- Что такое корневой сертификат
- Что дальше?
- Что такое ssl-сертификат – ru-center
- Что такое ssl-сертификат
- Cname запись в dns
- Txt запись в dns
- Безопасность данных
- Вариант 2. установка корневого сертификата удостоверяющего центра
- Возможна ли установка электронной подписи без корневого сертификата
- Данные для установки в письме
- Доверие к сайту
- Как установить личный сертификат?
- Какие виды ssl-сертификатов есть и кто их выдаёт?
- Каким сайтам нужен ssl?
- Какой ssl-сертификат выбрать?
- Какую информацию содержит корневой сертификат
- Перевыпуск ssl-сертификата – ru-center
- Подтверждение прав владения доменом
- Подтверждение с помощью доменной почты
- После подтверждения
- Установка let’s encrypt с помощью административной панели хостинга
- Установка ssl
- Установка сертификата через административную панель хостинга
- Установка сертификатов в isp панели
- Установка существующего сертификата в isp manager
- Установка существующего сертификата с помощью административной панели хостинга
- Файл на сервере
- Заключение
- Итоги
Что такое корневой сертификат
Корневой сертификат — это файл, который содержит сервисную информацию об удостоверяющем центре. Криптопровайдер получает доступ к этой зашифрованной информации, тем самым подтверждая подлинность личной электронной подписи.
На основе корневого сертификата удостоверяющего центра строится цепочка доверия сертификатам. Любая электронная подпись, выпущенная удостоверяющем центром корректно работает только при наличии корневого сертификата.
Что дальше?
Чтобы установить SSL-сертификат на сайт, воспользуйтесь инструкциями из раздела Установка SSL-сертификата.
Что такое ssl-сертификат – ru-center
Для защиты данных, передаваемых по сети при совершении платежей, указании персональной информации, используется специальный протокол передачи данных https. Информация по этому протоколу передается в закодированном виде. В браузере протокол виден в адресной строке:
Для работы https-протокола на сервере должен быть установлен SSL-сертификат.
SSL-сертификат — это технология, которая создает безопасную связь между браузером пользователя и веб-сервером путем шифрования данных. Безопасность канала связи обеспечивается с помощью:
- аутентификации — сертификат привязан к конкретному домену;
- шифрования — информация преобразуется таким образом, что расшифровать ее можно только с помощью специального (секретного) ключа.
SSL-сертификат содержит следующую информацию:
- доменное имя, на которое оформлен SSL-сертификат;
- юридическое лицо, которое владеет сертификатом, и его местонахождение;
- срок действия сертификата;
- информация о компании-поставщике SSL-сертификатa.
Cертификат подтверждает, что домен принадлежит реальной компании и что его владелец вправе пользоваться секретным ключом на законных основаниях.
SSL-сертификаты используются интернет-магазинами, сайтами банковских и платежных систем, почтовыми службами, сайтами с формой регистрации и авторизации пользователей.
С 2021 года популярные браузеры начали помечать сайты без SSL-сертификата как небезопасные. Это может стать причиной понижения трафика и места в поисковой выдаче.
.png)
В статье Как выбрать SSL-сертификат? мы подробно рассказали о видах сертификатов, чтобы вам было проще подобрать оптимальный вариант.
Что такое ssl-сертификат
SSL (Secure Sockets Layer — уровень защищённых сокетов) — это протокол шифрования, который позволяет кодировать данные для более безопасного обмена.
Cname запись в dns
Нужно будет сделать то же самое, что и в предыдущем пункте, только выбрав тип записи CNAME.
Запись имеет вид:
Txt запись в dns
Вам будет предложено добавить запись типа TXT в DNS записи домена
Рассмотрим, как это делается в isp manager
Во вкладке домены нужно выбрать доменные имена
Просмотреть NS записи домена
Создать новую ресурсную запись
Выбрать тип txt и в поле «Значение» вставить текст записи
TXT запись может появиться не сразу, обычно это происходит в течение часа.
Проверить DNS записи домена можно с помощью утилиты dig. Сервисов существует много, возьмем, например, этот.
В поле домен нужно вписать название вашего домена. Можно выбрать конкретный тип записи, но в примере для наглядности выбрали показ всех записей. В таблице будет выведен список всех ресурсных записей, если в списке появилась запись, которую вы добавили, все было сделано верно. Если нет, вернитесь на шаг назад и перепроверьте записи.
После добавления записи не забудьте вернуться в административную панель хостинга и нажать кнопку «Проверить добавление записи».
Безопасность данных
Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
Вариант 2. установка корневого сертификата удостоверяющего центра
Для установки сертификата вторым методом:
- Запускаем программу «КриптоПро CSP», идем на закладку «Сервис» и ищем клавишу «Просмотреть сертификат в контейнере».
- Далее — «Обзор», выбираем нужный сертификат клавишей «Ок».
- В следующем окошке выбираем «Далее», ничего не меняя.
- Жмем клавишу «Свойства».
- Выбираем «Установить сертификат».
- Переводим переключатель в ячейку «Автоматически выбрать хранилище на основе типа сертификата» и жмем «Далее».
«Готово». Установку мы выполнили успешно.
Какие изменения, упростившие работу с ЭЦП, произошли в 2020 году, узнайте из Обзора, который подготовили эксперты КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный полный доступ можно получить бесплатно.
Возможна ли установка электронной подписи без корневого сертификата
Установить электронную подпись на компьютер можно без корневого сертификата. Однако, при проверке она может оказаться недействительной. В этом случае подписать какой-либо электронный документ не получится.
Без корневого сертификата система будет выдавать ошибку: «Невозможно проверить электронную подпись». Это касается как и подписи, установленной на компьютер, так и подписи на защищённом токене.
Данные для установки в письме
Начало письма с данными для установки
В письме вы найдёте:
Доверие к сайту
Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.
Как установить личный сертификат?
1. Откройте меню Пуск – Панель управления – КриптоПро CSP.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):
4. После выбора контейнера нажмите кнопку Ок, затем Далее.
* Если после нажатия на кнопку Далее Вы видите такое сообщение:
«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.
5. В окне Сертификат для просмотра нажмите кнопку Установить:
6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
7. Дождитесь сообщения об успешной установке:
8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Вариант 2. Установка через меню «Установить личный сертификат».
Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).
В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу pu@skbkontur.ru.
1. Откройте меню Пуск – Панель управления – КриптоПро CSP.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:
4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:
7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
8. В окне Завершение мастера установки личного сертификата нажмите Готово:
9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:
10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Какие виды ssl-сертификатов есть и кто их выдаёт?
Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Кроме того, есть проекты, CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такой сертификат выпускается на 3 месяца и далее требует продления. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать.
Например, при выборе сертификата Cloudflare учтите, что он выдаётся сразу на 50 сайтов. Тем самым сертификат будет защищать не только ваш домен, но и ещё несколько чужих, что несёт за собой риски безопасности. Также у Cloudflare нет печати доверия. Если говорить о недостатках LetsEncrypt, то сюда можно отнести поддержку далеко не всех браузеров, отсутствие гарантии сохранности данных сайта и печати доверия.
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.
- Самоподписанные. Сертификат подписывается самим сервером. Его может сгенерировать любой пользователь самостоятельно. По сути, он бесполезен, потому что доверять ему будет только компьютер, на котором был сгенерирован такой сертификат. Большинство браузеров при посещении сайта с таким сертификатом выдаст предупреждение, что соединение не защищено.
- Подписанные доверенным центром сертификации (валидные). Речь о тех самых авторитетных УЦ выше. Сертификат корректно отображается во всех браузерах. Данные сертификата проверены и подтверждены в сертифицирующем центре.
Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.
Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:
- DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
- OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
- EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Каким сайтам нужен ssl?
SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платёжные системы, социальные сети, почтовые сервисы и любые другие проекты.
SSL-сертификат лучше ставить с самого начала, чтобы иметь более высокие позиции в поисковых системах. Если всё же изначально не использовался сертификат, то переехать можно быстро, а вот поисковики могут увидеть это только спустя пару месяцев. Тем более сегодня поставить SSL можно и бесплатно.
Какой ssl-сертификат выбрать?
Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.
Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня безопасности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате.
Для выбора оптимального сертификата для определённого сайта нужно изучить, что предлагают центры сертификации, обращая внимание на следующие аспекты:
- насколько SSL совместим с основными браузерами;
- на каком уровне происходит защита данных пользователей;
- насколько масштабная проверка организации проводится;
- есть ли печать доверия.
Какую информацию содержит корневой сертификат
В корневом сертификате хранится информация с датами его действия. Также криптопровайдер с помощью корневого сертификата получает доступ к реестру организации.
Перевыпуск ssl-сертификата – ru-center
Перевыпуск сертификата, выпущенного через RU-CENTER, возможен в следующих случаях:
- программное обеспечение на сервере изменилось;
- секретный ключ потерян или скомпрометирован;
- потерян пароль доступа к секретному ключу.
При этом перевыпускаемый сертификат должен быть действителен, все данные о вашей организации должны остаться прежними.
Для перевыпуска сертификата:
1. Зайдите в Раздел для клиентов, указав номер договора и пароль.
2. Выберите Услуги → SSL-сертификаты.
3. Нажмите на название услуги.
.png)
4. На странице сертификата нажмите ссылку Перевыпустить.
.png)
5. Откроется мастер перевыпуска сертификата. Ознакомьтесь с информацией, нажмите кнопку Продолжить.
.png)
6. На открывшейся странице появится автоматически сгенерированный CSR-запрос и приватный ключ. CSR будет отправлен в Удостоверяющий Центр. Приватный ключ сохраните на свой компьютер, нажав кнопку Сохранить приватный ключ.
Обязательно сохраните приватный ключ, так как без него невозможно установить сертификат на веб-сервер. При утере закрытого ключа необходимо будет перевыпускать сертификат.
.png)
7. Если вы сгенерировали CSR самостоятельно на своем веб-сервере, то нажмите на ссылку Использовать свой CSR, созданный на сервере, и скопируйте свой CSR-запрос в форму. Нажмите кнопку Готово.
.png)
8. Заказ на перевыпуск сертификата будет отправлен в Удостоверяющий Центр для проверки и дальнейшего выпуска сертификата.
Подтверждение прав владения доменом
Необходимо пройти процесс валидации домена для выпуска сертификата. С помощью этой процедуры подтверждается право на владение доменом.
Возможны последующие проверки:
- проверка организации;
- расширенная проверка.
Мы рассмотрим только процесс доменной валидации. О таких вещах, как обратный звонок и разговор с сотрудником сертификационного центра, проверка организации через государственный реестр организаций, нет смысла говорить в рамках этой статьи, они не содержат технической части.
Подтверждение с помощью доменной почты
При выборе этого способа подтверждения на административную доменную (например, [email protected]ИМЯ ДОМЕНА, [email protected]ИМЯ ДОМЕНА) почту придет письмо от центра сертификации со ссылкой для подтверждения.
После перехода по ссылке вы попадете на страницу центра сертификации, где нужно будет ввести код из письма и нажать кнопку продолжить.
После подтверждения
В большинстве случаев вам на почту придет 3 файла (или они будут в личном кабинете регистратора ssl-сертификата).
Если файлы придут на почту, обязательно сохраните себе эти файлы! В случае утери нужно будет делать переиздание сертификата.
.key – Приватный ключ (Private Key)
.crt – файл сертификата, который мы вам выдали.
.ca-bundle – файл, содержащий корневые и промежуточные сертификаты в определенном порядке. Порядок:
- Промежуточный сертификат 2
- Промежуточный сертификат 1
- Корневой сертификат
Когда получены эти файлы, можно приступать к установке сертификата.
Установка let’s encrypt с помощью административной панели хостинга
Необходимо в личном кабинете зайти в раздел меню ssl-сертификаты и выбрать пункт «Заказать».
Кликнуть пункт «SSL Let’s Encrypt», затем выбрать, для какого домена выпустить сертификат
Установка ssl
После выпуска SSL на ваш контактный e-mail придёт письмо с данными для его установки, это:
Приватный ключ обычно генерируется при заказе SSL и сохраняется на ваш локальный ПК.
Чтобы установить SSL:
Готово, вы настроили SSL-сертификат. Теперь настройте переадресацию для вашего сайта.
Установка сертификата через административную панель хостинга
Большинство компаний, предоставляющих услуги хостинга, в административной панели имеют или пункт SSL, или ssl-сертификаты, или безопасность – названий может быть множество.
Как правило, при переходе в этот пункт вам будет предложен выбор: установить существующий сертификат или же заказать(приобрести) новый сертификат.
Установка сертификатов в isp панели
В некоторых случаях для управления хостингом/сервером устанавливается ISP manager. Это панель управления веб-хостингом, позволяющая управлять программным обеспечением веб-сервера, сервером баз данных, почтовым сервером и другими.
Установка существующего сертификата в isp manager
Рассмотрим ситуацию, когда вы приобрели сертификат и имеете в сохраненном виде все его файлы.
В меню isp manager выбрать пункт ssl-сертификаты
Создать ssl-сертификат
Выбрать тип ssl-сертификата – «Существующий»
Заполнить соответствующие поля в isp manager
Важно! Необходимо заполнить все поля, чтобы в дальнейшем не возникло проблем. В случае некорректной установки ssl-сертификата Яндекс.Вебмастер пришлет уведомление об ошибке.
О методе проверки корректности установки сертификата описано в конце статьи.
Установка существующего сертификата с помощью административной панели хостинга
Рассматривать установку будем на примере хостинга timeweb.
Необходимо в личном кабинете зайти в пункт меню ssl-сертификаты
Выбрать пункт «Установить»
Ввести данные сертификата в соответствующие поля
Файл на сервере
Вам предоставят файл, который нужно будет разместить на сервере. В зависимости от центра, выдающего сертификат, расположить файл нужно будет в корневой папке сервера или же создать дополнительную папку и закачать файл в нее.
Заключение
Конечно, обо всех нюансах установки ssl-сертификатов не получится рассказать в рамках одной статьи. Но мы рассмотрели основы, в большинстве административных панелей хостингов алгоритм установки примерно одинаковый. После проделанной работы обязательно проверьте корректность установленного сертификата.
Если у вас возникли проблемы с установкой или работоспособностью ssl-сертификата, обращайтесь к нам за помощью! А приобрести SSL-сертификат вы можете прямо сейчас по этой ссылке.
Итоги
Установить корневой сертификат удостоверяющего центра можно двумя способами. Наша пошаговая инструкция позволит вам совершить эту операцию быстро и корректно.