при выпуске сертификатов для доменов разного уровня:
2.1. Для конкретного доменного имени (предположим, доменное имя: domain.ru) нужно использовать команду: certbot certonly -d domain.ru -d www.domain.ru. Такой сертификат позволит подключить SSL по двум адресам: domain.ru и www.domain.ru.
2.2. Для поддоменов 3-го уровня, например, dev.domain.ru, есть 2 варианта:
2.2.1. Выпустить по той же команде, но с добавлением адреса конкретного поддомена (в следующей команде используется в качестве примера dev.domain.ry): certbot certonly -d domain.ru -d www.domain.ru -d dev.domain.ru -d www.dev.domain.ru
2.2.2. Выпустить wild-сертификат, который позволит подключить SSL сразу по большому количеству поддоменов без их прямого указания при выпуске сертификата, по команде: certbot certonly -d domain.ru -d *.domain.ru —manual —preferred-challenges dns. В данном случае необходимо подтвердить возможность управления доменным именем с помощью добавления dns-записей у регистратора вашего доменного имени.
После выполнения команды для конкретного случая certbot запросит указать пути расположения сайтов. Это необходимо для проверки возможности управления доменным именем.
Certbot во время проверки положит по указанным вами путям к папке с сайтом свои временные файлы и проверит их. Если файлы доступны внешне по указанным доменным именам, то выпустит сертификат.
3. После выпуска сертификата его нужно применить к софту, который обрабатывает принятие соединений на вашем сервере. На этом этапе лучше воспользоваться помощью вашего системного инженера. Также можно использовать руководство по подключению certbot на официальном сайте.
Важно Выпущенные бесплатные сертификаты действуют 90 суток. По истечении этого срока нужно будет их перевыпустить. Для этого необходимо вновь выполнить описанный выше алгоритм.
При выпуске сертификата есть возможность включить получение уведомлений на почту об истечении срока действия документа. Когда останется менее 30 суток до окончания действия сертификата, вы получите письмо о необходимости продления.
Особенности использования бесплатного SSL-сертификата
Если у вас есть вопросы по установке бесплатного SSL-сертификата, пишите в комментариях.
Проверка правильности установки
Узнать, корректно ли вы установили сертификат, можно с помощью сервиса – sslshopper.com.
На главной странице сервиса будет поле check ssl, в нем нужно прописать адрес вашего сайта.
Если все правильно, вы увидите примерно такую картину:
Если сертификат не установлен, вы увидите ошибку:
В случае нарушения цепочки сертификатов всплывет такая ошибка:
Установка сертификата через административную панель хостинга
Большинство компаний, предоставляющих услуги хостинга, в административной панели имеют или пункт SSL, или ssl-сертификаты, или безопасность – названий может быть множество.
Как правило, при переходе в этот пункт вам будет предложен выбор: установить существующий сертификат или же заказать(приобрести) новый сертификат.
Установка существующего сертификата с помощью административной панели хостинга
Рассматривать установку будем на примере хостинга timeweb.
Установка Let’s Encrypt с помощью административной панели хостинга
В большинстве случаев вам на почту придет 3 файла (или они будут в личном кабинете регистратора ssl-сертификата).
Если файлы придут на почту, обязательно сохраните себе эти файлы! В случае утери нужно будет делать переиздание сертификата.
.key – Приватный ключ (Private Key)
.crt – файл сертификата, который мы вам выдали.
.ca-bundle – файл, содержащий корневые и промежуточные сертификаты в определенном порядке. Порядок:
- Промежуточный сертификат 2
- Промежуточный сертификат 1
Когда получены эти файлы, можно приступать к установке сертификата.
Подтверждение прав владения доменом
Необходимо пройти процесс валидации домена для выпуска сертификата. С помощью этой процедуры подтверждается право на владение доменом.
Возможны последующие проверки:
Мы рассмотрим только процесс доменной валидации. О таких вещах, как обратный звонок и разговор с сотрудником сертификационного центра, проверка организации через государственный реестр организаций, нет смысла говорить в рамках этой статьи, они не содержат технической части.
Txt запись в DNS
Вам будет предложено добавить запись типа TXT в DNS записи домена
Рассмотрим, как это делается в isp manager
TXT запись может появиться не сразу, обычно это происходит в течение часа.
Проверить DNS записи домена можно с помощью утилиты dig. Сервисов существует много, возьмем, например, этот.
В поле домен нужно вписать название вашего домена. Можно выбрать конкретный тип записи, но в примере для наглядности выбрали показ всех записей. В таблице будет выведен список всех ресурсных записей, если в списке появилась запись, которую вы добавили, все было сделано верно. Если нет, вернитесь на шаг назад и перепроверьте записи.
После добавления записи не забудьте вернуться в административную панель хостинга и нажать кнопку «Проверить добавление записи».
Cname запись в DNS
Нужно будет сделать то же самое, что и в предыдущем пункте, только выбрав тип записи CNAME.
Запись имеет вид:
_hash.yourdomain.com CNAME hash.comodoca.com.
Yourdomain.com – имя вашего домена
Подтверждение с помощью доменной почты
После перехода по ссылке вы попадете на страницу центра сертификации, где нужно будет ввести код из письма и нажать кнопку продолжить.
Файл на сервере
Вам предоставят файл, который нужно будет разместить на сервере. В зависимости от центра, выдающего сертификат, расположить файл нужно будет в корневой папке сервера или же создать дополнительную папку и закачать файл в нее.
SSL-сертификат на собственном домене
Если всё в порядке, то должна отобразиться надпись о возможности выпуска SSL-сертификата.
Когда сертификат выпустится, попробуйте перейти по ссылке с https. Если сайт корректно открывается по защищенному соединению, можно настроить редиректы для https и www, чтобы сайт всегда открывался только по одному адресу.
Если вы хотите использовать свой SSL-сертификат, то это можно сделать через поддержку Тильды. Потребуется предоставить приватный ключ (расширение .key) и цепочку сертификатов (расширение .pem). Вам нужно будет самостоятельно отслеживать дату окончания сертификата. Наша команда всё же рекомендует использовать бесплатный SSL-сертификат от Let’s Encrypt.
Статьи по Тильде
SSL-сертификат на системном домене с tilda
Хотим обратить внимание, что сертификат выпускается только для системных доменов третьего уровня (например, mysite.tilda.ws). Домены четвертого и выше уровня (например, news.mysite.tilda.ws) сертификат не поддерживают. Поэтому используйте дефис в адресе вместо точки — news-mysite.tilda.ws. Также заодно хочется отметить, что не следует использовать нижнее подчеркивание в адресе. Если вам нужно разделить слова в адресе, всегда используйте дефис.
Установка сертификатов в ISP панели
В некоторых случаях для управления хостингом/сервером устанавливается ISP manager. Это панель управления веб-хостингом, позволяющая управлять программным обеспечением веб-сервера, сервером баз данных, почтовым сервером и другими.
Установка существующего сертификата в ISP manager
Рассмотрим ситуацию, когда вы приобрели сертификат и имеете в сохраненном виде все его файлы.
Важно! Необходимо заполнить все поля, чтобы в дальнейшем не возникло проблем. В случае некорректной установки ssl-сертификата Яндекс.Вебмастер пришлет уведомление об ошибке.
О методе проверки корректности установки сертификата описано в конце статьи.
Установка Let’s Encrypt с помощью ISP manager
Панель isp предоставляет возможность установки бесплатного автопродляемого сертификата Let’s Encrypt. Для его установки необходимо выполнить следующие действия:
Заключение
Конечно, обо всех нюансах установки ssl-сертификатов не получится рассказать в рамках одной статьи. Но мы рассмотрели основы, в большинстве административных панелей хостингов алгоритм установки примерно одинаковый. После проделанной работы обязательно проверьте корректность установленного сертификата.
Если у вас возникли проблемы с установкой или работоспособностью ssl-сертификата, обращайтесь к нам за помощью! А приобрести SSL-сертификат вы можете прямо сейчас по этой ссылке.