Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let's Encrypt для любого количества сайтов. Let's Encrypt представляет собой обычный SSL-сертификат с проверкой домена (DV), который выдается на неограниченный срок.
- Как установить сертификат?
- Для чего подходит?
- Какие типы проверки имеются?
- Как быстро выпускается?
- Сколько действует сертификат?
- Будет ли сертификат определяться браузерами как доверенный?
- Можно ли использовать в коммерческих целях?
- Поддерживаются ли национальные домены (IDN)?
- Поддерживаются ли поддомены (wildcard)?
- Поддерживается ли мультидомен (SAN)?
- Как настроить автоматический редирект на HTTPS
- Ссылки на дополнительные материалы
Как установить сертификат?
1. Зайдите в панель ISPmanager с правами супер-пользователя (root). Для этого перейдите в Личный кабинет — Товары — Виртуальные серверы, выберите нужный сервер в списке — нажмите кнопку Инструкция — найдите раздел Панели управления, блок ispmanager и нажмите кнопку Перейти.
Либо войдите в панель по прямой ссылке, используя данные для подключения к серверу: https://127.0.0.1:1500/ispmgr, где 127.0.0.1 — адрес вашего сервера.
2. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt
3. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.
4. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».
5. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен появиться замок. Сертификат действует бессрочно.
Для чего подходит?
Сертификаты Let's Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.
Какие типы проверки выполняются?
Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.
Как быстро выпускается?
Сертификат Let's Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.
Сколько действует сертификат?
Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let's Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.
Будет ли сертификат определяться браузерами как доверенный?
Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.
Можно ли использовать в коммерческих целях?
Да, можно. Именно для таких целей сертификат и создавался.
Поддерживаются ли национальные домены (IDN)?
Сертификаты Let's Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.
Поддерживаются ли поддомены (wildcard)?
Сертификаты Let's Encrypt поддерживают wildcard. Проверяются такие сертификаты только через DNS-записи.
Поддерживается ли мультидомен (SAN)?
Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.
Как настроить автоматический редирект на HTTPS?
Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS.
Редирект на связке Apache+Nginx
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.
2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.
3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.
Редирект на чистом Apache
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфиг.
2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.
Внимание! Если на сервере несколько сайтов, а сертификат вы ставите на один, произойдёт ошибка. Сайты без сертификата тоже начнут работать по HTTPS, но будут вести на домен с сертификатом. Браузер будет предупреждать, что сертификат не соответствует доменному имени. Выход из ситуации – поставить сертификат на каждый домен или перевесить сайт с сертификатом на отдельный IP-адрес.
Как настроить безопасное соединение и редиректы, чтобы избежать циклической переадресации, изложено в материале нашей энциклопедии.
Смотри также
- Документация на сайте разработчика ISPmanager
- Официальный сайт Let's Encrypt
- Форум сообщества
- Как установить бесплатный сертификат Let's Encrypt без панели управления ISPmanager (manual mode)
- Полная инструкция по настройке и автоматизации (англ.)
