CDN
SSL-сертификат. Добавить SSL-сертификат к ресурсу для передачи контента по HTTPS
SSL-сертификат — это уникальная цифровая подпись вашего сайта, необходимая для организации защищенного соединения между клиентом и сервером, что особенно важно при передаче конфиденциальной информации и проведении финансовых операций.
Используйте навигацию справа для быстрого поиска нужного раздела.
Вы можете добавить к ресурсу личный SSL-сертификат или выпустить бесплатный SSL-сертификат Let's Encrypt.
Личный SSL-сертификат
Добавить личный сертификат можно двумя способами: при создании ресурса и в разделе SSL-сертификаты.
Добавить личный SSL-сертификат при создании ресурса
Для того чтобы добавить и привязать личный сертификат при создании ресурса:
1. Активируйте функцию Поддержка HTTPS, выберите «Добавить или выбрать собственный SSL-сертификат».
2. Нажмите кнопку Добавить SSL-сертификат.
3. В открывшемся окне укажите имя сертификата, сертификат в формате PEM и приватный ключ. Или нажмите на кнопку Вставить из файла, чтобы добавить сертификат из файла на вашем устройстве.
Как правильно оформить сертификат, рассказываем ниже.
4. Нажмите Добавить SSL-сертификат.
Сертификат будет привязан к ресурсу, а также добавлен в список личных сертификатов в разделе SSL-сертификаты сервиса CDN.
Добавить личный SSL-сертификат в разделе SSL-сертификаты
Для того чтобы добавить сертификат в личный кабинет без привязки к ресурсу:
1. Перейдите в раздел SSL-сертификаты. Нажмите Добавить SSL-сертификат.
2. Введите SSL-сертификат в формате PEM и приватный ключ, а также задайте имя сертификата. Или нажмите на кнопку Вставить из файла, чтобы добавить сертификат из файла на вашем устройстве.
Как правильно оформить сертификат, рассказываем ниже.
3. Нажмите Создать SSL-сертификат.
После сохранения настроек сертификат отобразится в списке SSL-сертификатов. В разделе доступна информация о сертификате: ID, имя, срок действия, CDN-ресурсы, которые используют сертификат, тип их ускорения.
Удалить личный SSL-сертификат
Чтобы удалить сертификат, перейдите в раздел SSL-сертификаты, нажмите на знак ··· напротив нужного сертификата и выберите Удаление.
Внимание. Удаление сертификатов, которые используются в CDN-ресурсах, невозможно. Если вы хотите удалить такой сертификат, замените его в настройках CDN-ресурса на другой SSL-сертификат.
Прикрепить личный сертификат к ресурсу
Прикрепить к ресурсу сертификат, добавленный в разделе SSL-сертификаты, можно в настройках ресурса при его создании или редактировании.
1. Перейдите в настройки ресурса.
2. В разделе SSL найдите и включите опцию Поддержка HTTPS.
3. Выберите «Добавить или выбрать собственный SSL-сертификат».
4. Выберите нужный сертификат в отображающемся селекторе.
5. Сохраните настройки.
Важно. Если для ресурса подключён сертификат Let’s Encrypt, селектор личных сертификатов отображаться не будет. Чтобы получить возможность выбрать личный сертификат, сначала отзовите Let's Encrypt.
Заменить сертификат
Добавленный личный сертификат изменить нельзя, поэтому по истечении срока действия сертификата следуйте шагам:
1. Добавьте новый сертификат в разделе SSL-сертификаты.
2. Перейдите в настройки нужного ресурса.
3. Найдите опцию Поддержка HTTPS. Нажмите на селектор и выберите новый сертификат.
4. Сохраните изменения. Настройки применятся в течение 15 минут.
5. Проверьте, какой сертификат привязан к ресурсу. Для этого откройте CNAME в браузере (например, https://example.ru). Нажмите на знак замка слева от домена → Действительный сертификат.
Сравните данные защищенного соединения с только что установленным сертификатом. Если настройки применились, можно удалить старый сертификат из раздела SSL–сертификаты.
Важно. Не удаляйте заменяемый сертификат из раздела SSL-сертификаты до тех пор, пока контент не будет раздаваться с помощью нового сертификата. Следуйте шагам, описанным выше, иначе замена сертификата произойдет с прерыванием доставки контента.
Особенности ввода данных сертификата и приватного ключа
1. Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения PEM, CRT или CER.
2. Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA.
3. Данные в поле Certificate необходимо вставлять, включая теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.
4. Цепочки сертификатов должны быть вставлены слитно.
5. Откройте файл с приватным ключом KEY в приложении «Блокнот».
6. Скопируйте и вставьте ключ, включая теги -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.
7. Нажмите Создать SSL-сертификат.
Сертификат появится в разделе SSL-сертификаты, а если добавление происходило в момент создания ресурса — сертификат также привяжется к ресурсу.
Let’s Encrypt сертификат
Если у вас нет собственного SSL-сертификата, в личном кабинете есть возможность подключить бесплатный Let’s Encrypt сертификат.
Подключить Let’s Encrypt сертификат
1. Создайте CDN-ресурс и укажите персональный домен.
2. Добавьте CNAME-запись в настройках DNS домена.
3. В настройках ресурса активируйте опцию Поддержка HTTPS, выберите пункт «Выписать бесплатный сертификат Let's Encrypt» и нажмите на кнопку Получить SSL-сертификат.
Выписка сертификата Let's Encrypt начнётся после создания ресурса. Направьте персональный домен на CDN для успешной выписки.
Получение сертификата может занять до 15 минут. В течение этого времени нельзя:
-
Выключать поддержку HTTPS
-
Выбирать другой сертификат
-
Прерывать выпуск текущего сертификата
Важно:
-
Получение сертификата занимает до 30 минут в случае, если вы оформляете его на только что созданный ресурс, так как конфигурация нового ресурса ещё не применена на всех CDN-cерверах. Если конфигурация ресурса уже присутствует на всех CDN-серверах, получение Let's Encrypt сертификата происходит менее чем за пару минут.
-
Если во время выпуска сертификата произойдёт ошибка, опция Поддержка HTTPS выключится, а на вашу почту уйдёт уведомление с описанием причины и дальнейших действий. Письма также отправляются всем вашим пользователям с ролями Administrators и Engineers.
-
Выпустить сертификат Let's Encrypt можно только на существующий ресурс. Если CNAME ресурса не направлена на нас в настройках DNS домена, или источник недоступен, сертификат не выпишется.
-
На один ресурс в один момент времени может быть выдан только один сертификат Let's Encrypt. Если вы захотите добавить или удалить второй персональный домен для ресурса, после сохранения изменений мы перевыпустим сертификат.
-
Пока ресурс активен, сертификат продлевается автоматически. Попытка замены сертификата происходит за 30 дней до окончания срока действия предыдущего. Предпринимается одна попытка перевыпуска. В случае, если сертификат выписать не удалось, на вашу почту придёт уведомление.
В случае неудачной попытки перевыпуска, сертификат продолжит работать ещё 30 дней. После чего контент станет недоступным по HTTPS. Чтобы избежать прерывания доставки контента, запросите перевыпуск сертификата самостоятельно. Для этого в личном кабинете сначала отзовите Let's Encrypt сертификат, а затем подключите Let's Encrypt сертификат заново.
Перевыпустить или удалить Let’s Encrypt сертификат
Если по какой-то причине ваш сертификат не может обновиться самостоятельно, вы можете запустить перевыпуск сертификата, нажав на Перевыпустить сертификат Let's Encrypt. Новый сертификат применится к вашему ресурсу в течение 15 минут.
Чтобы удалить сертификат, перейдите в настройки ресурса и нажмите Отозвать сертификат Let's Encrypt.
Важно. Если меняете Let's Encrypt на собственный сертификат через API-запрос, отзывать Let's Encrypt сертификат не нужно.
Ограничения и особенности опции
-
Сертификат не выдаётся на wildcard-домен (напр., *.example.com).
-
Если на ресурс выписан Let's Encrypt сертификат, селектор выбора личных сертификатов не отображается. Личные сертификаты станут доступны для выбора после удаления Let's Encrypt сертификата.
-
Выпущенные Let’s Encrypt сертификаты не отображаются во вкладке SSL-сертификаты.
-
Let’s Encrypt сертификат отображается только в настройках ресурса, для которого он выписан.
-
Выписка и отзыв Let's Encrypt сертификата не требуют сохранения настроек ресурса.
-
Если вы используете DNS Cloudflare, для опции CNAME Flattening необходимо выбирать вариант Flatten CNAME at root. При выборе Flatten all CNAMEs, вместо CNAME будет передаваться А-запись и сертификат не будет выписан.
Уведомления об истечении срока действия SSL-сертификатов
Уведомления об истечении срока действия личных SSL-сертификатов и Let’s Encrypt сертификатов отображаются в личном кабинете и пересылаются на почту пользователям аккаунта с ролями Administrators и Engineers.
Пользователи уведомляются по почте:
-
За 14 дней до истечения сертификата
-
За 7 дней до истечения сертификата
-
За 1 день до истечения сертификата
Внимание. Обычно Let's Encrypt сертификаты обновляются самостоятельно, но при очередной выписке может произойти ошибка. Если вам пришло уведомление об истечении срока действия Let's Encrypt сертификата, обновите его вручную, чтобы избежать сложностей при доставке контента. Для этого в личном кабинете сначала отзовите Let's Encrypt сертификат, а затем выпустите его снова. Вы также можете обновить сертификат с помощью API.
Если истекает срок действия личного сертификата, раздел SSL-сертификаты будет отмечен восклицательным знаком:
В разделе SSL-сертификаты напротив сертификатов, нуждающихся во внимании, будут стоять специальные символы:
-
Восклицательный знак жёлтого цвета, если сертификат истекает через 14 или менее дней.
-
Восклицательный знак красного цвета, если сертификат уже истёк.