SSL. Добавить SSL-сертификат к ресурсу для передачи контента по HTTPS-протоколу

SSL-сертификат — это уникальная цифровая подпись вашего сайта, необходимая для организации защищенного соединения между клиентом и сервером, что особенно важно при передаче конфиденциальной информации и проведении финансовых операций (HTTPS-протокол).

Используйте навигацию для быстрого поиска нужного раздела:

Личный SSL-сертификат

«Let’s Encrypt» сертификат 

Общий SSL-сертификат (gcdn.co) 

Личный SSL-сертификат

Используйте личный SSL-сертификат, если в качестве персонального домена для создания CNAME-записи вы устанавливаете свое значение.

_________________.png

Добавить личный сертификат можно двумя способами: при создании ресурса и в разделе «SSL-сертификаты»

Добавление личного SSL-сертификата при создании ресурса 

Для того чтобы добавить и привязать личный сертификат при создании ресурса, после ввода собственного значения персонального домена, активируйте функцию «Поддержка HTTPS» и нажмите «Добавить SSL-сертификат».

__________le____.png

Во всплывающем окне выберите «Добавить собственный сертификат». Укажите имя сертификата, сертификат в формате PEM и приватный ключ. Нажмите «Добавить SSL-сертификат»

Как правильно оформить сертификат читайте здесь. 

_______________________.png

Сертификат будет привязан к ресурсу, а также добавлен в список личных сертификатов в разделе «SSL-сертификаты» сервиса CDN. 

Добавление личного SSL-сертификата в разделе «SSL-сертификаты»

Для того чтобы добавить сертификат в личный кабинет без привязки к ресурсу, перейдите в раздел «SSL-сертификаты» сервиса CDN. Нажмите «Добавить SSL-сертификат».

_________SSL__________.png

Введите SSL-сертификат в формате PEM и приватный ключ, а также задайте имя сертификата. Нажмите «Создать SSL-сертификат».

Как правильно оформить сертификат читайте здесь.

_________SSL______________.png

После сохранения настроек сертификат отобразится в списке SSL-сертификатов.

В разделе доступна информация о сертификате:  id, имя, ресурсы, которые используют сертификат, срок действия.

ssl____________.png

Удаление личного SSL-сертификата 

Чтобы удалить сертификат, нажмите на знак трех точек напротив нужного сертификата и выберите «Удаление».

ssl______________.png

Обратите внимание! Удаление сертификатов, которые используются в CDN-ресурсах, невозможно. Если вы хотите удалить такой сертификат, замените его в настройках CDN-ресурса на другой SSL-сертификат. 

Прикрепление личного сертификата к ресурсу 

Прикрепить к ресурсу сертификат, добавленный в разделе «SSL-сертификаты»можно в настройках ресурса при его создании или редактировании

  1. Перейдите в настройки ресурса. 
  2. Найдите опцию «Поддержка HTTPS». 
  3. Выберите нужный сертификат в отображающемся селекторе.
  4. Сохраните настройки.

________________________________________.png

Важно! Если для ресурса подключен «Let’s Encrypt» сертификат, селектор личных сертификатов отображаться не будет. Чтобы получить возможность выбрать личный сертификат, сначала отзовите «Let’s Encrypt». 

Замена сертификата  

Добавленный личный сертификат изменить нельзя, поэтому по истечении срока действия сертификата следуйте шагам: 

  1. Добавьте новый сертификат в разделе «SSL-сертификаты». 
  2. Перейдите в настройки нужного ресурса.  
  3. Найдите раздел «Поддержка HTTPS». 
  4. Сейчас в селекторе выбора сертификата отображается название вашего текущего сертификата. 
  5. Нажмите на селектор и выберите новый сертификат.  
  6. Сохраните изменения.  
  7. Настройки применятся в течение 10-15 минут. 
  8. Проверьте, какой сертификат привязан к ресурсу. Для этого откройте CNAME в браузере (например,  https://example.ru). Нажмите на знак замка, рядом с https => Сертификат. 

_____________________.png

Сравните данные защищенного соединения с только что установленным сертификатом. Если настройки применились, можно удалять старый сертификат из раздела «SSL–сертификаты». 

Важно! Не удаляйте заменяемый сертификат из раздела  «SSL-сертификаты» до тех пор, пока контент не будет раздаваться с помощью нового сертификата. Следуйте шагам, описанным выше, иначе замена сертификата произойдет с прерыванием доставки контента.  

Особенности ввода данных сертификата и приватного ключа 

  1. Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения .pem, .crt, или .cer 
  2. Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA. 
  3. Данные в поле Certificate необходимо вставлять, включая теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----. 
  4. Цепочки сертификатов должны быть вставлены слитно.___________________.png
  5. В конце цепочки сертификатов должна быть пустая строка._________________.png 
  6. Откройте файл с приватным ключом (.key) в приложении «Блокнот». 
  7. Скопируйте и вставьте ключ, включая теги -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----. 
  8. Нажмите «Создать SSL-сертификат». 
  9. Сертификат появится в разделе «SSL-сертификаты», а если добавление происходило в момент создания ресурса - сертификат также привяжется к ресурсу.  

Уведомления об истечении срока действия SSL-сертификатов

Уведомления об истечении срока действия SSL-сертификатовдобавленных в раздел «SSL-сертификаты»,  отображаются в личном кабинете и пересылаются на почту пользователям аккаунта с ролями «Администратор» и «Инженер». 

Важно! Let’s Encrypt сертификаты, выпущенные в настройках CDN-ресурса, продлеваются автоматически, поэтому уведомлений об истечении срока действия таких сертификатов не предусмотрено. 

Пользователи уведомляются по почте:

  • За 14 дней до истечения сертификата. 
  • За 7 дней до истечения сертификата.
  • В день истечения сертификата.

При входе в личный кабинет будет отображаться напоминание с указанием на сертификат, подлежащий обновлению:

___________1____.png

Раздел «SSL-сертификаты» будет отмечен восклицательным знаком, если есть уже истекшие сертификаты или те, которые истекут в ближайшие 14 дней: 

ssl________________________________.png

В разделе SSL-сертификаты напротив сертификатов, нуждающихся во внимании, будут стоять специальные символы

  • Если сертификат истекает через 14 или менее дней. 

__________________.png

  • Если сертификат уже истёк. 

__________.png

 

«Let’s Encrypt» сертификат

Если у вас нет собственного SSL-сертификата, в личном кабинете есть возможность подключить бесплатный «Let’s Encrypt» сертификат.

Подключение «Let’s Encrypt» сертификата

1.Создайте CDN-ресурс с собственным значением персонального домена.

_________________.png

2. Добавьте CNAME-запись в настройках DNS домена.

3. В настройках ресурса активируйте плашку «Поддержка HTTPS» и нажмите «Добавить SSL сертификат».

SSL1.png

4.Выберите «Получить бесплатный сертификат Let’s Encrypt» и нажмите «Получить SSL-сертификат».

ssl_15__________.png

Получение сертификата может занять до 30 минут. В течение этого времени нельзя:

  • выключать поддержку HTTPS
  • выбирать другой сертификат
  • прерывать выпуск текущего сертификата

Важно! Получение сертификата занимает до 30 минут в случае, если вы оформялете его на только что созданный ресурс, т.к конфигурация нового ресурса еще не применена на всех CDN-cерверах. Если конфигурация ресурса уже присутствует на всех CDN-серверах, получение Let's Encrypt сертификата происходит менее чем за пару минут. 

_____________________.png

Если во время выпуска сертификата произойдет ошибка, опция «Поддержка HTTPS» выключится, а на вашу почту уйдет уведомление с описанием причины и дальнейшими действиями.

Письма отправляются также всем вашим пользователям с ролями «Administrators» и «Engineers».

Внимание! Выпустить сертификат «Let's Encrypt» можно только на существующий ресурс. Если CNAME ресурса не направлена на нас в настройках DNS домена или источник не доступен, сертификат не выпишется.

На один ресурс в один момент времени может быть выдан только один сертификат «Let's Encrypt».

Если вы захотите добавить или удалить второй персональный домен для ресурса, после сохранения изменений мы перевыпустим сертификат. 

____________________.png

Пока ресурс активен, сертификат продлевается автоматически.

Попытка замены сертификата происходит за 30 дней до окончания срока действия предыдущего. Предпринимается одна попытка перевыпуска. В случае, если сертификт выписать не удалось, на вашу почту придёт уведомление.

Важно! В случае неудачной попытки перевыпуска, сертификат продолжит работать ещё 30 дней. После чего контент станет недоступным по HTTPS. Чтобы избежать прерывание доставки контента, запросите перевыпуск сертификата самостоятельно. Для этого в личном кабинете сначала отзовите  Let's Encrypt сертификат, а затем подключите Let's Encrypt сертификат заново.

Удаление «Let’s Encrypt» сертификата

Чтобы удалить сертификат, перейдите в настройки ресурса и нажмите «Отозвать сертификат Let's Encrypt» в разделе «Поддержка HTTPS».

lE___________.png

Перед тем как отозвать сертификат, подтвердите действие.

_________LE___.png

Важно! Через API-запрос замена «Let's Encrypt» сертификата на собственный сертификат выполняется без необходимости сначала отзывать «Let's Encrypt» сертификат.

Ограничения и особенности опции

  • Сертификат не выдается на wildcard-домен.
  • Если на ресурс выписан «Let's Encrypt» сертификат, селектор выбора личных сертификатов не отображается. Личные сертификаты станут доступны для выбора после удаления «Let's Encrypt» сертификата.
  • Выпущенные Let’s Encrypt сертификаты не отображаются во вкладке «SSL-сертификаты».

            ssl_tab_ru.png

  • «Let’s Encrypt» сертификат отображается только в настройках ресурса, для которого он выписан.lE___________.png
  • Выписка и отзыв «Let's Encrypt» сертификата не требуют сохранения настроек ресурса.
  • Если вы используете DNS Cloudflare, для опции CNAME Flattering необходимо выбирать  вариант Flatten CNAME at root. Иначе сертификат не будет выписан!image2020-5-13_15-28-38.pngЕсли выбрать Flatten all CNAMEs, вместо CNAME будет передаваться А-запись и сертификат не будет выписан.image2020-5-13_15-26-53.png

Общий SSL-сертификат (gcdn.co)

Бесплатный общий SSL-сертификат доступен, если CNAME-запись задана в зоне gcdn.co. После создания ресурса сертификат автоматически будет подключен к ресурсу, и файлы будут доступны по HTTPS.

 ____________.png

 

Была ли статья полезна?
Недавно просмотренные статьи