Андрей Смирнов
Время чтения: ~7 мин.
Просмотров: 1

Как установить SSL сертификат: пошаговая инструкция

ФорумыРазноеОбщийКак правильно обнов…    Последний пост04.11.2019 00:23  

Доброго времени суток, уважаемые форумчане!

1.1. На текущий момент времени для работы сайта нашей компании используется SSL-сертификат, срок действия которого заканчивается в средине этого месяца (ноября 2019 года).

1.2. Чтобы продлить текущий сертификат, нами был куплен «SSL с проверкой домена — EssentialSSL».

1.3. Также на сайте используется веб-сервер «Nginx» и движок «Bitrix». Для того, чтобы обновить/заменить текущий сертификат, в файле виртуального хоста Nginx /etc/nginx/bx/conf/ssl.conf сменил ТОЛЬКО настройку (абсолютный путь к файлу НОВОГО сертификата) «ssl_certificate». То есть файл «ssl_certificate_key» оставил старый (!!!)

1.4. Виртуальный хост теперь выглядит примерно так:

server {

listen 443;

ssl on;

ssl_certificate /etc/ssl/my_domain_name_NEW.crt;

ssl_certificate_key /etc/ssl/my_domain_name_OLD.key;

1.5.Перезагрузил Nginx:

systemctl restart nginx

1.6. В результате в браузере (тестировалось на разных версиях браузеров) на компьютерах клиентов отображался СТАРЫЙ сертификат, а на мобильных телефонах и планшетах – выкидывало ошибку.

1.7. Для того, чтобы подхватился НОВЫЙ сертификат на клиентах, потребовалось в их браузере удалить куки нашего сайта.

И в связи с выше изложенным возникли вопросы.

2.1. Как правильно обновить/заменить сертификат на сайте с «Nginx», чтобы можно как-то было обойтись без удаления куки на клиентах?!

2.2. Нужно ли повторно генерировать CSR (Certificate Signing Request) и секретный (приватный) ключ при обновлении сертификата для сайта?

2.3. Нужно ли проходить процедуру перевыпуска сертификата, чтобы его обновить на сайте?!

Прошу Вас помочь разобраться с этим запутанным вопросом.

05.11.2019 00:29  

Если сертификат продлевается, то достаточно заменить только его. Я просто перезаписываю старый сертификат новым, предварительно скопировав старый на всякий случай. Дальше перечитываю конфигурацию nginx или apache. Больше ничего делать не надо. Иногда показывается старый сертификат в браузере, но достаточно просто обновить страницу или закрыть и открыть сайт заново и сертификат в браузере обновится. Куки и кэш чистить не обязательно.

Это 100% работает, так как у меня почти все сертификаты от let’s encrypt, а они обновляются постоянно.

STALKER_SLX и Farik лайковShare:   Статистика форума15Форумы277Темы1,568Сообщения3В сети3,758Участники

Новейшие посты: Маршрутизация общий вопрос Последний зарегистрированный: JenkaUnread Posts

Forum Icons: Forum contains no unread posts Forum contains unread posts

Иконки тем :

3124f681307d4c2cad04bb71d02bb979.jpg Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат». Статья предназначена, в основном, для администраторов веб-серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным. «При чем тут вообще хэширование? Сертификаты же основаны на ассиметричном шифровани», — скажут некоторые. Дело в том, что сертификат — это не просто открытый ключ с дополнительной информацией, но и подпись сервера, а для нее используется хэш-функция. Стойкость хэш функции заключается в отсутствии коллизий. То есть, невозможность подобрать отличное от исходного сообщение с точно таким же значение хэша. Говоря проще и относительно сертификатов: хэш-функция — хорошая, если невозможно (следует читать «крайне трудно», так как ничего невозможного нет) подделать сертификат, но оставить ту же подпись удостоверяющего центра (УЦ). Таким образом, поддельный сертификат может получиться вполне валидным с точки зрения браузеров, операционных систем и вообще с точки зрения вполне вменяемой проверки. Так вот стойкость к коллизиям алгоритма SHA-1 под очень большим сомнением. Известный криптограф Брюс Шнайер рассчитал, что реализация атаки коллизии на SHA-1 будет вполне по силам организованной преступности уже к 2018 году. Итак, мы подошли к тому, что в скором времени использовать SHA-1 для подписи сертификатов станет небезопасно. Ну и, конечно, заменить SHA-1 призван SHA-2. Microsoft и Google принимают некоторые шаги, чтобы ускорить процесс миграции на SHA-2.

Google

В ближайшей версии браузера Chrome под номером 41 будет такая реакция на сертификаты, использующие SHA-1:

  1. Если дата окончания срока жизни сертификата после 2016 года, то пользователь увидит красный крест на замочке и перечеркнутую надпись https.56799422b64144d0a2f9920e4d4b881c.png
  2. Если сертификат заканчивается в 2016 году, то на замочке будет предупредительный желтый треугольник.361fbafcf59845c3b70c72e42a397d96.png

Microsoft

Если ваш сертификат, использующий SHA-1 для подписи, заканчивается в 2017 году или позднее, то вам придется его менять досрочно. Причем это касается не только сертификатов веб-серверов, но и сертификатов для подписи кода. Кроме того, с начала 2016 года Microsoft перестает доверять сертификатам с SHA-1, которые используются для подписи кода без отпечатка времени.

Что делать?

Ответ простой. Если вы хотите, чтобы пользователи вашего интернет магазина или корпоративного портала не закрывали в ужасе страницу с ошибкой сертификата, обновите его заблаговременно. Стоит учитывать, что для успешной валидации сертификата нужно, чтобы все сертификаты в цепочке использовали SHA-2. А вот если корневой УЦ использует SHA-1, то сильно беспокоиться не стоит, ведь браузеры не проверяют подпись сертификатов корневых доверенных УЦ, а просто ищут их в соответствующем списке.

Как продлить платный SSL-сертификат

Процедура продления платного сертификата безопасности заключается в заказе нового SSL-сертификата, его активации и установке на сайт вместо истекшего.

Срок действия нового сертификата начинается с момента его активации в центре сертификации, а не с момента окончания текущего сертификата. Например, если ваш текущий SSL заканчивается 18.12.2019, а новый был активирован 15.11.2019, дата выдачи нового считается 15.11.2019 и он будет действовать по 15.11.2020. А с 15 ноября по 18 декабря 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишний месяц, мы рекомендуем заказывать новый сертификат в конце срока действия текущего сертификата.

  1. Воспользуйтесь инструкцией Как купить SSL-сертификат, чтобы запустить издание нового сертификата.
  2. Затем активируйте SSL-сертификат.
  3. На заключительном этапе вам понадобится установить сертификат на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.

Как продлить бесплатный SSL-сертификат

Процедура продления бесплатного SSL-сертификата заключается в выпуске нового SSL-сертификата. По условиям подключения сертификата, срок бесплатного пользования SSL-сертификатом составляет 1 год. Таким образом, при продлении SSL-сертификата его необходимо оплачивать. Цена при продлении SSL-сертификата ниже, чем при новом заказе такого же сертификата. Поэтому мы рекомендуем именно продлевать SSL-сертификат из карточки услуги в Личном кабинете, как это описано ниже.

Так как будет выпускаться новый SSL-сертификат, его срок выдачи и окончания никак не будут привязаны к предыдущему. Т.е. если текущий SSL заканчивается 10.03.2019, а новый SSL был активирован 15.02.2019, дата выдачи нового будет 15.02.2019 и он будет действовать по 15.02.2020. А с 15 февраля по 10 марта 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишние месяца, рекомендуем производить переиздание сертификата ближе к окончанию срока действия текущего сертификата.

Важно: вы можете продлить SSL-сертификат из карточки услуги только в течение 30 дней до окончания действия сертификата.

Чтобы продлить сертификат:

  1. 1.Авторизуйтесь на сайте REG.RU и перейдите в раздел Домены и услуги.
  2. 2.Кликните по строке сертификата, который нужно продлить.
  3. 3.

    На открывшейся странице во вкладке «Управление» нажмите Обновить и следуйте дальнейшим указаниям. Кнопка «Обновить» становится активна только за 30 дней до окончания действия сертификата.

    В первой строке также отображается дата окончания действия бесплатного SSL-сертификата (он подключается на 1 год).

  4. 4.

    Во всплывающей шторке справа повторно нажмите Обновить или Повысить уровень сертификата:

    • При нажатии «Обновить» в сертификационный центр будет отправлен запрос на выпуск такого же SSL-сертификата. Необходимо будет активировать SSL-сертификата через TXT-запись по аналогии со следующей инструкцией: Как активировать AlphaSSL и DomainSSL. При этом нужно добавлять новую TXT-запись, которая придёт вам на контактный e-mail. Предыдущую TXT-запись, которую вы добавляли для выпуска предыдущего сертификата, можно удалить.

    • При нажатии «Повысить уровень сертификата» вам будет предложено выбрать SSL-сертификат с большим уровнем доверия: OrganizationSSL (бизнес-класса) или ExtendedSSL (сертификат с расширенной проверкой). Активация SSL-сертификата бизнес-класса и SSL-сертификата с расширенной проверкой происходит по инструкции.

  5. 5.После нажатия «Обновить» вы будете перенаправлены в корзину для оплаты. Оплатите счет удобным для вас способом.

Готово! После активации SSL-сертификата его необходимо будет заново установить на хостинг.Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.

Закажите хостинг REG.RU

Доверьте хостинг профессионалам. Быстрая работа и круглосуточная техническая поддержка.

43 —>

Не нашли ответа на свой вопрос?

Заявка в службу поддержкиИспользуемые источники:

  • https://serveradmin.ru/forum/obshhiy/kak-pravilno-obnovit-ssl-sertifikat-na-sajte/
  • https://habr.com/post/250109/
  • https://www.reg.ru/support/ssl-sertifikaty/otmena-pereizdanie-ssl-sertifikata/kak-prodlit-platnyy-ssl-sertifikat

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации