Веб-защита
SSL. Добавить SSL-сертификат к ресурсу
Добавить SSL-сертификат к вашему ресурсу
1. Чтобы добавить SSL-сертификат к основному сайту или дополнительным доменам, перейдите в настройки ресурса и нажмите кнопку Редактировать рядом с полем «SSL-сертификат».
2. Выберите тип сертификата:
-
None, чтобы не добавлять сертификат;
-
Let's Encrypt, чтобы наша система выписала Let's Encrypt сертификат для ваших доменов;
-
Custom, чтобы добавить собственный сертификат.
None (защита без сертификата)
SSL-сертификат не добавляется, ресурс отдаёт контент по протоколу HTTP.
Добавить Let's Encrypt сертификат
Чтобы выписать Let's Encrypt сертификат, пожалуйста, сначала замените ваш IP на наш защищённый IP-адрес.
Сертификат Let's Encrypt выдаётся на 90 дней и продляется автоматически, если в настройках ресурса выбрана опция Let's Encrypt.
Для выписки сертификата требуется показать центру сертификации, что тот, кто его запрашивает, имеет отношение к домену. В нашем случае этим подтверждением выступает А-запись, в которой вы меняете свой IP на IP защиты. Мы не сможем выпустить сертификат, пока вы не смените А-запись в ваших настройках DNS. Минус этой настройки — временная недоступность сайта по HTTPS.
Важно. Скорость обновления кешированных записей на DNS-серверах зависит от параметра TTL: пока записи не обновятся, часть трафика будет идти мимо IP защиты. При запросе центр сертификации может увидеть, что домен смотрит на ваш IP, а не IP защиты, и отказать в выпуске сертификата.
Если после выпуска Let's Encrypt сертификата вы захотите переключиться на раздачу по HTTP и выберете None, сертификат не будет продлён, но продолжит действовать до конца своего срока.
Как начать использовать Let's Encrypt сразу. Как упоминалось выше, мы не сможем выпустить сертификат, пока вы не смените А-запись в ваших DNS-настройках. Чтобы пропустить период недоступности сайта по HTTPS, воспользуйтесь такой схемой:
1. Не меняя А-запись, выпустите Let's Encrypt сертификат самостоятельно.
2. Добавьте этот сертификат в настройках SSL в личном кабинете как Custom.
3. Смените А-запись в ваших DNS-настройках.
4. Подождите пока старые записи удалятся из кеша DNS серверов (ориентируйтесь на TTL, заданный в DNS настройках).
5. В настройках SSL переключитесь с Custom на Let's Encrypt и сохраните изменения.
При переключении мы перевыпустим Let's Encrypt сертификат и будем автоматически продлять его без вашего участия.
Добавить Custom сертификат
1. Нажмите на кнопку Вставить из файла, чтобы добавить сертификат из файла на вашем устройстве. Нажмите Сохранить, затем Сохранить изменения. Если вы хотите вставить цепочки сертификатов самостоятельно, следуйте инструкции ниже.
2. Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения PEM, CRT, или CER.
3. Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA. Данные в поле Certificate необходимо вставлять, включая теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.
4. Цепочки сертификатов должны быть вставлены слитно.
5. В конце цепочки сертификатов должна быть пустая строка.
6. Откройте файл с приватным ключом (KEY) в приложении «Блокнот».
7. Скопируйте и вставьте ключ, включая теги -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.
8. Нажмите Сохранить, затем Сохранить изменения.
На забывайте своевременно обновлять или менять Custom-сертификаты.