Частые вопросы

Все, что нужно знать о SSL-сертификатах

Что такое
SSL-сертификат?

Раскажем, кому и зачем нужен SSL, кто выдаёт сертификаты и какими они бывают

HTTPS — защищенный протокол передачи данных с поддержкой шифрования. Как он шифрует данные и почему это надежнее, чем http>>

HTTP-сайты теряют 84% пользователей. Именно столько людей не вводят данные на сайтах без SSL-сертификатов>>

Все SSL-сертификаты шифруют данные одинаково, но по-разному идентифицируют владельца сайта>>

Чтобы браузеры отображали ваш сайт как надёжный, нужно установить файлы сертификата на веб-сервер>>

Что такое SSL-сертификат? Общие вопросы

SSL-сертификат — это своеобразное «удостоверение» сайта, подтверждающее его безопасность для пользователей. На сайте с SSL-сертификатом пользователи могут совершать покупки и вводить пароли, не опасаясь за свои данные. Сам сертификат представляет собой набор файлов, установленных на сервер.

Это работает так: браузер проверяет SSL-сертификат сайта, на который заходит пользователь.

Если всё в порядке, сайт помечается браузером как безопасный. В адресной строке виден замочек.


Закрытым замочком браузер отмечает сайты, защищенные SSL-сертификатом

Если кликнуть на замочек, появится информация, что подключение к этому сайту безопасно.


Этот сайт защищен — установлен SSL-сертификат. Браузер сообщает посетителю, что здесь можно без опасений вводить пароли, номера банковских карт и личную информацию.

Если SSL-сертификат в порядке, браузер пользователя устанавливает безопасное соединение по протоколу HTTPS. Протокол HTTPS — это технология, которая позволяет сайту и пользователям обмениваться данными в зашифрованном виде — так, что ими не может воспользоваться злоумышленник.


Как SSL-сертификат влияет на работу сайта

SSL-сертификат повышает доверие к сайту. Если вы храните персональные данные, продаёте товары или предоставляете платный сервис, наличие сертификата обязательно. Сервисы банковского эквайринга отказывают в своих услугах сайтам без SSL-сертификата. Их владельцы не смогут принимать от посетителей оплату по карточкам online — магазин потеряет часть возможной прибыли. Google и Яндекс рекомендуют устанавливать SSL-сертификат на сайт, даже если вы не собираете конфиденциальную информацию пользователей. При незащищенном соединении злоумышленники могут собирать совокупную информацию о посетителях сайта и делать выводы об их намерениях.


Официальная позиция Яндекса о влиянии SSL-сертификата на ранжирование сайта в поиске.


Рекомендация специалиста Google всегда использовать защищенный протокол HTTPS: «Вы всегда должны защищать ваш сайт с помощью HTTPS, даже не обрабатываете конфиденциальную информацию. Это не только обеспечивает сохранность данных на сайтах и личную информацию пользователей, но и необходимо для работы многих новых функций браузера, особенно для прогрессивных веб-приложений»

Если сертификата нет, пользователь увидит пометку «не защищено» и может уйти с сайта.


Браузер Chrome предупреждает посетителя, что сайт небезопасен. Владелец домена не установил SSL-сертификат. Адрес, телефон, номер банковской карты, введенные на этом сайте, сможет перехватить и использовать злоумышленник.

Сертификаты, гарантирующие безопасность выпускают в доверенных сертификационных центрах. Эти организации проверяют владельцев сайтов, прежде чем выдать им сертификат. В зависимости от доскональности проверки отличается длительность его выпуска, степень надёжности и цена.

Чтобы вашему сайту доверяли посетители и поисковые алгоритмы, установите SSL-сертификат от доверенного сертификационного центра. Наши специалисты помогут с выбором.

Какой сертификат подойдёт для моего сайта?
25 /faq/general-questions/chto-takoe-ssl SSL-сертификат — это своеобразное «удостоверение» сайта, подтверждающее его безопасность для пользователей.
Покупка SSL-сертификата у FirstSSL Общие вопросы

  Легко выбрать

Мы собрали самые востребованные SSL сертификаты и создали удобный сервис сравнения по 20 параметрам, чтобы выбирать подходящий сертификат стало еще удобнее.

Подробнее о выборе сертификата >>

  Выгодная покупка SSL по подписке

Подписка сроком до 5 лет поможет сэкономить ваши деньги и время. Чем ольше срок подписки, тем выгоднее цена сертификата

Подробнее о подписке >>

  Быстро получить и активировать

Получить сертификат можно всего за 5 минут, а подробные инструкции помогут сэкономить время при его активации и установке.

Посмотреть инструкции >>


  Поможем бесплатно 24/7
Возникли вопросы с установкой или перевыпуском сертификата? Специалисты технической поддержки помогут бесплатно в любое время суток!
Обратиться в техподдержку >>


  Гарантируем безопасность
Сотрудничаем с проверенными центрами сертификации: Sectigo (Comodo), Thawte, Digisert, GeoTrust и RapidSSL. Если злоумышленники смогут взломать шифр вашего сертификата, то вашим клиентам компенсируют убытки по гарантии.
Что такое гарантия? >>

Перейти к выбору SSL сертификата
26 /faq/general-questions/pochemu-firstssl 5 причин купить SSL-сертификат у нас – защитить свой сайт и завоевать доверие пользователей
Процесс получения SSL сертификата [DV] с проверкой домена Технические вопросы

Для получения сертификата вам нужно  ввести подробную информацию о компании, домене и контактных лицах.  Чтобы ни один шаг заказа не вызвал у вас сложностей мы написали подробную инструкцию по покупке и активации SSL сертификатов с проверкой домена. 

 

1. Выберите сертификат и нажмите кнопку “Купить”

 

Воспользуйтесь этой статьей, если вы еще не определились с выбором.

 

2. Зарегистрируйтесь или авторизируйтесь на сайте

3. Сгенерируйте запрос на выдачу сертификата

Сгенерируйте  запрос или укажите имеющийся, если вы уже создали его у центра сертификации или другого регистратора.
На этом шаге нужно указать достоверную информацию о компании, которая будет отражена в сертификате.

  1. Введите название домена. Не все сертификаты бесплатно защищают домены с www и без www, поэтому указывайте доменное имя в правильном формате.  Для сертификатов с защитой поддоменов используйте звездочку ( *.domain.ru). При заказе мультидоменного сертификата, сразу укажите все домены, которые хотите защитить. Потом добавить их будет невозможно.
  2. Выберите страну, в которой находится организация (для физических лиц - страну проживания).
  3. Укажите регион (область, край, республику и т.д.) и  город на латинице.
  4. По-английски напишите название организации и правовую форму ( ООО = LTD, OAO = JSC, ИП = UN и т.д.). Если вы - физическое лицо, впишите ФИО латинскими буквами.
  5. Указывать подразделение компании не обязательно, но, если вы представляете крупную организацию, так вашим клиентам будет проще связаться с компетентным отделом.
  6. Почтовый адрес, указанный здесь, будет отражен в тексте SSL сертификата. Укажите тот e-mail, по которому клиенты смогут связаться с вами.

Проверьте правильность информации и перейдите к следующему шагу.

 

4. Сохраните ключ сертификата в надежном месте

Для вас сгенерирован секретный ключ сертификата. Вы можете не сохранять его в платежной системе FirstSSL, поставив галочку под текстом, но обязательно сохраните текст ключа в надежном месте! Если ключ потеряется, сертификат невозможно будет перевыпустить.

 

5. Заполните контактные данные административного и технического представителя

Административное контактное лицо – директор или другой представитель руководящего звена организации, имеющий право на запрос сертификата от имени компании. Сертификационный центр может связаться с ним для подтверждения юридических данных.
Техническое контактное лицо – сотрудник, обслуживающий web-сервер, на котором будет установлен сертификат. Ему будут отправлены инструкции и файлы для установки сертификата.
Если вы представляете оба этих контактных лица, продублируйте информацию из первого во второй контакт с помощью галочки.

 

  1. Напишите имя и фамилию руководящего лица латинскими буквами.
  2. По-английски укажите его должность (например, генеральный директор – CEO).
  3. Введите актуальные контактные данные, по которым центр сертификации сможет связаться с руководителем.
  4. Укажите имя и фамилию ответственного сотрудника латинскими буквами.
  5. По-английски укажите его должность (например, System Administrator).
  6.  Введите актуальные контактные данные, на которые будут отправлены инструкции и файлы для установки сертификата.

 

6. Укажите почтовый ящик для проверки домена

Сертификационные центры предлагают использовать один из пяти стандартных адресов на домене, который требуется защитить: admin@, administrator@, hostmaster@, postmaster@ или webmaster@domain.ru. Обязательно создайте такой ящик, если пока его нет.

 

7. Настройте автоплатёж

Система автоматически спишет деньги с вашего счёта для продления срока действия услуги.

 

8. Если у вас есть промокод, введите его

 

9. Выберите удобный способ оплаты

Для оплаты картой вас перенаправит  в платежную систему CyberPlat.

Проблемы с оплатой? Свяжитесь с отделом продаж (sales@firstssl.ru).

 

10. Подтвердите номер телефона

После оплаты банковской картой или с помощью сервисов WebMoney, ЮMoney и QIWI подтвердите номер телефона, чтобы получать информацию о о состоянии ваших услуг.

 

11. Введите контактную информацию для получения проверочного кода

Укажите страну и введите номер телефона, чтобы получить проверочный код. Выберите способ получения кода (звонок автоинформатора или смс).

 

12. Введите проверочный код

Дождитесь звонка автоинформатора или смс, запомните проверочный код и введите его в нужное поле.

 

13. Запрос на выдачу SSL сертификата отправлен в центр сертификации

Получилось! Запрос на выдачу SSL сертификата отправлен в центр сертификации. Через пару минут на почтовый ящик на вашем домене, который вы указали ранее, придет письмо со ссылкой для валидации домена.

 

14. Дождитесь письма от центра сертификации

Откройте почтовый ящик на вашем домене (admin@, administrator@, hostmaster@, postmaster@ или webmaster@domain.ru). Вы получили письмо от центра сертификации. В нем указан проверочный код и ссылка на валидацию домена.

 

15. Верифицируйте домен

Перейдите по ссылке и введите код из письма.

 

16. Завершите процедуру проверки

Вы успешно подтвердили домен. Ожидайте письмо с SSL сертификатом на почтовый адрес, указанный в техническом контакте.

 

17. Получите письмо со ссылкой на установку печати доверия

Откройте почтовый ящик технического контактного лица (в нашем примере – your@mail.ru). Вы получили 2 письма от центра сертификации. Первое предлагает вам установить печать доверия – графическое отображение проверки домена на вашем сайте. Установите её, следуя инструкциям в письме или проигнорируйте это предложение.

 

18. Получите письмо с файлами для установки SSL сертификата

Второе письмо содержит файлы для установки сертификата и ссылку на инструкции от сертификационного центра.

 

Поздравлям! Заказав SSL сертификат вы обеспечили безопасную передачу данных между пользователем и сервером. Чтобы корректно установить сертификат воспользуйтесь инструкциями сертификационного центра (по ссылке в письме) или нашей инструкцией по установке сертификата.

Остались вопросы? Звоните, поможем  –  8 800 775 9 778 (бесплатно, круглосуточно).

55 /faq/technical-questions/poluchenie-dv-sertifikata Как купить и активировать сертификат с проверкой домена – пошаговая инструкция
Процесс получения SSL сертификата [OV] с проверкой организации Технические вопросы

Формирование запроса и оплата

  1. Выберите сертификат, период его действия и нажмите кнопку заказа. Для продолжения заказа система перенаправит вас в личный кабинет BILLmanager. Пройдите авторизацию/регистрацию.
  2. Сгенерируйте запрос на получение сертификата (CSR\Certificate Signing Request) заполнив требуемые поля согласно рекомендациям. Вы также можете воспользоваться имеющимся CSR, сгенерированным самостоятельно.

SSL сертификаты с поддержкой поддоменов защищают все поддомены типа *.primer.ru по умолчанию.

Если Вы заказываете мультидоменный сертификат, то по умолчанию будут защищены домены только в том виде, в котором они были указаны при создании запроса на получение сертификата (CSR \ Certificate Signing Request): или с «www», или без «www».

Чтобы не тратить доменные имена, входящие в стоимость мульти доменного SSL сертификата в дальнейшем вы можете настроить редирект так, чтобы все запросы к сайту перенаправлялись на защищенный домен.

SSL сертификаты Sectigo бесплатно обеспечивают защиту соединения при обращении к домену как с «www», так и без «www», при этом неважно как вы укажете ваш домен при создании запроса на получение сертификата (CSR\Certificate Signing Request) с «www» или без.

Не относится к мультидоменным SSL сертификатам.

Закажите сертификат на домен с префиксом WWW (напр. www.vashdomen.ru), указав его в таком формате в поле «Домен» во время создания запроса на получение сертификата (CSR \ Certificate Signing Request). При этом главный домен (vashdomen.ru) будет защищён бесплатно.

Не относится к мультидоменным SSL сертификатам.

Если Вы заказываете SSL сертификат Digisert , обратите внимание, что по умолчанию будут защищены домены только в том виде, в котором они были указаны в поле «Домен» при создании запроса на получение сертификата (CSR \ Certificate Signing Request): с «www» или без «www».

В дальнейшем вы можете настроить редирект таким образом, чтобы все запросы к сайту перенаправлялись на защищенный домен.

Если Вы заказываете SSL сертификат thawte , обратите внимание, что по умолчанию будут защищены домены только в том виде, в котором они были указаны в поле «Домен» при создании запроса на получение сертификата (CSR \ Certificate Signing Request): с «www» или без «www».

В дальнейшем вы можете настроить редирект таким образом, чтобы все запросы к сайту перенаправлялись на защищенный домен.

  1. Сохраните секретный ключ сертификата в безопасном месте.
  2. Укажите данные контактных лиц для административных (оплата, заказ и т.п.) и технических вопросов (отправка самого сертификат, установка).
  3. Заполните информацию об организации, согласно учредительным документам, используя подсказки.
  4. Выберите адрес проверочного Email,  на который будет отправлено письмо для подтверждения.
  5. Сертификационные центры отправляют подтверждающие письма только на адреса определенных видов, поэтому в случае необходимости создайте требуемый адрес.
  6. Нажав «Оплатить», вы будете перенаправлены системой в раздел «Финансы / Платежи». Произведите оплату удобным для вас способом согласно стоимости выбранного сертификата и периода его действия.

Прохождение проверки

  1. Подтверждение владения доменом

    Перед отправкой запроса на получение сертификата предварительно проверьте, чтобы Whois-сервисы по домену, для которого вы получаете сертификат, отображали полное наименование и контактные данные организации, и чтобы они совпадали с отправленными в CSR. При этом сервис Private Person, скрывающий персональные данные, должен быть отключен.

    В редких случаях сертификационный центр может запросить Свидетельство о регистрации домена.  Для его получения обратитесь к регистратору вашего домена.

  2. Проверка организации
    1. Проверка документов

      На проверочный e-mail придет письмо с дальнейшими инструкциями и запросом копий документов организации (для большинства компаний достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе).

    2. Проверка по телефону

      Телефонный номер и адрес компании должен содержаться в общедоступных телефонных справочниках (yp.ru, yell.ru, telkniga.info, nomer.org). В противном случае от вас может потребоваться отправить в сертификационный центр скан-копию счета за услуги связи или коммунальные услуги, в которых будут содержится телефонный номер, адрес, и название вашей организации.

      Внимание! Убедитесь, что сотрудник, указанный в качестве административного контакта при формировании CSR, проинформирован об этом, а также знает название заказанного сертификата и доменное имя, которое он будет защищать.

    3. Проверка из открытых источников Sectigo

      Сертификационный центр Sectigo (Comodo) поменял свою политику проверки организации, данные о компаниях из России сравниваются только с двумя источниками: https://egrul.nalog.ru/ и/или https://www.upik.de/en/. Перед заказом SSL-сертификата Sectigo с проверкой организации, пожалуйста, убедитесь в том, что ваша компания официально зарегистрирована и находится в реестре федеральной налоговой службы.

  3. После успешного прохождения проверки сертификационный центр подпишет и отправит SSL сертификат на Email для технических вопросов. Вам останется только установить его к себе на сервер.
56 /faq/technical-questions/poluchenie-ov-sertifikata Как купить и активировать сертификат с проверкой организации – пошаговая инструкция
Процесс получения SSL сертификата [EV] с расширенной проверкой организации Технические вопросы

Формирование запроса и оплата

  1. Выберите сертификат, период его действия и нажмите кнопку заказа. Для продолжения заказа система перенаправит вас в личный кабинет BILLmanager. Пройдите авторизацию/регистрацию.
  2. Сгенерируйте запрос на получение сертификата (CSR\Certificate Signing Request) заполнив требуемые поля согласно рекомендациям. Вы также можете воспользоваться имеющимся CSR, сгенерированным самостоятельно.

Если Вы заказываете мультидоменный сертификат, то по умолчанию будут защищены домены только в том виде, в котором они были указаны при создании запроса на получение сертификата (CSR \ Certificate Signing Request): или с «www», или без «www».

Чтобы не тратить доменные имена, входящие в стоимость мульти доменного SSL сертификата в дальнейшем вы можете настроить редирект так, чтобы все запросы к сайту перенаправлялись на защищенный домен.

SSL сертификаты Sectigo (Comodo) бесплатно обеспечивают защиту соединения при обращении к домену как с «www», так и без «www», при этом неважно как вы укажете ваш домен при создании запроса на получение сертификата (CSR\Certificate Signing Request) с «www» или без.

Не относится к мультидоменным SSL сертификатам.

Закажите сертификат на домен с префиксом WWW (напр. www.vashdomen.ru), указав его в таком формате в поле «Домен» во время создания запроса на получение сертификата (CSR \ Certificate Signing Request). При этом главный домен (vashdomen.ru) будет защищён бесплатно.

Не относится к мультидоменным SSL сертификатам.

Если Вы заказываете SSL сертификат Digicert , обратите внимание, что по умолчанию будут защищены домены только в том виде, в котором они были указаны в поле «Домен» при создании запроса на получение сертификата (CSR \ Certificate Signing Request): с «www» или без «www».

В дальнейшем вы можете настроить редирект таким образом, чтобы все запросы к сайту перенаправлялись на защищенный домен.

Если Вы заказываете SSL сертификат thawte , обратите внимание, что по умолчанию будут защищены домены только в том виде, в котором они были указаны в поле «Домен» при создании запроса на получение сертификата (CSR \ Certificate Signing Request): с «www» или без «www».

В дальнейшем вы можете настроить редирект таким образом, чтобы все запросы к сайту перенаправлялись на защищенный домен.

  1. Сохраните секретный ключ сертификата в безопасном месте.
  2. Укажите данные контактных лиц для административных (оплата, заказ и т.п.) и технических вопросов (отправка самого сертификат, установка).
  3. Заполните информацию об организации, согласно учредительным документам, используя подсказки.
  4. Выберите адрес проверочного Email,  на который будет отправлено письмо для подтверждения.
  5. Сертификационные центры отправляют подтверждающие письма только на адреса определенных видов, поэтому в случае необходимости создайте требуемый адрес.
  6. Нажав «Оплатить», вы будете перенаправлены системой в раздел «Финансы / Платежи». Произведите оплату удобным для вас способом согласно стоимости выбранного сертификата и периода его действия.

Прохождение проверки

  1. Подтверждение владения доменом

    Перед отправкой запроса на получение сертификата предварительно проверьте, чтобы Whois-сервисы по домену, для которого вы получаете сертификат, отображали полное наименование и контактные данные организации, и чтобы они совпадали с отправленными в CSR. При этом сервис Private Person, скрывающий персональные данные, должен быть отключен.

    В редких случаях сертификационный центр может запросить Свидетельство о регистрации домена.  Для его получения обратитесь к регистратору вашего домена.

  2. Расширенная проверка организации
    1. Проверка документов

      Через 1-2 дня после оплаты на проверочный e-mail придет письмо с дальнейшими инструкциями и запросом подписанного бланка соглашения на использование SSL сертификата с расширенной проверкой, а также копий документов организации (для большинства компаний достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе). Существование организации также проверяется путем прямого запроса сертификационного центра в государственные регистрирующие органы. В случае если организация выступает под торговым наименованием отличным от ее названия, то проверяется право организации на это. При выдаче сертификата с расширенной проверкой также проверяется факт существования организации, заказавшей сертификат, более трех лет. В случае невозможности подтверждения данной информации сертификационный центр вправе затребовать выписку с банковского счета, подтверждающую, что у организации есть действующий расчетный счет.

      Часто SSL сертификаты с расширенной проверкой заказывают финансовые, страховые и государственные учреждения. От них потребуется предоставление более расширенного пакета документов, например:

      • Лицензия на осуществление какого-либо вида деятельности;
      • Информационное письмо об учете в Статрегистре Росстата;
      • Уведомление о регистрации юр. лица в территориальном органе Пенсионного Фонда РФ по месту нахождения на территории РФ;
      • Извещение о регистрации в качестве страхователя (Фонд соц. страхования РФ), если наименование компании, адрес и печать находятся на одном листе;
      • Уведомление из территориального органа федеральной службы государственной статистики;
      • Свидетельство о постановке на учет в налоговом органе;
      • Свидетельство о регистрации страхователя в территориальном фонде обязательного медицинского страхования при обязательном медицинском страховании;
      • Свидетельство о гос. регистрации права недвижимое имущество и сделок с ним.
      • и др. документы.
    2. Проверка по телефону

      Телефонный номер и адрес компании должен содержаться в общедоступных телефонных справочниках (yp.ru, yell.ru, telkniga.info, nomer.org). В противном случае от вас может потребоваться отправить в сертификационный центр скан-копию счета за услуги связи или коммунальные услуги, в которых будут содержится телефонный номер, адрес, и название вашей организации.

      Внимание! Убедитесь, что сотрудник, указанный в качестве административного контакта при формировании CSR, проинформирован об этом, а также знает название заказанного сертификата и доменное имя, которое он будет защищать.

    3. Проверка из открытых источников Sectigo

      Сертификационный центр Sectigo поменял свою политику проверки организации, данные о компаниях из России сравниваются только с двумя источниками: https://egrul.nalog.ru/ и/или https://www.upik.de/en/. Перед заказом SSL-сертификата Sectigo с расширенной проверкой, пожалуйста, убедитесь в том, что ваша компания официально зарегистрирована и находится в реестре федеральной налоговой службы.

  3. После успешного прохождения проверки сертификационный центр подпишет и отправит SSL сертификат на Email для технических вопросов. Вам останется только установить его к себе на сервер.

57 /faq/%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5-%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B/%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81-%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F-ssl-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0-ev-%D1%81-%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%BE%D0%B9-%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8 Как купить и активировать сертификат с расширенной проверкой организации – пошаговая инструкция
Какие файлы нужны для установки SSL-сертификата Установка SSL

После того, как вам выпустили SSL-сертификат, его необходимо установить на сайт. Для этого понадобятся файлы сертификата и доступ на сервер. В инструкции разберёмся, где их взять.

Где взять файлы сертификатов

Для установки SSL-сертификата потребуются специальные файлы.

  • Секретный ключ генерируется при создании запроса на выпуск сертификата.
  • Сертификат и цепочка сертификатов высылаются на почту, которую указали в качестве технического контакта. Также они доступны в Личном кабинете FirstSSL.

Чтобы скачать файлы в Личном кабинете, перейдите в раздел ТоварыSSL-сертификаты. Кликните по приобретенному сертификату и нажмите «Просмотр»:

Внизу доступны файлы: секретный ключ, сертификат, запрос на сертификат.

Для установки понадобятся первые два: секретный ключ и сертификат.

Запрос на сертификат на этапе установки не нужен — он используется для продления услуги.

Важно: автоматическое продление сертификата позволяет только своевременно запустить выпуск нового сертификата. Чтобы новый сертификат начал действовать, потребуется подтвердить выпуск и установить его на сервер вручную, заменив старый. Поэтому даже при использовании автоматического продления рекомендуем вам регулярно следить за уведомлениями: при успешном продлении на почту, указанную при заказе сертификата, придёт письмо с инструкциями.

Если вы не нашли файлы SSL-сертификата, проверьте:

  • Соответствует ли ваш адрес электронной почте адресу, указанному в заявке на получение сертификата
  • Одобрил ли сертификационный центр ваш запрос на получение сертификата. Сертификационный центр может отказать в выпуске сертификата, если заявка заполнена с ошибками
  • Была ли отправлена заявка на получение сертификаты
  • Был ли сохранён секретный (приватный) ключ

Обращайтесь в техподдержку, если у вас возникли вопросы

Секретный ключ

Секретный ключ — это файл с расширением .key. Иногда секретный ключ отсутствует в Личном кабинете. Это может произойти, если при создании запроса на сертификат вы выбрали настройку «Не сохранять ключ». Если у вас нет ключа, сертификат необходимо перевыпустить.


Файл с приватным ключом


Секретный ключ, открытый в текстовом редакторе, представляет собой набор символов. Они заключены между пометками «Begin RSA private key» — (начало ключа) и «End RSA private key» (конец ключа). Секретный ключ используется для расшифровки данных, поступающих на сервер, поэтому не передавайте его посторонним.

Сертификат

Файл «сертификат», скачанный из личного кабинета, представляет собой архив zip. Распакуйте его. Внутри вы найдёте ещё два файла: сертификат и цепочку сертификатов.

Сертификат — это файл с расширением .crt. Он же является публичным ключом.


Скачанный файл секретного ключа с расширением .crt


Внутри содержится заголовок «Begin certificate» — начало сертификата, тело сертификата и отметку «End certificate» — конец сертификата:


Содержимое сертификата


Цепочка сертификатов

Цепочка сертификатов — файл с расширением .ca-bundle


Скачанный файл цепочки сертификатов с расширением .ca-bungle


В текстовом редакторе цепочка сертификатов выглядит как набор символов. Начало и конец помечены «Begin certificate» и «End certificate».


Фрагмент цепочки сертификатов


Цепочка для сертификата от сертификационного центра GlobalSign

После выпуска сертификата от GlobalSign вы получаете архив с 4 файлами ключей: 

  • Файл с расширением .p7b содержит сертификат и цепочку сертификата. P7B формат поддерживается такими платформами, как Microsoft Windows и Java Tomcat. 
  • Файл с именем домена, на который выпускался сертификат, и расширением .crt содержит в себе открытый ключ сертификата.
  • Файл с именем GlobalSign Root CA.crt содержит корневой ключ цепочки сертификата.
  • Файл с именем AlphaSSL CA - SHA256 - G2.crt содержит промежуточный ключ цепочки сертификата.

Для создания цепочки сертификата вам необходимо поместить в один текстовый файл корневой ключ сертификата, за ним с новой строки промежуточный ключ и дать ему название GlobalSign.ca. Сделать это вы можете, открыв файлы с ключами цепочки через любой текстовый редактор. Для копирования всего содержимого файла лучше использовать комбинации клавиш Ctrl + A далее Ctrl + C, это необходимо, чтобы не пропустить символы при копировании текста.

Что делать, когда все файлы готовы

Когда все файлы готовы, можно переходить к установке сертификата. Процесс состоит из двух основных этапов:

  1. Загрузка на сервер файлов сертификата, которые мы рассмотрели: секретный ключ, сертификат, цепочка сертификатов.
  2. Переключение сайта на работу через защищенное соединение.

Конкретные шаги зависят от панели управления хостингом или типа сервера. Вы можете уточнить детали установки у своего хостинг-провайдера или воспользоваться инструкциями по ссылкам ниже.

58 /faq/ssl-installation/files-for-ssl-certificate-installation После того, как вам выпустили SSL-сертификат, его необходимо установить на сайт. Для этого понадобятся файлы сертификата и доступ на сервер. В инструкции разберёмся, где их взять.
Самостоятельная генерация [CSR] запроса на предоставление сертификата Технические вопросы
CSR - текстовый файл, который содержит открытый ключ и запрос на получение сертификата.

После генерации запрос сохраняется в зашифрованный текстовый файл с данными запроса и открытым ключом. Запрос передается в сертификационный центр для выпуска сертификата.

Генерация CSR в личном кабинете

Запрос на сертификат можно сгенерировать на первом шаге заказа. Для генерации укажите страну и заполните латиницей поля со звездочкой.

Чтобы загрузить CSR перейдите в раздел “SSL-сертификаты” – кликните на доменное имя. В новом окне кликните "Запрос на сертификат".

 

Как самостоятельно сгенерировать CSR

 При заказе сертификата с готовым запросом на серртификат укажите пункт “Уже есть CSR”.

Для генерации CSR на Windows Server используйте статью.

Если у Вас сервер с ОС Linux вам потребуется OpenSSL. 

Создайте закрытый ключ.
Используйте команду: openssl genrsa -des3 -out private.key 2048
Дважды введите пароль для закрытого ключа. Ключ будет сохранен в файле private.key
 
Для создания CSR введите команду: openssl req -new -key private.key -out domain-name.csr
Введите пароль от закрытого ключа.
 
Латинскими символами заполните информацию для выпуска сертификата:
Country Name  двухсимвольный код страны, например «RU» для России.
State or Province Name: регион или область, например «Irkutskaya oblast».
Locality Name: название города населенного пункта, например «Moskow».
Organization Name: название организации в латинском эквиваленте.
Common Name: доменное имя.

Запрос на сертификат будет сохранен в файле domain-name.csr в виде закодированного текста. 

59 /faq/technical-questions/generazia-csr Создать ключ в административной панели хостинга – самый безопасный, но не самый простой вариант. Вам помогут инструкции сертификационных центров
Кто выдает SSL-сертификаты? Общие вопросы

SSL-сертификаты выпускают доверенные центры сертификации — Certification authority, CA. Они несут ответственность за качество сервиса и дают гарантии надёжности SSL-сертификата, подкреплённые финансовыми обязательствами. Если пользователь пострадает из-за уязвимости сертификата, ему выплатят денежную компенсацию.

В каждом браузере содержится список доверенных центров сертификации. Сайты с SSL-сертификатами из этого списка считаются безопасными для пользователя.


Список доверенных центров сертификации в браузере Chrome (раздел Настройки — Дополнительные — Конфиденциальность и безопасность — Настроить сертификаты — Доверенные корневые центры сертификации)


С какими сертификационными центрами работает FirstSSL

Мы сотрудничаем с доверенными центрами сертификации, которые внесены в безопасные списки всех самых популярных браузеров.

 Rapid SSLSectigo (Comodo)ThawteDigisertGeoTrust
DV-сертификаты
Минимальная цена в годот 854 ₽от 494 ₽от 2253 ₽от 3583 ₽
Размер компенсации10 000$10 000 — 50 000$500 000$500 000$
Время выдачи сертификата5-10 минут5-10 минут5-10 минут5-10 минут
OV-сертификаты
Минимальная цена в годот 4630 ₽от 4459 ₽от 19 190 ₽от 5529 ₽
Размер компенсации50 000 — 250 000$500 000 — 1 250 000$1 500 000$1 250 000$
Время выдачи сертификата1-2 дня1-2 дня1-2 дня1-2 дня
EV-сертификаты
Минимальная цена в годот 10 907 ₽от 45 785 ₽от 10 447 ₽
Размер компенсации1 500 000$1 750 000$1 500 000$
Время выдачи сертификатадо 7 дней7 — 10 днейДо 7 дней
Справочники, в которых нужно зарегистрироватьсяru.kompass.com
infobel.com
www.yell.ru
dnb.ru
ru.kompass.com
yp.ru
2gis.ru
google.com/business
dnb.ru

 

Нужна помощь по выбору сертификата? Пишите в наш чат или звоните 8 800 775 9 778

60 /faq/general-questions/kto-zanimaetsa-vidachey Почему создать сертификат самостоятельно – плохая идея, и кто имеет на это право
Какие бывают типы проверки SSL-сертификата и чем они отличаются Общие вопросы

Покупателям предлагают выбрать SSL-сертификат с одним из типов проверки: DV, OV или EV. Что это такое и как определиться с покупкой, расскажем в статье.

Зачем нужна проверка SSL-сертификата

Выпуском SSL-сертификатом занимаются доверенные центры сертификации. Они проверяют надёжность покупателя прежде, чем создать для него сертификат. Это необходимо, чтобы гарантировать пользователям защиту от злоумышленников. Проверка покупателя может проводиться на трех уровнях:

В зависимости от уровня проверки, выделяют соответствующие типы сертификатов. Они отличаются длительностью выпуска, ценой и уровнем надёжности. Рассмотрим каждый вид отдельно.

Валидация домена (DV)

Валидация домена (DV) — базовый уровень проверки SSL-сертификата. Сертификаты с DV-проверкой подходят для простых информационных сайтов, которые не принимают оплату online. Сертификационный центр проверяет, что у заказчика есть доступ к доменному имени.


Процесс заказа сертификата. Покупатель выбирает один из почтовых ящиков, привязанных к домену. Сертификационный центр отправит на него письмо, получение которого нужно подтвердить.

Сертификат, ограниченный DV-проверкой, дешевле прочих, а получить его можно за 10 минут.


Так выглядит сайт с установленным DV-сертификатом. Если кликнуть на замочек возле адресной строки, появятся сведения о безопасности подключения.


Проверка организации(OV)

Цель проверки организации (OV) — убедиться, что юридическое лицо, которое хочет получить сертификат, действительно существует. При оформлении заявки на сертификат необходимо указать данные о компании. Центр сертификации проверит их в официальных источниках и справочниках организаций. Иногда вас могут попросить выслать копии документов, подтверждающие существование организации. Проверка OV занимает от 1 до 3 дней. Сертификат с таким типом проверки рекомендуется для средних и небольших интернет-магазинов, принимающих электронные платежи.

Расширенная проверка (EV)

Расширенная проверка (EV), как и OV-проверка, нужна, чтобы убедиться в подлинности организации, которая запросила сертификат. Перед тем, как выдать ЕV-сертификат, сертификационный центр выполняет дополнительную проверку: он может запросить учредительные документы или позвонить по номеру телефону организации, указанному в одном из публичных справочников. Поэтому получение сертификата EV занимает до 14 дней и обходится дороже. Но и доверия к нему больше. Этот вариант подходит для крупных организаций, которым важна респектабельность, например, банкам, известным брендам или государственным учреждениям.


Так выглядит информация о сертификате с проверкой EV в браузере Chrome. Пользователи могут посмотреть название организации, которой принадлежит сайт.


Отличия SSL-сертификатов с проверкой DV, OV, EV

 DV (валидация домена)OV (проверка организации)EV (расширенная проверка)
Для кого подходитДля информационных сайтов, которые не собирают данные пользователяДля сайтов, которые принимают платежи onlineДля финансовых и государственных учреждений, страховых компаний, крупных брендов
Глубина проверкиПроверяют владельца доменаПроверяют владельца домена и организациюПроверяют владельца домена и организацию. Запрашивают официальные документы. Изучают правовую, физическую операционную деятельность.
Время на получение сертификатаДо 10 минутДо 10 днейДо 14 дней

 

Нужна помощь по выбору сертификата? Пишите в наш чат или звоните 8 800 775 9 778

61 /faq/general-questions/tipy-proverki Центр сертификации может проверить домен, существование организации или всю её деятельность – от этого зависит цена, время выпуска сертификата и уровень доверия пользователей
Что означает сумма гарантии SSL-сертификатов? Общие вопросы

Гарантия сертификата — это сумма, которую получит конечный пользователь вашего сайта, если понесет убытки по вине центра сертификации.

В каких случаях центр сертификации выплачивает компенсацию?
Центры сертификации обязаны тщательно проверить данные компании, приобретающей SSL сертификат. Если за-за ошибки при выдаче сертификат получит мошеннический сайт, то центр сертификации обязуется возместить убытки пользователя, понесенные вследствие этого.

Если злоумышленники взломают шифр сертификата, пользователи также могут рассчитывать на компенсацию потерянных денег.

64 /faq/general-questions/summa-garantii Расскажем, когда клиенты получают компенсацию от центра сертификации
Открытый и закрытый ключ шифрования Общие вопросы

Ключ шифрования – это тайная информация (набор цифр и букв), которая используется алгоритмом для шифрования и расшифровки информации.

Надёжность ключа зависит от его длины в битах. В технологии SSL используют шифры 4096 бит для корневого сертификата и 128–256 бит для клиентских. Такая длина достаточна для безопасной передачи данных.

Протокол SSL использует асимметричное шифрование или шифрование с открытым ключом для установки соединения. Несмотря на название, здесь используются 2 ключа: открытый и закрытый. Оба формируются при запросе SSL-сертификата.

Открытый (публичный ключ) доступен всем. Используется для шифрования данных при обращении браузера к серверу.

Закрытый (секретный ключ) известен только владельцу сайта. Используется для расшифровки данных, отправленных браузером.

 

Шифрование с двумя ключами разного типа гарантирует сохранность информации. Даже если мошенник перехватит трафик, не сможет расшифровать его без закрытого ключа.

Однако асимметричный алгоритм ресурсоемок, а скорость шифрования на 2-3 порядка ниже симметричного алгоритма. Поэтому в SSL-технологии шифрование с открытым ключом используется только для согласования секретного симметричного ключа. С его помощью устанавливается защищённое HTTPS-соединение – данные передаются быстро и безопасно.

Сразу использовать симметричное шифрование ненадежно. В этом алгоритме один и тот же ключ шифрует и расшифровывает информацию. Посетитель сайта и владелец сервера должны договориться о нем без свидетелей.

Передать по почте, телефону или смской не получится – перехватят или подслушают.

Значит, нужно отправить симметричный ключ в зашифрованном сообщении. Но сначала убедиться, что его получит правильный адресат.

  1. Чтобы аутентифицировать сервер, браузер посетителя проверяет, подписан ли SSL-сертификат сертификатом доверенного центра.
  2. Чтобы договориться о симметричном ключе шифрования сервер и браузер используют асимметричное шифрование с открытым ключом.

Рассмотрим этот процесс на примере реальных ключей:

Боб отправляет Алисе замок, ключ от которого есть только у него.

Замок здесь – публичный ключ.


Алиса закрывает замком Боба ящик с секретом и посылает обратно.

Так же браузер шифрует сообщение с помощью публичного ключа и передаёт на сервер.


Открыть ящик не сможет никто: ни сама Алиса, ни сотрудники почты.

Мошенник точно так же не может расшифровать сообщение браузера без закрытого ключа.


Боб получает ящик, открывает своим единственным ключом и узнаёт секрет.

Сервер расшифровывает сообщение закрытым ключом, который есть только у него.

 

Как Алиса и Боб ведут тайную переписку, так браузер и сервер устанавливают защищённое HTTPS-соединение и обмениваются данными.

65 /faq/general-questions/kluch-shifrovania Чтобы данные пользователей не попали в руки мошенников, в SSL-технологии используются три ключа шифрования
Как работает сертификат Wildcard (WC) Общие вопросы

 

Стандартные SSL-сертификаты обеспечивают безопасность одного домена. Wildcard защищает домен и все его прямые поддомены:

  • существующие и ещё не созданные,
  • на любом количестве серверов.

Некоторые WC SSL защищают только поддомены, будьте внимательны при покупке.

WC упрощает администрирование домена: не нужно устанавливать несколько сертификатов и настраивать их с каждым обновлением.

Если субдоменов больше 14-20, WC выгоден. В противном случае лучше установить несколько обычных сертификатов.

Sectigo (Comodo) WC DV = 14 обычных sectigo (Comodo) DV

Как и другие SSL, Wildcard:

66 /faq/general-questions/ssl-sertifikaty-wildcard Один сертификат для домена и всех его поддоменов – выгодно и удобно
Как работает сертификат Multi Domain (MD) Общие вопросы

 

В отличие от стандартных сертификатов, Multi Domain обеспечивает безопасность нескольким доменам. 3 доменных имени входят в стоимость, другие (до 100 штук) оплачиваются дополнительно — 1144 руб./год.

MD облегчает управление SSL: один сертификат проще и быстрее получить, установить, настроить и перевыпустить.

Как и другие SSL-сертификаты, мультидоменный:

  • обеспечивает шифрование данных до 256-бит,
  • существует трёх типов проверки, с опциями SGC, IDN и защитой поддоменов (WC).
67 /faq/general-questions/ssl-sertifikaty-multi-domain Защита до 100 доменов одним сертификатом: чем больше, тем дешевле
Что представляют собой SSL-сертификаты с SGC? Общие вопросы

 

SGC — технология, которая обеспечивает безопасность пользователям устаревших браузеров. Используется в SSL-сертификатах.

Принцип работы:

Все SSL-сертификаты применяют 128/256-битное шифрование данных. В старых версиях браузеров доступно только 40-битное.

SGC увеличивает уровень шифрования до безопасного и защищает всех посетителей сайта. При этом им не нужно устанавливать обновления.

Технология решает проблему с криптографией, но не справляется с другими уязвимостями небезопасных браузеров. Вместе с ними SGC уходит в прошлое. Comodo и Thawte уже отказались от выпуска этих сертификатов.

Опция будет полезна, если посетители ресурса — гос. учреждения или бюджетные организации. В основном они работают с устаревшей технической базой.

68 /faq/general-questions/ssl-sertifikaty-sgc Устаревшие браузеры поддерживают небезопасное 40-битное шифрование – чтобы повыстить его до 128/256-битного есть специальная опция SGC
Можно ли перевыпустить имеющийся сертификат? Общие вопросы
Практически все сертификаты можно перевыпустить через личный кабинет.*
Перевыпуск может потребоваться, если утерян секретный ключ или изменились данные, например ФИО.
Если у вас изменились данные организации, то необходимо заказать новый сертификат.
*Для перевыпуска сертификата RapidSSL напишите в поддержку.
 
Чтобы перевыпустить сертификат перейдите в раздел “SSL-сертификаты” —  — “Перевыпуск”.

 

Уточните информацию для выпуска сертификата. Если у Вас есть сгенерированный CSR нажмите “Указать другой CSR”.

 

Следующий шаг — подтверждение прав на домен. Выберите один из указанных e-mail адресов.

Изменить список невозможно —он предоставлен сертификационным центром.

 

Запрос на перевыпуск передан в сертификационный центр.

Подтвердите перевыпуск сертификата по e-mail.  После подтверждения сертификат можно загрузить в разделе “SSL-сертификаты”.

Также вы можете оформить подписку на SSL-сертификат на срок до 5 лет. Это позволит за единоразовую плату обеспечить покрытие сертификатом на длительный период. Так как срок действия сертификата ограничен одним годом, он будет автоматически отправляться на перевыпуск за 14 дней до истечения срока действия. Ключ при этом остаётся прежним.

70 /faq/general-questions/perevipusk-sertifikata Как перевыпустить сертификат?
Что такое печать доверия? Общие вопросы

Печать доверия – небольшая картинка с логотипом центра сертификации. Подтверждает, что сайт проверен доверенным центром.

Прилагается к SSL-сертификату или покупается отдельно. Отображается на всех страницах: обычно в подвале или на формах оплаты.

SiteSeal – изображение формата PNG. Прилагается к сертификатам с проверкой домена (например, Sctigo (Comodo) Positive SSL). При клике по картинке пользователь попадает на страницу с информацией сертификационного центра.

Статическая печать доверия

Когда посетитель видит печать ssl на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. Доверие пользователей к сайту растёт – конверсия повышается.

71 /faq/general-questions/pechat-doveria Кроме замочка и зелёной строки у SSL-сертификата есть еще один визуальный признак
Установка SSL сертификата на веб-сервер Tomcat Установка SSL

Для начала следует настроить SSL Connector.

Обратите внимание, что Tomcat по умолчанию ищет keystore в файле .keystore в директории CATALINA_Home с паролем по умолчанию "changeit".

Директория CATALINA_Home находится в разных местах относительно ОС или дистрибутива. В основном, это /etc/tomcat или C:\Program Files\Apache Software Foundation\Tomcat
в Windows.


Настройка SSL Connector в файле server.xml
1. Скопируйте Ваш файл kestore (example.key или example.pfx) в директорию CATALINA_Home
2. Откройте файл conf/server.xml
3. Раскомментируйте параметры SSL Connector
4. Убедитесь, что указан порт 443.
5. В случае отличия названия вашего файла keystore и пароля от тех, что заданы по умолчанию, укажите их в настройках SSL Connector.
6. Сохраните файл и перезапустите Tomcat


Настройка SSL Connector через административную панель Tomcat
1. Запустите Tomcat
2. Перейдите в административную панель http://<domain>:8080/admin и авторизуйтесь как администратор
3. Слевой стороны выберите пункт меню "Service"
4. В появившемся списке выберите "Create New Connector".
5. В поле "type" установите https
6. В поле "Port" - 443
7. Введите имя файла .keystore (и его местоположения, в случае, если он находится не в директории CATALINA_Home) и пароль к нему.
8. Нажмите "Save" для сохранения настроек и "Commit Changes" для записи их в конфигурационный файл Tomcat.

79 /faq/ssl-installation/ustanovka-ssl-na-tomcat Настройка SSL Connector в server.xml и через административную панель Tomcat
Установка SSL сертификата на FTP-сервер vsftpd Установка SSL

Сгенерируйте CSR-файл с помощью openssl.
В присланном по электронной почте архиве находятся файлы: сертификат посредника и корневой, их необходимо объединить с созданным вами csr-файлом в следующей последовательности:

cat example.crt intermediate.crt root.crt > server.pem

Далее, поместите созданный файл в директорию, где хранятся остальные сертификаты. Обычно это /etc/ssl/certs
Отредактируйте файл /etc/vsftpd/vsftpd.conf, добавив параметр

rsa_cert_file /etc/ssl/certs/server.pem

Перезагрузите vsftpd командой

service vsftpd restart

80 /faq/ssl-installation/ustanovka-ssl-na-vsftpd 4 простых шага: от генерации ключа до перезагрузки сервера
Установка SSL сертификата на POP3/IMAP-сервер Dovecot Установка SSL

Установка SSL сертификата сводится к нескольким шагам:

1. Поместите файл сертификата в директорию /etc/ssl/certs/, а файл ключа в /etc/ssl/private
2. Укажите в файле настроек ssl для dovecot эти параметры. Обычно файл располагается в /etc/dovecot/conf.d/10-ssl.conf

ssl = yes
# Владелец и группа файла root:root, права доступа 0444
ssl_cert = </etc/ssl/certs/dovecot.pem
# Владелец и группа файла root:root, права доступа - 0400
ssl_key = </etc/ssl/private/dovecot.pem


Обратите внимание на то, что Dovecot не следует давать права доступа на запись

Так же можно указать  сертификат и ключ, которые находятся в одном файле

# Владелец и группа файла root:root, права доступа - 0400
ssl_cert = </etc/ssl/dovecot.pem
ssl_key = </etc/ssl/dovecot.pem


Если ssl-сертификат использует пароль, то пригодится параметр

ssl_key_password = secret

указывающий пароль.  Иначе Dovecot будет запрашивать пароль при каждом своем запуске.

81 /faq/ssl-installation/ustanovka-ssl-na-dovecot Всего два шага и несколько примечаний
Установка SSL сертификата на FTP-сервер ProFTPd Установка SSL

В конфигурационный файл /etc/proftpd/proftpd.conf добавьте настройки для модуля mod_tls


<IfModule mod_tls.c>
# Включение возможности шифрования соединения
TLSEngine                               on

#  Журналирование данных о работе модуля
TLSLog                                  /var/log/proftpd/tls.log

# Выбор протокола шифрования
TLSProtocol                             SSLv23

# Полный путь до файла сертификата
TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt

# Полный путь до файла ключа
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key

TLSOptions                      NoCertRequest EnableDiags NoSessionReuseRequired
TLSVerifyClient                         off

# Параметр отключает возможность использовать нешифрованное соединение.
TLSRequired                             on
TLSRenegotiate                          required on
</IfModule>

После изменений сохраните файл и перезагрузите ftp-сервер.

83 /faq/ssl-installation/ustanovka-ssl-na-proftpd 6 настроек для модуля mod_tls – добавьте, сохраните и перезагрузите сервер
Как создать файл цепочки SSL сертификатов Установка SSL

Файл цепочки сертификата нужен во время установки SSL сертификата, а так же большей лояльности приложений.
Помимо самого сертификата для домена потребуются файлы сертификатов посредников и корневой сертификат. Все они (кроме сертификата для домена) создают цепочку, которая информирует подключаемое приложение о сертификате и центрах, которые выдали и подтвердили сертификат.

Пример:
● сертификат для домена - domain.crt
● сертификат посредника 3 - Intermediate3.crt
● сертификат посредника 2 - Intermediate2.crt
● сертификат посредника 1 - Intermediate1.crt
● корневой сертификат - CARoot.crt
Обратите внимание, что в саму цепочку помещать сертификат домена не следует.

Обычно центр сертификации прилагает к SSL-сертификату уже сформированную цепочку — domain.ca-bundle. Если в архиве с сертификатом её нет, необходимо сформировать цепочку самостоятельно. Это можно сделать двумя способами:

1. С помощью текстового редактора:
a. откройте файлы
b. создайте новый документ
c. скопируйте в новый документ содержание каждого из файлов в последовательности: сертификат посредника 3, сертификат посредника 2, сертификат посредника 1, корневой сертификат
d. сохраните файл как domain.ca-boundle

2. С помощью командной строки:
a. В операционной системе семейства UNIX: cat “сертификат посредника 3” “сертификат посредника 2” “сертификат посредника 1” “корневой сертификат” > domain.ca-bundle
b. В Windows/DOS: copy “сертификат посредника 3” + “сертификат посредника 2” + “сертификат посредника 1” + “корневой сертификат”  domain.ca-bundle

84 /faq/ssl-installation/sozdanie-zepochki-ssl-sertifikatov Собираем цепочку сертификатов с помощью текстового редактора и командной строки
Как перенести сертификат с ключом с веб-сервера Apache на IIS Установка SSL

Для того, чтобы импортировать сертификат с ключом при переходе с веб-сервера Apache на веб-сервер IIS, следует выполнить следующую команду:

openssl pkcs12 -export -inkey <KEY_FILE_NAME> -in <CERT_FILE> -out <IIS_CERT>.pfx

Где:
● <KEY_FILE_NAME> - путь и название файла с ключом
● <CERT_FILE> - путь и название файла сертификата
● <IIS_CERT>.pfx  - имя создаваемого файла сертификата для IIS

Если требуется дополнительно использовать и цепочку сертификатов, то команда несколько изменится и примет вид:

openssl pkcs12 -export -inkey <KEY_FILE_NAME> -in <CERT_FILE> -certfile <APACHE_CA_BUNDLE> -out <IIS_CERT>.pfx

Где:
● <KEY_FILE_NAME> - путь и название файла с ключом
● <CERT_FILE> - путь и имя файла сертификата 
● <APACHE_CA_BUNDLE> - путь и имя фйла до цепочки сертификатов Apache
● <IIS_CERT>.pfx  - имя создаваемого файла сертификата для IIS

После ввода команды, openssl запрашивает пароль для генерируемого .pfx файла. Сохраните пароль — он необходим для установки сгенерированного файла на IIS.

85 /faq/ssl-installation/perenos-ssl-s-apache-na-iis Команда для импорта SSL с ключом и цепочки сертификатов
Установка SSL сертификата на веб-сервер nginx Установка SSL

Для установки SSL в nginx сохраните файлы сертификата (.crt) и цепочки сертификатов (.ca-bundle).

Файлы доступны для загрузки в письме о выпуске сертификата:

Также в личном кабинете загрузите секретный ключ. Ключ доступен в разделе "Товары" — "SSL-Сертификаты" — "Просмотр".

Если ключ отсутствует, значит на втором шаге заказа был отмечен пункт "не сохранять секретный ключ". Восстановить ключ можно только через перевыпуск сертификата.

Создание цепочки сертификатов

Первоначально необходимо объединить файл сертификата (.crt) и цепочку сертификатов (.ca-bundle) в новый .crt файл.

В Linux объединение можно выполнить в консоли командой: cat “/file.crt” “path/file.ca-bundle”
>>example.crt, где:
path — путь до файла
file.crt — имя файла сертификата
file.ca-bundle — имя файла цепочки сертификатов
example.crt — имя нового файла.

Также Вы можете создать текстовый файл с расширением .crt и по очереди указать данные из file.crt и  file.ca-bundle.

Создание цепочки сертификатов Globalsign

Обратите внимание, для SSL-сертификата GlobalSign необходимо самостоятельно создать цепочку сертификатов. После выпуска сертификата удостоверяющий центр отправляет на вашу почту архив с 4 файлами ключей: 

  • сертификат и цепочка сертификата в файле с расширением .p7b (для установки на Microsoft Windows и Java Tomcat) 
  • открытый ключ сертификата в файле с именем домена, на который выпускался сертификат, и расширением .crt
  • корневой ключ цепочки сертификата в файле GlobalSign Root CA.crt
  • промежуточный ключ цепочки сертификата в файле AlphaSSL CA - SHA256 - G2.crt

Чтобы создать цепочку, откройте открытый, корневой и промежуточный сертификаты в любом текстовом редакторе. Создайте новый документ, скопируйте и вставьте туда содержимое сертификатов в следующем порядке:

  • открытый ключ
  • промежуточный ключ
  • корневой ключ

Сохраните документ как файл .crt.

Настройка веб-сайта

Созданный файл поместите в директорию, где хранятся сертификаты. Обычно это раздел /etc/ssl/cert

Откройте конфигурационный файл Nginx. Он расположен в разделе /etc/nginx/nginx.conf
В конфигурационном файле, укажите:
server |LF|
listen 443;
ssl on;
ssl_certificate /etc/ssl/cert/example.crt;
ssl_certificate_key /etc/ssl/private/example.key;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:
+MEDIUM;
server_name example.com www.example.com;
|RF|

Где:

● ssl on; - включение работы ssl
● listen 443; - порт ssl
● ssl_certificate - путь до файла сертификата.
● ssl_certificate_key - путь до приватного ключа
● ssl_protocols - поддерживаемые протоколы
● ssl_ciphers - настройки шифрования
● server_name - доменное имя

Перезапустите Nginx командой: /etc/init.d/nginx restart

Проверьте, сайт должен быть доступен по https.

86 /faq/ssl-installation/ustanovka-ssl-na-nginx Создание цепочки сертификатов и настройка сайта
Установка SSL сертификата на веб-сервер Apache (с mod_ssl) Установка SSL

[html format="ckeditor" different_values="0"]

Загрузка необходимых файлов на веб-сервер

Для установки сертификата загрузите цепочку сертификата (.ca-bundle), сертификат (.crt) и секретный ключ (.key) на сервер в папку etc/ssl.

Сертификат и секретный ключ доступны для загрузки в личном кабинете в разделе “Товары” — “SSL-сертификаты” — кнопка “Просмотр”. Если секретный ключ недоступен — перевыпустите сертификат.

Цепочку сертификата можно скачать в письме о выпуске сертификата.

 

Создание цепочки сертификатов Globalsign

Обратите внимание, для SSL-сертификата GlobalSign необходимо самостоятельно создать цепочку сертификатов. После выпуска сертификата удостоверяющий центр отправляет на вашу почту архив с 4 файлами ключей: 

  • сертификат и цепочка сертификата в файле с расширением .p7b (для установки на Microsoft Windows и Java Tomcat) 
  • открытый ключ сертификата в файле с именем домена, на который выпускался сертификат, и расширением .crt
  • корневой ключ цепочки сертификата в файле GlobalSign Root CA.crt
  • промежуточный ключ цепочки сертификата в файле AlphaSSL CA - SHA256 - G2.crt

Чтобы создать цепочку, с помощью любого текстового редактора откройте файлы с корневым и промежуточным ключом и скопируйте их содержимое в новый файл: сначала корневой ключ сертификата, за ним с новой строки промежуточный ключ, назовите новый файл GlobalSign.ca.  

После загрузки файлов необходимо настроить веб-сервер.
Подключитесь к серверу по ssh с правами root пользователя и введите команду.
Команда для активации зависит от установленной OC:
CentOS: yum install mod_ssl
Ubuntu/Debian: a2enmod ssl

Настройка домена.
Теперь необходимо подключить SSL сертификат на домен.
 
Откройте файл конфигурации сайта, для которого вы хотите установить SSL-сертификат
На Ubuntu/Debian файлы параметров сайтов Apache находятся в директории /etc/apache2/sites-enabled/ .
На CentOS стандартное расположение - /etc/httpd/conf.d/
Проверить, что файл является конфигурацией вашего сайта можно по значению строки ServerName.
Значение строки должно соответствовать домену, для которого вы устанавливаете SSL-сертификат (например www.mydomain.ru)
Добавьте параметры в файл конфигурации:
SSLEngine on
SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt
SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt
SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key
Где:
mydomain.ru_crt.crt - имя файла сертификата вашего сайта
mydomain.ru_ca.crt - имя файла цепочки сертификатов
mydomain.ru_key.key - имя файла секретного ключа
 
Примечание: начиная с версии Apache 2.4.8 директива SSLCertificateChainFile устарела, а SSLCertificateFile был расширен для поддержки промежуточных сертификатов. Добавление промежуточного сертификата в конец вашего сертификата создаст файл цепочки для вашего сервера.
 
Командой в консоли перезапустите сервис apache.
Ubuntu/Debian: /etc/init.d/apache2 restart
CentOS: apachectl restart

Проверяем, сайт доступен по https:

[/html] [spacer style_height="10" different_values="0"] [/spacer]

87 /faq/ssl-installation/ustanovka-ssl-na-apache 2 файла и 7 шагов – всё, что нужно
Как работает SSL-сертификат? Общие вопросы

SSL защищает пароли, номера и CVV-коды кредитных карт от перехвата мошенниками. Данные нельзя украсть благодаря безопасному HTTPS-соединению. От обычного HTTP оно отличается двухэтапным шифрованием трафика по протоколу TLS:

  1. Асимметричное шифрование. Браузер пользователя и сервер идентифицируют друг друга с помощью закрытого–открытого ключей и устанавливают защищенное соединение.
  2. Симметричное шифрование. Браузер пользователя и сервер договариваются о симметричном ключе, чтобы передавать данные быстро и с меньшими затратами вычислительных мощностей.

Зашифрованное HTTPS-соединение безопасно по двум причинам:

Аутентификация сервера

Для доступа к конфиденциальным данным мошенники создают фальшивые сайты и привлекают посетителей из рассылки и чатов. Например, на почту приходит письмо: «Ваш аккаунт на сайте site.ru взломан! Срочно перейдите по ссылке и смените пароль!». Это называется фишинг. Внешне такие страницы очень похожи на настоящие – пользователи доверяют бренду, вводят пароли и теряют деньги.

Чтобы отличить реальный сайт, нужно проверить подлинность SSL-сертификата. Вот как это происходит:

  • при подключении к ресурсу ваш браузер связывается с центром выдачи сертификата и сверяет его цифровую подпись;
  • если она не подделана и не просрочена – сайт обозначается как надёжный.

Надежный сайт в браузере

Переходим к следующему этапу аутентификации:

  • браузер шифрует сообщение с помощью публичного ключа сертификата и передаёт на сервер;
  • сервер расшифровывает сообщение приватным ключом, который есть только у него.

Сайт опознается как подлинный. Вы уверены, что соединяетесь с реальным магазином/банком/платежным сервисом, а не фишинговым.

Как работают открытый и закрытый ключи шифрования

Защищенный канал

Мошенник может не создавать поддельный сайт, а просто перехватить информацию.

При HTTP-соединении данные передаются в открытом виде – их легко украсть и использовать. При HTTPS-соединении информация шифруется – ее можно перехватить, но не получится использовать. Для этого понадобится секретный ключ, а он есть только у владельца сайта.

Благодаря аутентификации сервера и шифрованию трафика технология SSL защищает данные пользователей и репутацию сайтов. Если на сайте установлен сертификат, мошенники не могут подделать ресурс или расшифровать украденную информацию.

102 /faq/general-questions/kak-rabotaet-ssl-sertificat Аутентификация сервера, защищённое HTTPS-соединение и двухэтапное шифрование трафика – надёжная защита данных пользователей
Как работает HTTPS простыми словами Общие вопросы

HTTPS — протокол безопасной передачи данных, поддерживает технологию шифрования TLS/SSL.

Стандартный протокол HTTP передаёт данные в открытом виде. Злоумышленники могут “вклиниться” в передачу — изменить или перехватить данные. В HTTPS  для передачи данных создаётся защищённый канал. Вот как это происходит:

Вася хочет перейти на сайт FirstSSL, защищённый SSL-сертификатом

→ Васин браузер посылает запрос к сайту

→ сайт отправляет в ответ копию сертификата

→ браузер проверяет подлинность сертификата — узнаёт у центра сертификации, который его выдал

→ если сертификат не поддельный, сайт и браузер тайно договариваются о секретном симметричном ключе

С помощью этого ключа Васин браузер и сайт устанавливают защищённое HTTPS-соединение. Ключ шифрует данные – мошенники не могут получить доступ к паролям и номерам кредитных карт пользователей.

Для каждого соединения с сайтом создается новый секретный ключ. Его нельзя перехватить – сайт и браузер договариваются о ключе тайно. И невозможно подобрать – обычно это набор из 100 и более букв и цифр.

HTTPS используется там, где защита данных важнее всего — в платёжных системах и формах обратной связи. С начала 2017 Google Chrome и Mozilla Firefox помечают HTTP-сайты с формами ввода данных как ненадёжные. К концу года браузеры будут отмечать так все HTTP-страницы независимо от назначения.

Установите на сайт SSL-сертификат — подключите HTTPS. Так вы повысите доверие пользователей и избежите проблем в будущем.

Какой сертификат подойдёт для моего сайта?
103 /faq/general-questions/chto-takoe-https HTTPS — защищенный протокол передачи данных с поддержкой шифрования. Как он шифрует данные и почему это надежнее, чем http
Как выбрать подходящий SSL-сертификат? Общие вопросы

1 шаг. Определитесь с уровнем проверки

Сертификаты делятся на 3 типа по уровню проверки. Каждый из них имеет свои визуальные признаки. Посетители видят их на сайте и решают, насколько ему можно доверять.

SSL сертификаты с проверкой домена (Domain Validation, DV)

Включают проверку начального уровня:

  • подтверждают право собственности на домен
  • обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 1–10 минут

Визуальный признак: замочек в адресной строке

Что нужно сделать: перейти по ссылке из проверочного письма – центр сертификации пришлёт его на почту.

Что вы получите: посетители будут уверены, что вводят данные на нужном им сайте, а не на поддельном ресурсе. При передаче данные тоже не попадут к мошенникам – соединение защищено HTTPS-протоколом.

Надо брать: сайтам индивидуальных предпринимателей, разработчикам приложений.

Выбрать DV SSL-сертификат от 987 руб. в год >>

 

SSL сертификаты с проверкой организации (OV или Organization Validation

Предполагают проверку информации о компании в онлайн-справочнике и на государственном ресурсе:

  • доказывают юридическое и физическое существование организации
  • подтверждают право собственности на домен
  • обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 3–10 рабочих дней

Визуальные признаки: замочек в адресной строке, печать доверия сертификационного центра и отображение информации о компании в сертификате

Что нужно сделать: подтвердить домен, представить уставные документы и ответить на проверочный звонок от центра сертификации.

Что вы получите: посетители поймут, что сайт принадлежит реальной компании, а не однодневке. Будут доверять ресурсу больше – без опасений вводить номера кредитных карт, пароли и другие личные данные.

Надо брать: гос.порталам, интернет-магазинам и другим коммерческим ресурсам.

Выбрать OV SSL-сертификат от 3 900 руб. в год >>

 

SSL сертификаты с расширенной проверкой (EV или Extended Validation)

Предполагают проверку правовой, физической и операционной деятельности компании.

  • доказывают существование организации и легальность её деятельности
  • подтверждают право собственности на домен
  • обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 10–14 рабочих дней

Визуальные признаки: зелёная адресная строка с замочком, печать доверия сертификационного центра, отображение информации о компании в сертификате.

Что нужно сделать: подтвердить домен, номер телефона и представить официальные документы компании.

Что вы получите: даже самые недоверчивые посетители будут доверять вашему сайту – совершать крупные покупки и оставлять паспортные данные.

Надо брать: интернет-магазинам с большой аудиторией, банковским системам и платёжным сервисам.

Выбрать EV SSL-сертификат от 9 550 руб. в год >>

 

Для дополнительной защиты установите SSL-сертификат с опцией SGC

Если посетители вашего сайта используют устаревшие браузеры, обычный сертификат не защитит передаваемые данные. Такие браузеры поддерживаю только небезопасное 40-битное шифрование. Сертификат с опцией SGC принудительно увеличивает шифрование до безопасного 128/256-битного.

Надо брать: крупным интернет-магазинам, почтовым и платёжным сервисам, ресурсам B2B тематики – всем, кому важна репутация и безопасность каждого клиента. Особенно актуально, если посетители вашего сайта – бюджетные организации – они часто используют устаревшее железо.

 

2 шаг. Решите, какие домены хотите защитить

Для защиты одного доменного имени закажите обычный сертификат с нужным типом проверки.

SSL-сертификат Wildcard (WC) от 6793 руб. в год защищает домен и все поддомены.  Если их много – покупка WC сертификата сэкономит вам деньги. Если поддоменов несколько – выгоднее приобрести для них обычные сертификаты.

Сравним на примере двух самых дешёвых сертификатов с DV-проверкой от Comodo:

WC – 6793 руб./годОбычный – 494 руб./год

1 WC = 14 обычных DV


Внимательно проверяйте функционал WC сертификата перед покупкой – некоторые из них, например RapidSSL Wildcard, защищают только поддомены.

Мультидоменный SSL-сертификат от 3792 руб. в год защищает до 100 доменных имён. В первоначальную стоимость включены 3 домена – остальные добавляются за отдельную плату – 1144 руб./год.

SSL-сертификаты с поддержкой IDN от 494 руб. в год используются для доменов с нелатинскими символами – русскими, французскими, арабскими и т.д

 

3 шаг. Выберите бренд

Мы сотрудничаем с доверенными центрами сертификации (Certificate Authority, CA). Они выпускают действительные сертификаты, которые опознают все популярные браузеры. Уровень защиты одинаковый, отличие только в стоимости и каналах связи с поддержкой.

Sectigo выдаёт недорогие сертификаты, но для получения SSL с проверкой организации нужна регистрация в каталоге Duns – 12 240 руб. Поэтому большей популярностью пользуются DV сертификаты Comodo.

Поддержка: email, телефон

GeoTrust выпускает SSL быстрее других центров. Пользователи хорошо знают бренд и особенно доверяют его сертификатам с простой и расширенной проверкой организации.

Поддержка: email, телефон

Digicert известен надёжными сертификатами с опцией SGC. Но есть недостаток – такой SSL можно перевыпустить один раз, потом придётся заказывать новый. В других центрах допускается больше перевыпусков.

Поддержка: email, телефон, LiveChat.

Thawte сертификаты с OV проверкой востребованы у банков. Проекты ВТБ, ресурсы ПромСвязьБанка и Альфа-Банка устанавливают сертификаты этого CA.

Поддержка: email, телефон, LiveChat.

RapidSSL выдаёт недорогие, но надёжные сертификаты. От Comodo они отличаются большей суммой гарантии (– эти деньги возвращают при взломе SSL-шифра).

Поддержка: email, LiveChat.

Остались вопросы? Звоните, поможем  –  8 800 775 9 778 (бесплатно, круглосуточно).

104 /faq/general-questions/kak-vybrat-ssl-sertifikat Все SSL-сертификаты шифруют данные одинаково, но по-разному идентифицируют владельца сайта
Что такое корневой сертификат? Общие вопросы

Корневой сертификат SSL, CA certificate — это электронный документ, которым центры сертификации подписывают SSL-сертификаты при выдаче.

Корневые сертификаты Sectigo, Thawte, Digisert, GeotTrust и RapidSSL установлены во всех популярных браузерах. Браузеры доверяют этим центрам и всем выданным ими сертификатам.

Если корневой сертификат центра не установлен в браузере — он будет распознаваться как недостоверный. Это относится и к самоподписанным сертификатам. Посетители таких ресурсов видят предупреждение:

В части случаев конечный сертификат выдает не основной центр, а посредник. Создается цепочка доверия: корневым сертификатом подписывается промежуточный, промежуточным — сертификат сайта.

Покупая SSL-сертификат, владелец сайта получает все промежуточные сертификаты. Каждый из них нужно установить на сервер. При соединении с сервером браузер посетителя получит информацию о цепочке сертификатов. Проверит, чтобы каждый из них был подписан предыдущим. Дойдет до корневого сертификата и поймет, что сайт надёжен.

116 /faq/general-questions/chto-takoe-kornevoi-sertificat Чтобы браузер видел, что сертификат доверенный, он должен быть подписан центром сертификации
Что такое CRL или список аннулированных сертификатов? Общие вопросы

CRL или CAC — списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

  • ключ утерян/украден или скомпрометирован
  • неверно указано название компании или другие данные
  • сайт прекратил работу
  • сменился владелец ресурса
  • выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

  • защищён цифровой подписью центра — нельзя изменить
  • обновляется минимум раз в сутки — всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP — через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван — показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera — самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить, только купить новый. Берегите секретный ключ — его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.

 

117 /faq/general-questions/chto-takoe-crl Безопасность сайта с SSL-сертификатом может оказаться под угрозой – расскажем, когда и как с этим бороться
Как SSL-сертификат влияет на конверсию? Общие вопросы

SSL- сертификат повышает доверие посетителей к сайту и компании. Доверие влияет на конверсию — число покупателей по отношению к числу посетителей растёт. Это работает так:

У SSL-сертификатов есть 2 визуальных показателя.

Печать доверия демонстрирует:

  • на сайте установлен подлинный SSL-сертификат, выданный доверенным центром сертификации

— информацию о сертификате и компании можно посмотреть — кликните по печати или наведите на неё курсор.

Замок в адресной строке показывает:

  • домен подтверждён доверенным центром сертификации
  • соединение с сайтом безопасно — осуществляется по протоколу HTTPS с шифрованием данных

 

Посетители, которые доверяют сайту и компании, не боятся вводить личные данные, покупать товары и выполнять другие целевые действия — выше конверсия.

Google официально заявляет, что с 2014 года защищённое HTTPS-соединение улучшает позиции сайта при ранжировании. Чем выше поднимется ваш ресурс в результатах поиска, тем больше потенциальных клиентов вы получите.

Установите на сайт SSL-сертификат — потенциальные клиенты будут больше доверять компании и активно покупать ваши товары/услуги.

 

119 /faq/general-questions/ssl-i-konversiia HTTP-сайты теряют 84% пользователей. Именно столько людей не вводят данные на сайтах без SSL-сертификатов
Как продлить SSL-сертификат Общие вопросы

Если не продлить сертификат вовремя, на сайте возникнет ошибка безопасности. Чтобы защитить информацию и сохранить доверие посетителей, рекомендуем продлевать SSL-сертификат за 2 недели (для EV за 30 дней) до истечения срока действия.

Подписка

Чтобы не забыть продлить сертификат, вы можете оформить подписку на срок до 5 лет. В течение этого времени сертификат будет автоматически отправляться на перевыпуск за 14 дней до истечения срока действия. Вам потребуется только подтвердить право владения доменом и установить новые файлы на домен.

Продление сертификата вручную

Этот способ подойдет, если автопродление отключено или изменились данные компании. Вы вручную подтверждаете заявку на выпуск сертификата.

В личном кабинете перейдите в раздел «Товары» — «SSL сертификаты» —  кликните на сертификат и кнопку «Продлить».

В открывшемся окне уточните период продления сертификата, e-mail для подтверждения домена* и кликните кнопку «В корзину».
*Список e-mail адресов изменить нельзя — его предоставляет сертификационный центр.
 

Оплатите продление удобным способом — со счета личного кабинета, банковской картой, через Сбербанк Онлайн, WebMoney, ЮMoney или QIWI.

Подтвердите выпуск сертификата и установите его на сайт.

Если Вы закрыли окно без оплаты — вернитесь и завершите заказ в разделе «Клиент» - «Корзина».

 

Заказ нового сертификата

Если необходимо продлить сертификат с дополнительными опциями (расширенная проверка, поддержка поддоменов), создайте новый заказ.

Выберите новый сертификат на сайте или в личном кабинете, в разделе «Товары» - «SSL сертификаты». Закажите и оплатите его.

Затем заполните заявку и подтвердите выпуск сертификата. Подробнее про заказ нового сертификата.

 

121 /faq/general-questions/prodlenie-ssl Продление SSL сертификата в личном кабинете
Заказ и подтверждение SSL-сертификата Общие вопросы

Заказ и оплата сертификата

Если Вы заказываете новый сертификат, необходимо пройти полный процесс настройки.
Для заказа выберите новый сертификат на сайте или в разделе “Товары” в личном кабинете. После выбора подходящего сертификата, он будет доступен в корзине, где Вы сможете его оплатить.  

После оплаты Вам на e-mail придет уведомление с просьбой настроить сертификат.

Перейдите по ссылке в письме и заполните запрос на получение сертификата — контактную информацию и данные организации (для OV/EV).
Обязательно сохраните секретный ключ сертификата на втором шаге. Чтобы он сохранился в личном кабинете, не отмечайте поле “не сохранять ключ”. Ключ потребуется для установки сертификата.
Восстановить секретный ключ невозможно без перевыпуска сертификата.

На 4 шаге (у OV/EV это 5 шаг) выберите почтовый адрес, на который придёт письмо со ссылкой на валидацию домена. Это должен быть один из 5 типовых e-mail на домене.

Подтверждение выпуска сертификата

После того как сертификат оплачен, необходимо подтвердить его выпуск. Вам поступит письмо об успешной заявке на выпуск сертификата и инструкция от сертификационного центра.

Подтверждение владения доменом

Для завершения выпуска DV сертификатов достаточно подтвердить владение доменом. Для выпуска OE/EV сертификатов вместе с подтверждением домена проводится проверка организации.
Основной способ подтверждения домена  — по ссылке в письме. На e-mail, который был указан на 5 шаге заказа придет письмо с ссылкой для подтверждения. Некоторые сертификационные центры при переходе по ссылке просят ввести код, указанный в том же письме. 

Если письмо не пришло, напишите нам —  отправим письмо повторно. Если при повторной отправке письмо так и не дошло, воспользуйтесь альтернативным способом подтверждения домена.
 
Альтернативный способ подтверждения домена — подтверждение по txt файлу*.
*Подтверждение по файлу  недоступно для сертификатов Digisert, а также Wildcard. Для мультидоменных сертификатов потребуется выполнить подтверждение для каждого домена..
 
Чтобы подтвердить владение доменом через txt файл, напишите запрос в тех поддержку.
Специалист отправит Вам txt файл, сгенерированный в сертификационном центре. Полученный txt файл необходимо разместить в корневую директорию домена.
Бот сертификационного центра с промежутком в 10 минут сканирует наличие файла. Как только бот обнаружит файл — домен подтвержден.
После подтверждения домена DV сертификат будет выпущен через 5-30 минут. Кроме случаев, когда домен кириллический или в нем используется название бренда. Для таких доменов проводится дополнительная проверка и выпуск сертификата задержится на сутки.
 
Для Выпуска OV/EV сертификата необходимо также пройти проверку организации.
 

Проверка организации

Для подтверждения организации сертификационный центр проверяет ИНН/ОГРН в базе налоговой службы, может запросить копии документов по e-mail, а также звонит на номер, указанный в каталогах организаций: YR, 2Gis или DUNS.
Процесс зависит от сертификационного центра, подробная инструкция будет отправлена Вам по e-mail. Время проверки от 2 до 9 дней.
Текущее состояние выпуска OV/EV сертификата можно проверить через трек-сервис. Подобные сервисы предоставляет каждый сертификационный центр.

 

Выпуск сертификата

После проверки домена и организации (для OV/EV) сертификат будет выпущен и отправлен на контактный e-mail.
Также загрузить его можно в личном кабинете в разделе «Товары» —  «SSL сертификаты» —  «Просмотр».

 

Чтобы данные пользователей всегда были защищены, нужно регулярно продлевать SSL-сертификат. Чтобы быть во всеоружии, изучите инструкцию по продлению.
 

 

122 /faq/general-questions/zakaz-i-podtverdit-ssl Как заказать и подтвердить выпуск сертификата
Как установить SSL-сертификат в ISPmanager Установка SSL

В данной инструкции расскажем, как установить SSL-сертификат с помощью панели управления ISPmanager.

Скачайте файлы сертификата

Перед установкой SSL-сертификата необходимо скачать секретный ключ, сертификат и цепочку промежуточных сертификатов.

Секретный ключ — сохраняется в личном кабинете на 3 этапе заказа сертификата. Если ключ не сохранён, его можно восстановить только через перевыпуск сертификата. Скачать ключ можно в разделе Товары — SSL сертификаты — кнопка Просмотр

Сертификат и цепочка промежуточных сертификатов отправляются в архиве на ваш e-mail после выпуска сертификата.

Обратите внимание, для SSL-сертификата GlobalSign необходимо самостоятельно создать цепочку сертификатов. После выпуска сертификата удостоверяющий центр отправляет на вашу почту архив с 4 файлами ключей: 

  • сертификат и цепочка сертификата в файле с расширением .p7b (для установки на Microsoft Windows и Java Tomcat) 
  • открытый ключ сертификата в файле с именем домена, на который выпускался сертификат, и расширением .crt
  • корневой ключ цепочки сертификата в файле GlobalSign Root CA.crt
  • промежуточный ключ цепочки сертификата в файле AlphaSSL CA - SHA256 - G2.crt

Чтобы создать цепочку, с помощью любого текстового редактора откройте файлы с корневым и промежуточным ключом и скопируйте их содержимое в новый файл: сначала корневой ключ сертификата, за ним с новой строки промежуточный ключ, назовите новый файл GlobalSign.ca.  

После того как вы загрузили все необходимые файлы, можно приступать к созданию SSL-сертификата.

Создайте сертификат в панели управления

Сертификат необходимо создавать под тем пользователем, которому принадлежит защищаемый домен. Войдите в ISPmanager — раздел Пользователи — выберите нужного пользователя — сверху на панели инструментов нажмите кнопку Войти под пользователем.

Перед входом проверьте, что у пользователя есть права на использование SSL: дважды кликните на пользователя, чтобы открыть настройки — в разделе Доступ найдите пункт Может использовать SSL и поставьте напротив него галочку, если её нет.

Чтобы создать сертификат, перейдите в раздел SSL-сертификаты и нажмите сверху кнопку Добавить сертификат.

Укажите тип Существующий и нажмите Далее

Теперь вам нужно заполнить три поля:

  • SSL-Сертификат — содержимое файла SSL-сертификата, обычно имеет расширение .crt
  • Ключ SSL-сертификата — содержимое файла приватного ключа, обычно имеет расширение .key
  • Цепочка SSL-сертификатов — цепочка сертификатов (certificate bundle), которыми подписан данный сертификат, обычно имеет расширение .ca или .ctrca, иногда .ca-bundle (для GlobalSign необходимо использовать созданный вами файл GlobalSign.ca)

После заполнения кликните кнопку Завершить. Сертификат создан, осталось выполнить установку.

Установите сертификат

Теперь разрешим домену использовать созданный сертификат. Переходим в раздел Сайты — дважды кликаем по нужному сайту — в поле SSL-сертификат выбираем из списка созданный сертификат и нажимаем Сохранить.

После сохранения настроек сайт будет доступен по https и указан как безопасный.

123 /faq/ssl-installation/ustanovka-ssl-ispmanager Как установить сертификат на сервер с ISPmanager
Как сгенерировать CSR для IIS 7.x Технические вопросы

Для корректного выпуска сертификата по IIS, существует два способа генерации CSR:

1) Сгенерировать CSR в личном кабинете на первом шаге заказа.
После выпуска сертификата, потребуется перенос сертификата с ключом в .pfx файл.
2) Создать CSR на сервере, куда будет установлен сертификат.
В этом случае сервер сохранит закрытый ключ и сертификат будет корректно установлен без экспорта в .pfx файл.
 

Создание запроса на сертификат на сервере IIS.

Первоначально откройте Диспетчер серверов (Пуск — Администрирование —  Диспетчер серверов).

В открывшемся окне перейдите в Диспетчер служб IIS (Средства — Диспетчер служб IIS) и кликните на “Сертификаты сервера”.

Далее перейдите в пункт “Создать запрос сертификата” в меню “Действия”.

В открывшемся окне латиницей заполните поля:

полное имя — адрес сайта;
организация — ФИО (для физ. лиц) или полное название юридического лица;*
подразделение — ответственный отдел в организации (пример: Administrator или IT);
город  — Ваш город (пример: Novosibirsk или Irkutsk);
регион  — ваш регион (пример: Irkutskaya oblast или Krasnoyarsk krai);
страна — выберете вашу страну из списка.
*У EV сертификатов необходимо указывать юридическую форму.

В следующем окне укажите поставщика: “Microsoft RSA SChannel” и длину ключа: “2048”.

Кликните “Далее” и укажите расположение файла.

Готово — файл сохранен в выбранной директории.

Сгенерированный CSR можно указать в личном кабинете на втором шаге заказа сертификата. Для этого выберите пункт “указать имеющийся” и скопируйте текст из созданного файла.

После выпуска установите сертификат.

 

137 /csr-dlya-iis Генерируем запрос на получение сертификата на IIS
Как установить сертификат на WIndows Server (IIS 7.x) Установка SSL

Добавляем сертификат на сервер.

Для того, чтобы загрузить сертификат перейдите в Диспетчер серверов ( “Пуск” — “Администрирование” — “Диспетчер серверов” ).

Затем откройте “Диспетчер служб IIS” (“Средства” — “Диспетчер служб IIS”) и кликните на “Сертификаты сервера”.

Далее способ установки зависит от того где вы генерировали CSR:

1) Если Вы генерировали CSR на том же сервере, куда устанавливаете сертификат.
В меню “Действия” кликните пункт “Запрос установки сертификатов”.
Добавьте .crt файл, в поле имя — укажите домен сайта и нажмите “ОК”.

2) Если Вы генерировали CSR через личный кабинет/самостоятельно, то предварительно экспортируйте сертификат с ключом в .pfx файл.
Сгенерированный .pfx файл добавляется на сервер по кнопке “Импортировать” в меню “Действия”.
В открывшемся окне укажите расположение файла и пароль. Пароль задается при генерировании файла в openssl.

Сертификат загружен. В обоих вариантах, после добавления файла, сертификат будет доступен в разделе “Сертификаты сервера”. Осталось настроить доменное имя.

Подключение SSL-сертификата на домен.

Переходим в настройки сайта. В меню “Подключения” выберете сайт и кликните на пункт “Привязки”.

В открывшемся окне нажимаем “Добавить” и заполняем информацию:

Тип — https
Порт — 443,
Имя узла - доменное имя.
IP address - IP-адрес сайта (для сертификата следует выделять отдельный IP для каждого сайта)
скриншот
В поле “SSL сертификаты” указываем созданный сертификат.

Перезагружаем сайт/сервер.
Проверяем — сертификат установлен, сайт доступен по https://

138 /ustanovka-ssl-iis7 Устанавливаем SSL-сертификат на Windows Server
Заказ и подтверждение SSL-сертификата Новый личный кабинет

Заказ и оплата сертификата

Если Вы заказываете новый сертификат, необходимо пройти полный процесс настройки.
Для заказа выберите новый сертификат на сайте или в разделе «SSL-сертификаты» личного кабинета.
После выбора подходящего сертификата, он будет доступен в корзине, где Вы сможете его оплатить.

После оплаты Вам на e-mail придет уведомление с просьбой настроить сертификат.

Перейдите по ссылке в письме и заполните запрос на получение сертификата — контактную информацию и данные организации (для OV/EV). Вы также можете указать самостоятельно сгенерированный CSR  Для этого нажмите «Уже есть CSR».
 

На втором шаге укажите административный и технический контакт. На e-mail технического контакта будет отправлен архив с сертификатом после его выпуска.

На 3 шаге (у OV/EV это 4 шаг) выберите почтовый адрес, на который придёт письмо со ссылкой на валидацию домена. Это должен быть один из 5 типовых e-mail на домене.

Для OV/EV сертификатов на третьем шаге необходимо латиницей заполнить информацию об организации. Указывайте точный данные, сертификационный центр будет выполнять проверку.

Подтверждение выпуска сертификата

После того как сертификат заказан, необходимо подтвердить его выпуск. Вам поступит письмо об успешной заявке на выпуск сертификата и инструкция от сертификационного центра.

Подтверждение владения доменом

Для завершения выпуска DV сертификатов достаточно подтвердить владение доменом. Для выпуска OE/EV сертификатов вместе с подтверждением домена проводится проверка организации.
Основной способ подтверждения домена  — по ссылке в письме. На e-mail, который был указан на 5 шаге заказа придет письмо с ссылкой для подтверждения. Некоторые сертификационные центры при переходе по ссылке просят ввести код, указанный в том же письме. 

Если письмо не пришло, напишите нам —  отправим письмо повторно. Если при повторной отправке письмо так и не дошло, воспользуйтесь альтернативным способом подтверждения домена.
 
Альтернативный способ подтверждения домена — подтверждение по txt файлу.
 
Чтобы подтвердить владение доменом через txt файл, напишите запрос в тех поддержку.
Специалист отправит Вам txt файл, сгенерированный в сертификационном центре. Полученный txt файл необходимо разместить в корневую директорию домена.
Бот сертификационного центра с промежутком в 10 минут сканирует наличие файла. Как только бот обнаружит файл — домен подтвержден.
После подтверждения домена DV сертификат будет выпущен через 5-30 минут. Кроме случаев, когда домен кириллический или в нем используется название бренда. Для таких доменов проводится дополнительная проверка и выпуск сертификата задержится на сутки.
 
Для Выпуска OV/EV сертификата необходимо также пройти проверку организации.
 

Проверка организации

Для подтверждения организации сертификационный центр проверяет ИНН/ОГРН в базе налоговой службы, может запросить копии документов по e-mail, а также звонит на номер, указанный в каталогах организаций: YR, 2Gis или DUNS.
Процесс зависит от сертификационного центра, подробная инструкция будет отправлена Вам по e-mail. Время проверки от 2 до 9 дней.
Текущее состояние выпуска OV/EV сертификата можно проверить через трек-сервис. Подобные сервисы предоставляет каждый сертификационный центр.

 

Выпуск сертификата

После проверки домена и организации (для OV/EV) сертификат будет выпущен и отправлен на контактный e-mail.
Чтобы загрузить сертификат в личном кабинете перейдите в раздел «SSL сертификаты» и кликните на статус «Активен».

В открывшемся окне будут доступны ссылки на серкетный ключ, csr и файл сертификата.

140 /faq/new/zakaz-i-podtverdit-ssl Заказ и подтверждение SSL-сертификата (новый интерфейс)
Как продлить SSL-сертификат Новый личный кабинет

Если не продлить сертификат вовремя, на сайте возникнет ошибка безопасности. Чтобы защитить информацию и сохранить доверие посетителей, рекомендуем продлевать SSL-сертификат за 2 недели (для EV за 30 дней) до истечения срока действия.

Чтобы упростить задачу по продлению SSL-сертификатов, подготовили для вас несколько полезных инструментов.
 

В личном кабинете доступно три способа продления сертификата: автопродление, ручное продление и заказ нового сертификата.

Автоматическое продление

Система автоматически продлит SSL-сертификат за 14 дней до окончания срока действия. Вы получите обновленные файлы сертификата на почту, как только сертификационный центр обработает заявку.

Чтобы подключить автопродление сертификата, перейдите в раздел «SSL сертификаты», выберите сертификат и нажмите на статус сертификата.

В открывшемся окне переключите значение «Автопродление» на "Включить". 

Автопродление настроено. За две недели до окончания срока действия сертификата система автоматически спишет средства с баланса аккаунта и продлит сертификат на указанный период. Вам останется только подтвердить перевыпуск по ссылке в письме и обновить файлы.

Автопродление не сработает, если изменились данные компании — домен, контактная информация, название или организационно-правовая форма. Чтобы исправить данные в заявке на выпуск сертификата, продлите его вручную.

 

Продление сертификата вручную

Сейчас отсутствует в биллинге. Только перевыпуск.

В личном кабинете перейдите в раздел «SSL сертификаты» — кликните на кнопку — "Перевыпуск". 

 

Заказ нового сертификата

Если необходимо продлить сертификат с дополнительными опциями (расширенная проверка, поддержка поддоменов), создайте новый заказ.

Выберите новый сертификат на сайте или в личном кабинете, в разделе «Товары» - «SSL сертификаты». Закажите и оплатите его.

Затем заполните заявку и подтвердите выпуск сертификата. Подробнее про заказ нового сертификата.

141 /faq/new/prodlenie-ssl Как продлить SSL-сертификат (новый интерфейс)
Как сгенерировать CSR для IIS 7.x Новый личный кабинет

Для корректного выпуска сертификата по IIS, существует два способа генерации CSR:

1) Сгенерировать CSR в личном кабинете на первом шаге заказа.
После выпуска сертификата, потребуется перенос сертификата с ключом в .pfx файл.
2) Создать CSR на сервере, куда будет установлен сертификат. 
В этом случае сервер сохранит закрытый ключ и сертификат будет корректно установлен без экспорта в .pfx файл.
 

Создание запроса на сертификат на сервере IIS.

Первоначально откройте Диспетчер серверов (Пуск — Администрирование —  Диспетчер серверов).

В открывшемся окне перейдите в Диспетчер служб IIS (Средства — Диспетчер служб IIS) и кликните на “Сертификаты сервера”.

Далее перейдите в пункт “Создать запрос сертификата” в меню “Действия”.

В открывшемся окне латиницей заполните поля:

полное имя — адрес сайта;
организация — ФИО (для физ. лиц) или полное название юридического лица;*
подразделение — ответственный отдел в организации (пример: Administrator или IT);
город  — Ваш город (пример: Novosibirsk или Irkutsk);
регион  — ваш регион (пример: Irkutskaya oblast или Krasnoyarsk krai);
страна — выберете вашу страну из списка.
*У EV сертификатов необходимо указывать юридическую форму.

В следующем окне укажите поставщика: “Microsoft RSA SChannel” и длину ключа: “2048”.

Кликните “Далее” и укажите расположение файла.

Готово — файл сохранен в выбранной директории.

Сгенерированный CSR можно указать в личном кабинете на первом шаге заказа сертификата.

Для этого выберите пункт “Уже есть CSR” и скопируйте текст из созданного файла.

После выпуска установите сертификат.

 

142 /faq/new/csr-dlya-iis Как сгенерировать CSR для IIS 7.x (новый интерфейс)
Как установить SSL-сертификат на ISPmanager 5 Lite Новый личный кабинет

Перед установкой загрузите:
1) Секретный ключ —  сохраняется в личном кабинете при заказе сертификата. Если ключ не сохранен его можно восстановить только через перевыпуск сертификата.

Скачать ключ можно в личном кабинете. В разделе «SSL сертификаты» — кликните на кнопку — пункт «Запрос и ключ». 

 

В открывшемся окне кликните «Сохранить в файл».

2) Сертификат и цепочку промежуточных сертификатов - после выпуска сертификата отправляются по e-mail в архиве.

Создаем сертификат.

Чтобы создать сертификат перейдите в раздел ISPmanager «Настройки web-сервера» — «SSL-сертификаты».

При создании укажите тип “существующий”. В поле имя сертификата, рекомендуем указывать доменное имя сайта.


В следующем окне в порядке очереди укажите:
1. «SSL-сертификат» — данные из .crt файла


2. «Ключ SSL-сертификата» — данные из .key файла


3. Цепочка промежуточных сертификатов — данные из файла .ca-bundle

После заполнения кликните кнопку “Завершить”  Мы создали сертификат, осталось выполнить установку.

Устанавливаем сертификат.
Теперь разрешим домену использовать созданный сертификат.
Переходим в раздел “Домены” — “WWW-домены” — кнопка “Изменить”.
Затем отмечаем пункты “Защищённое соединение» и «Повышенная безопасность SSL». В том же окне находим по названию и указываем созданный сертификат.

После сохранения настроек сайт будет доступен по https и указан, как безопасный.

145 /faq/new/ustanovka-ssl-ispmanager-new Как установить SSL-сертификат на ISPmanager 5 Lite (новый интерфейс)
Процесс получения SSL сертификата [DV] с проверкой домена Новый личный кабинет

Для получения сертификата вам нужно  ввести подробную информацию о компании, домене и контактных лицах.  Чтобы ни один шаг заказа не вызвал у вас сложностей мы написали подробную инструкцию по покупке и активации SSL сертификатов с проверкой домена. 

 

1. Выберите сертификат и нажмите кнопку “Купить”

 

Воспользуйтесь этой статьей, если вы еще не определились с выбором.

 

2. Зарегистрируйтесь или авторизируйтесь на сайте

3. Выберите способ оплаты и нажмите “Оплатить”

4. Сгенерируйте запрос на выдачу сертификата

Сгенерируйте  запрос или укажите имеющийся, если вы уже создали его у центра сертификации или другого регистратора.
На этом шаге нужно указать достоверную информацию о компании, которая будет отражена в сертификате.

  1. Введите название домена. Не все сертификаты бесплатно защищают домены с www и без www, поэтому указывайте доменное имя в правильном формате.  Для сертификатов с защитой поддоменов используйте звездочку ( *.domain.ru). При заказе мультидоменного сертификата, сразу укажите все домены, которые хотите защитить. Потом добавить их будет невозможно.
  2. Выберите страну, в которой находится организация (для физических лиц - страну проживания).
  3. Укажите регион (область, край, республику и т.д.) и  город на латинице.
  4. По-английски напишите название организации и правовую форму ( ООО = LTD, OAO = JSC, ИП = UN и т.д.). Если вы - физическое лицо, впишите ФИО латинскими буквами.
  5. Указывать подразделение компании не обязательно, но, если вы представляете крупную организацию, так вашим клиентам будет проще связаться с компетентным отделом.
  6. Почтовый адрес, указанный здесь, будет отражен в тексте SSL сертификата. Укажите тот e-mail, по которому клиенты смогут связаться с вами.

Проверьте правильность информации и перейдите к следующему шагу.

 

5. Заполните контактные данные административного и технического представителя

Административный контакт – директор или другой представитель руководящего звена организации, имеющий право на запрос сертификата от имени компании. Сертификационный центр может связаться с ним для подтверждения юридических данных.
Технический контакт – сотрудник, обслуживающий web-сервер, на котором будет установлен сертификат. Ему будут отправлены инструкции и файлы для установки сертификата.
Если вы представляете оба этих контактных лица, продублируйте информацию из первого во второй контакт с помощью галочки.

 

  1. Напишите имя и фамилию руководящего лица латинскими буквами.
  2. По-английски укажите его должность (например, генеральный директор – CEO).
  3. Введите актуальные контактные данные, по которым центр сертификации сможет связаться с руководителем.
  4. Укажите имя и фамилию ответственного сотрудника латинскими буквами.
  5. По-английски укажите его должность (например, System Administrator).
  6.  Введите актуальные контактные данные, на которые будут отправлены инструкции и файлы для установки сертификата.

 

6. Укажите почтовый ящик для проверки домена

Сертификационные центры предлагают использовать один из пяти стандартных адресов на домене, который требуется защитить: admin@, administrator@, hostmaster@, postmaster@ или webmaster@domain.ru

 

7. Дождитесь письма от центра сертификации

Откройте почтовый ящик на вашем домене (admin@, administrator@, hostmaster@, postmaster@ или webmaster@domain.ru). Вы получили письмо от центра сертификации. В нем указан проверочный код и ссылка на валидацию домена.

 

8. Верифицируйте домен

Перейдите по ссылке и введите код из письма.

 

9. Завершите процедуру проверки

Вы успешно подтвердили домен. Ожидайте письмо с SSL сертификатом на почтовый адрес, указанный в техническом контакте.

 

10. Получите письмо с файлами для установки SSL сертификата

Письмо содержит файлы для установки сертификата и ссылку на инструкции от сертификационного центра.

 

11. Вы также можете загрузить сертификат в личном кабинете

Для этого перейдите в раздел "SSL-сертификаты" и кликните на доменное имя сайта.

В открывшемся окне загрузите файлы сертификата.

 

Поздравлям! Заказав SSL сертификат вы обеспечили безопасную передачу данных между пользователем и сервером. Чтобы корректно установить сертификат воспользуйтесь инструкциями сертификационного центра (по ссылке в письме) или нашей инструкцией по установке сертификата.

Остались вопросы? Звоните, поможем  –  8 800 775 9 778 (бесплатно, круглосуточно).

146 /faq/new/poluchenie-dv-sertifikata Как купить и активировать сертификат с проверкой домена – пошаговая инструкция (новый интерфейс)
Как работает сертификат с проверкой домена (DV) Общие вопросы

SSL-сертификат с валидацией домена, как и любой другой SSL-сертификат, защищает данные пользователей.

Как это происходит:

  • Вы устанавливаете SSL — сигнализируете пользователям, что сайт надёжен.
  • Посетители ресурса видят замочек в адресной строке — понимают, что соединение защищено и ваш домен не подделан. Вводят пароли и номера кредиток.
  • Сертификат обеспечивает безопасное соединение по протоколу HTTPS — шифрует данные при передаче.

Отличие DV от OV и EV в степени доверия. При выдаче DV Certification authority подтверждает владением доменом, но не проверяет организацию. Посетители доверяют сайту, если знают компанию, которая использует домен.

147 /faq/general-questions/ssl-sertifikaty-dv DV сертификат обеспечивает защищенное соединение и подтверждает подлинность домена, но не организации
Как работает сертификат с проверкой организации (OV) Общие вопросы

SSL с проверкой организации обеспечивает безопасную передачу данных по протоколу HTTPS. Но это не главное — такую функцию выполняют все SSL-сертификаты. Главное для пользователей — доверить данные надежной компании.

Как OV обеспечивает доверие пользователей:

  • Certification authority проверяет домен и организацию.
  • Вы получаете и устанавливаете OV SSL.
  • Посетители сайта видят замочек в адресной строке, и название фирмы в сертификате. Понимают, что компания официально зарегистрирована и ведёт свою деятельность не первый день.
  • Посетители становятся клиентами — вводят личные данные и совершают покупки.

Степень доверия к сайту с OV сертификатом выше, чем к ресурсу с DV. К валидации домена добавляется верификация компании — доказательство её физического и юридического существования. Пользователи доверяют сайту, даже если раньше не слышали о такой фирме.

148 /faq/general-questions/ssl-sertifikaty-ov OV сертификат — это безопасная передача данных и доверие пользователей к организации
Как работает сертификат с расширенной проверкой (EV) Общие вопросы

Как и другие SSL-сертификаты, EV с расширенной проверкой защищает данные пользователей при передаче.

Но EV сертификат стоит в 20 раз дороже DV, потому что гарантирует безоговорочное доверие пользователей:

  • Certification authority проверяет домен, существование организации и её деятельность — выдаёт SSL.
  • Вы устанавливаете EV сертификат на сайт.
  • Посетители сайта видят замочек в адресной строке и название фирмы в сертификате. Понимают, что фирма прошла государственную регистрацию, все документы в порядке, а сайт не скопирован мошенниками.
  • Пользователи не только спокойно вводят пароли и личные данные. Они без сомнений делают крупные заказы и расплачиваются онлайн.

EV сертификат — лучший способ доказать посетителям, что вашему сайту и компании можно доверять.

149 /faq/general-questions/ssl-sertifikaty-ev EV сертификат гарантирует безоговорочное доверие пользователей к сайту и компании
Как защитить сертификатом национальный домен Общие вопросы

Национальный домен (англ. IDN) — доменное имя с использованием символов национального алфавита. Пример кириллического домена - яндекс.рф.

Cтандарт доменных имен (DNS) допускал регистрацию доменов только с символами в ASCII кодировке — 26 букв латинского алфавита (a-z), цифры (0-9) и символ дефиса (37 символов).
С ростом количества пользователей, которые используют нелатинские языки возникла потребность в национальных доменах. По статистике ICANN для 60% интернет-пользователей английский язык не является родным.
Доменные имена на родном языке упрощают навигацию по интернету. Например, если вы читаете интернет-издание на русском языке и на странице содержится ссылка с дополнительной информацией, воспроизведение веб-адреса символами ASCII может быть затруднительным. Кроме того, для веб-сайта с содержимым на русском языке разумнее создать адрес с использованием кириллических символов.
Необходимость создания IDN выдвинута Мартином Дюрстом в декабре 1996 года.
Первая кириллическая доменная зона — .рф. Открытая регистрация доменов в зоне .рф стала доступна с 2010 года.

Как работает национальный домен

Для корректной регистрации национальных доменов разработан Punycode.
Punycode — метод, преобразования unicode символов в латиницу для работы DNS.
Чтобы IDN-домен после преобразования не распознался, как латинский каждый IDN-домен начинается с префикса «xn--».
Например, домен «сертификат.рф» при трансформации в punycode — xn--80ajjak7afkeq.xn--p1ai.
Браузер автоматически преобразовывает кириллический домен в Punycode.
Для преобразования домена в Punycode используйте конвертер.

Сертификаты для национальных доменов

Для защиты сайта с IDN-доменом также необходимо установить SSL-сертификат.
Но не все SSL-сертификаты поддерживают национальные домены.
Чтобы заказать подходящий сертификат перейдите в раздел сайта.
В разделе доступны сертификаты для всех типов проверки с возможностью выбора бренда и количества доменов.
Если у вас возникли сложности с заказом, воспользуйтесь статьей или напишите в службу поддержки.

150 /faq/general-questions/ssl-sartifikaty-idn Как защитить сертификатом национальный домен
Различия между бесплатными и платными SSL-сертификатами Общие вопросы

С бесплатным сертификатом вы без дополнительных затрат защищаете информацию на сайте. Но между бесплатными и платными сертификатами есть ряд отличий.

Доверие посетителей.

Бесплатный SSL -сертификат не дает гарантию безопасности для посетителей. Так как бесплатные сертификаты выпускаются только с проверкой по домену, злоумышленники могут сделать копию вашего сайта вместе с сертификатом. При этом пользователь не заметит разницы между вашим сайтом и его копией. По этой причине рекомендуем использовать платные сертификаты с расширенной проверкой

Сертификаты от Let`s Encrypt выпускаются на 3 месяца. Если установить этот сертификат на сайт, опытные пользователи решат, что вы не планирует работать дольше и откажутся от покупки.

Финансовые гарантии

При использовании бесплатного сертификата сертификационный центр берет на себя ответственность за шифрование данных. Но при утечке данных ответственность остается на стороне владельца сайта. При использовании платных сертификатов, сертификационные центры гарантируют выплату компенсации. Гарантийная сумма указана в описании сертификатов.

Доверие поисковых систем

Поисковые системы и производители браузеров в любое время могут перестать доверять бесплатным сертификатам. Такой случай уже происходил осенью 2016 года, когда Google и Firefox перестали считать доверенным сертификаты от StartCom. При переходе на сайт с установленным бесплатным сертификатом отображалась ошибка об опасности.

Технические сложности

Процесс выпуска и установки бесплатных сертификатов требует навыков администрирования. Официальные инструкции и техническая поддержка доступны только на английском языке. При этом даже заказ бесплатного сертификата может вызывать трудности. Например сертификаты Let`s Encrypt необходимо перевыпускать каждые 3 месяца.

Выпуск платного сертификата не требует дополнительных навыков.

Вы можете самостоятельно заказать сертификат в 4 шага, а если возникнут сложности - напишите нам.

Таблица сравнения SSL-сертификатов.
 Let’s EncryptSectigo (Comodo) PositiveSSLSectigo (Comodo) Essensial SSL WildCardThawte SSL Web ServerSectigo (Comodo) Premium WildCard
СегментБесплатныйБюджетныйСреднийСреднийПремиум
Тип проверкиDVDVDVEVOV
Срок заказа3 месяца1 год1 год1 год1 год
Дополнительная защита с WWW-++++
Поддержка поддоменов--+-+
Длина ключа2048-bit2048-bit2048-bit2048-bit2048-bit
Гарантия-10 000$10 000$500 000$250 000$
151 /faq/general-questions/free-non-free
Инструменты для оплаты и продления SSL-сертификатов Новый личный кабинет

Покупая сертификат, вы рассчитываете, что он будет бесперебойно защищать данные посетителей сайта, поэтому так важно в срок продлевать его действие.

Рассказываем о двух простых инструментах, которые помогут автоматизировать продление и больше не беспокоиться о том, что вы забудете сделать это вовремя.

Важно: автоматическое продление сертификата позволяет только своевременно запустить выпуск нового сертификата. Чтобы новый сертификат начал действовать, потребуется подтвердить выпуск и установить его на сервер вручную, заменив старый. Поэтому даже при использовании автоматического продления рекомендуем вам регулярно следить за уведомлениями: при успешном продлении на почту, указанную при заказе сертификата, придёт письмо с инструкциями.

Автопродление с привязанного счёта (подписка)

Подписка позволяет автоматически продлевать сертификат со счёта, который вы привяжете в Личном кабинете. Привязать можно:

  • банковскую карту (через платёжную систему PayMaster или Яндекс.Касса);
  • электронный кошелёк Яндекс.Деньги

Гарантия безопасности ваших данных
Данные карты или кошелька будут храниться только в платёжной системе. Мы не сохраняем платёжные данные клиентов в Личном кабинете, чтобы обеспечить их максимальную безопасность. 

Подписка срабатывает за 60 дней до конца срока действия текущего сертификата — то есть после автопродления у вас будет ещё два месяца, чтобы заменить старый сертификат на новый.

Настроить подписку можно в процессе заказа нового SSL-сертификата или в настройках для действующего.

Подписка в процессе заказа нового SSL-сертификата

При оплате SSL-сертификата система предложит вам сохранить использованный для оплаты счёт — в будущем с его помощью можно будет быстро оплачивать новые услуги или настроить подписку, чтобы услуги продлевались автоматически.


Привязка счёта на шаге оплаты сертификата


Вы будете перенаправлены в платёжную систему, которая предложит заполнить платёжные данные карты или кошелька, указать контакты (email или телефон) для уведомлений:


Заполнение данных в платёжной системе


После успешной оплаты вернитесь в Личный кабинет — раздел SSL-сертификаты. Нажмите «Завершите настройку», чтобы заполнить данные для выпуска сертификата. Подробнее о процессе выпуска можно узнать в статье «Заказ и подтверждение SSL-сертификата»


Переход к настройке SSL-сертификата


На последнем шаге будут доступны настройки автоматического продления. При включении автопродления система предложит выбрать способ оплаты — выберите привязанный счёт и нажмите «Отправить запрос в центр сертификации».


Активация автопродления на последнем шаге настройки


На этом настройки подписки будут завершены. Когда до конца срока действия сертификата останется два месяца, система автоматически продлит сертификат с привязанного счёта и отправит вам уведомление в Личном кабинете и на email.

Подписка для действующего SSL-сертификата

Чтобы настроить подписку для действующего SSL-сертификата, необходимо предварительно привязать счёт, с которого вы хотите продлевать сертификат.

Для этого перейдите в Личный кабинет и в правом верхнем углу нажмите на ваш логин — откроются опции учётной записи.


Опции учётной записи


Перейдите в пункт «Способы оплаты» и нажмите «Добавить способ оплаты».


Раздел «Способы оплаты» в Личном кабинете


Выберите, какой счёт вы хотите привязать — банковскую карту или электронный кошелёк.


Выбор способа оплаты для привязки счёта


Система перенаправит вас в платёжную систему, где потребуется заполнить реквизиты вашей карты или кошелька, указать электронную почту и опционально телефон для уведомлений, ввести код подтверждения вашего банка.


Заполнение данных в платёжной системе


Для проверки корректности платёжных данных система спишет один рубль с баланса карты — после этого процесс привязки счёта будет завершён.


Успешная привязка счёта в платёжной системе



Привязанный счёт в разделе «Способы оплаты»


Затем можно настроить подписку для действующего сертификата. В Личном кабинете откройте раздел SSL-сертификаты. В карточке нужного сертификата нажмите на иконку продления и нажмите «Включить»:


Настройка автопродления для действующего сертификата


Здесь выберите период продления, привязанный на предыдущем шаге счёт и нажмите «Включить»:


Выбор периода автопродления



Выбор привязанного счёта


Система сообщит об успешном подключении автопродления. В будущем в этом же разделе вы сможете перенастроить или отключить подписку:


Сертификат с настроенным автопродлением



Изменение настроек автопродления для сертификата


Список всех услуг с настроенным автопродлением и подпиской будет доступен в Личном кабинете — раздел Финансы и документыАвтопродление услуг:


Список услуг с настроенным автопродлением и подписками


Если что-то пойдёт не так

Если при попытке продления услуги по подписке произойдёт ошибка (например, недостаточно средств для оплаты на счёте, блокировка карты, ошибка банка), система автоматически отключит недоступный привязанный счёт и отправит уведомление на вашу электронную почту. В разделе Способы оплаты изменится статус привязанного счёта.

Для решения в первую очередь убедитесь, что на балансе сохранённого способа оплаты достаточно средств и нет блокировки. После этого для восстановления работы автопродления вернитесь в раздел Способы оплаты и выполните перенастройку — потребуется заново ввести ваши данные в платёжной системе.

Если перенастройка пройдёт успешно, на следующие сутки система повторит попытку автоматического продления.

Автопополнение баланса (автоплатёж)

Автопополнение баланса можно использовать как альтернативу подписке. Разница в том, что при подписке услуги сразу автоматически продлеваются с баланса ваших карты или кошелька, а автоплатёж только пополняет счёт Личного кабинета. Какие услуги продлятся — зависит уже от того, настроили ли вы для них автоматическое продление с лицевого счёта или нет.

Автоплатёж срабатывает за 7 дней до конца срока действия сертификата либо в момент автопродления с лицевого счёта, если на нём недостаточно средств.

Управлять настройками автоплатежа можно в Личном кабинете. В правом верхнем углу нажмите на ваш логин — откроются опции учётной записи.


Настройка автоплатежа в опциях учётной записи


Перейдите в пункт «Настроить автоплатёж», откроется окно настройки:


Окно настройки автоплатежа


  1. Укажите максимальную сумму автоплатежа в месяц. Система не сможет списать в месяц сумму больше, чем вы укажете на этом шаге.

  2. Выберите способ оплаты, через который хотите автоматически пополнять баланс.
  3. Нажмите «Подтвердить» для перехода в платёжную систему.
  4. Заполните данные карты или кошелька, адрес электронной почты, введите код подтверждения вашего банка. В процессе с вашего счёта будет списан 1 рубль для проверки корректности платёжных данных.

На этом процесс настройки будет завершён.

В случае, если на счёте, с которого работает автопополнение, недостаточно средств, установлена блокировка или он не доступен по другим причинам — система отправит уведомление об ошибке автоплатежа на вашу электронную почту. Если вы не смогли установить причины ошибки самостоятельно — напишите нам, поможем разобраться.

Спустя 5 дней система повторит попытку, и далее будет повторять ежедневно до успешного пополнения баланса или удаления услуги, для которой сработал автоплатёж.

Если вы заказываете дополнительные сертификаты или меняете настройки имеющихся (например, заказываете дополнительные домены в мультидоменный сертификат), которые планируете продлевать с баланса, необходимо изменить лимит автоплатежа — прибавить к нему стоимость нового сертификата.

 

167 /faq/new/ssl-renewal-tools Покупая сертификат, вы рассчитываете, что он будет бесперебойно защищать данные посетителей сайта, поэтому так важно в срок продлевать его действие.
Как конвертировать SSL-сертификат в нужный формат Технические вопросы

Чтобы вы могли без проблем пользоваться SSL-сертификатом на разных платформах и устройствах, иногда требуется изменить его формат. Дело в том, что некоторые форматы лучше подходят для работы с различными видами программного обеспечения. Далее мы расскажем о том, какие форматы бывают, в каких случаях используются и какими способами можно конвертировать один формат сертификата в другой. 

Форматы сертификатов

Существует четыре основных формата сертификатов:

PEM — популярный формат используемый Центрами Сертификации для выписки SSL-сертификатов.

Основные расширения этого типа .pem, .crt, .cer, .key. В файлах содержатся строки вида

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY ------

Сертификаты PEM подходят для установки на веб-серверы nginx, apache2.

DER — это бинарная форма сертификата PEM.

Основные расширения этого типа  сертификата .der .cer

Сертификаты DER подходят для установки на серверы Java.

P7B. Файлы P7B кодируются в формате Base64 и имеют расширение .p7b или .p7c.

В файлах содержатся строки вида

-----BEGIN PKCS7-----
-----END PKCS7-----

Сертификаты P7B подходят для установки на серверы MS Windows, Java Tomcat

PFX — это сертификат в бинарном формате, выданный для домена, включающий в себя сертификат, цепочку сертификатов (корневые сертификаты) и приватный ключ. Имеют расширение .pfx или .p12.

Сертификаты PFX подходят для установки на серверы Windows, в частности Internet Information Services(IIS).

Способы конвертации

Существует несколько способов конвертации сертификатов, которые отличаются между собой только простотой конвертирования и уровнем безопасности. Мы расскажем о трех из них.

Конвертация SSl сертификатов посредством OpenSSL

OpenSSL — это надежный, коммерческий и полнофункциональный инструментарий для протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL). А также библиотека криптографии общего назначения. Конвертация с использованием библиотеки OpenSSL считается одним из самых безопасных способов: все данные будет сохранены непосредственно на устройстве, на котором будут выполняться операции по конвертированию. 

Для того чтобы воспользоваться им, вам необходимо перейти в командную строку и выполнить команды. 

Предоставленные ниже примеры команд OpenSSL позволяют конвертировать сертификаты и ключи в нужный формат.

Конвертировать PEM в DER можно посредством команды:

openssl x509 -outform der -in site.crt -out site.der

Аналогично, для других типов:

PEM в P7B

openssl crl2pkcs7 -nocrl -certfile site.crt -out site.p7b -certfile site.ca-bundle

PEM в PFX

openssl pkcs12 -export -out site.pfx -inkey site.key -in site.crt -certfile site.ca-bundle

Обращаем ваше внимание, что после выполнения команды, будет запрошена установка пароля ключа.

DER в PEM

openssl x509 -inform der -in site.der -out site.crt

P7B в PEM

openssl pkcs7 -print_certs -in site.p7b -out site.cer

P7B в PFX

openssl pkcs7 -print_certs -in site.p7b -out certificate.ceropenssl pkcs12 -export -in site.cer -inkey site.key -out site.pfx -certfile site.ca-bundle

PFX в PEM

openssl pkcs12 -in site.pfx -out site.crt -nodes

Конвертация при помощи онлайн-сервисов

Для конвертации сертификатов самый удобный способ — использование специальных сайтов, например, https://ssl4less.ru/ssl-tools/convert-certificate.html

Этот способ считается наименее безопасным методом: никогда не знаешь, сохраняет ли автор сайта ваш приватный ключ при конвертации.

Чтобы воспользоваться этим способом, вы просто переходите по ссылке на нужный сайт, выбираете нужные вам форматы и прикрепляете файл или файлы сертификата.

Конвертация с PEM в DER

Для конвертации необходим только файл сертификата .crt, .pem

Конвертация с PEM в P7B

В этом случае существует возможность добавить также цепочку сертификатов.

Что такое цепочка сертификатов и для чего она нужна, можно узнать в статье «Что такое корневой сертификат» 

Конвертация с PEM в PFX

В этом случае необходимо обратить внимание на то, что обязателен ключ сертификата, а также необходимо установить пароль ключа.

Конвертация из DER в PEM

Конвертация из P7B в PEM

Конвертация из P7B в PFX

Конвертация из PFX в PEM

Конвертация скриптом openssl-ToolKit

OpenSSL ToolKit — скрипт, который облегчает работу с библиотекой OpenSSL. Работа со скриптом является безопасным решением, т.к сертификаты и ключи сертификата никуда не передаются, а используются  непосредственно на вашем сервере.

Для начала работы скрипт необходимо скачать и запустить. Сделать это можно одной командой:

echo https://github.com/tdharris/openssl-toolkit/releases/download/1.1.0/openssl-toolkit-1.1.0.zip \
| xargs wget -qO- -O tmp.zip && unzip -o tmp.zip && rm tmp.zip && ./openssl-toolkit/openssl-toolkit.sh

После выполнения команды откроется следующее окно:

Нас интересует пункт 2. Convert certificates

После перехода в пункт 2. появится следующее меню, с выбором нужного типа конвертирования

После выбора преобразования, в данном случае PEM to FPX, скрипт предложит выбрать директорию с сертификатами на том устройстве, где запускается скрипт.

В нашем случае мы их скачали в директорию /home/ivan/crt/

После корректного ввода директории, скрипт отобразит все файлы в этой директории.

Далее нужно ввести имя сертификата, который будем конвертировать, в нашем случае это site.pem

Обращаю ваше внимание, что для корректной конвертации, с PEM в PFX, необходимо вручную объединить файл сертификата, цепочки и ключа в один файл, иначе будет возникать ошибка конвертации.

Сделать это можно простой командой 

cat site.crt site.ca-bundle site.key > site.pem

Данное действие необходимо только для конвертации из PEM в PFX.

Мы рассмотрели пример конвертации PEM в PFX. Этим же путем можно конвертировать сертификаты в другие форматы. Единственное, что вам уже не понадобится шаг с объединением файлов.

Пример конвертации PEM В DER.

 

168 /faq/%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5-%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B/%D0%BA%D0%B0%D0%BA-%D0%BA%D0%BE%D0%BD%D0%B2%D0%B5%D1%80%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C-ssl-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82-%D0%B2-%D0%BD%D1%83%D0%B6%D0%BD%D1%8B%D0%B9-%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82 Как конвертировать SSL-сертификат в нужный формат
Как сгенерировать запрос на сертификат (CSR) для MS Exchange 2016 Технические вопросы

Выпуск SSL-сертификата для Microsoft Exchange 2016 инициируется с сервера, для защиты которого нужен сертификат. 

Для этого откройте Центр администрирования Microsoft Exchange и перейдите в меню Серверы Сертификаты. Укажите сервер, на который хотите создать запрос на сертификат, и нажмите «+»


Список сертификатов в Центре администрирования Exchange

Откроется мастер создания сертификатов. Выберите пункт «Создать запрос на сертификат, подписанный центром сертификации» и нажмите «Далее».

На следующем шаге введите «опознавательное» имя сертификата и нажмите «Далее». Оно не будет использоваться в запросе, но с его помощью вы сможете найти этот сертификат позже.


Выбор названия сертификата (для простоты идентификации)

На следующем шаге мастер предложит настроить групповой сертификат.


Настройка сертификата с защитой поддоменов

  • Если вы хотите защитить сертификатом домен со всеми поддоменами (например, *.example.com, Wildcard), на этом шаге нужно отметить соответствующий пункт и ввести имя корневого домена (в формате *.example.com).
  • Если вы хотите защитить сертификатом простой домен, нажмите «Далее» без дополнительных настроек.

На следующем шаге нужно выбрать сервер, на котором будет храниться запрос сертификата. Обычно запрос хранится на сервере, где будет установлен сертификат. Выберите сервер в списке в меню «Обзор» и нажмите «Далее».


Выбор сервера для сохранения запроса

Следующий этап подразумевает выбор узлов, которые вы хотите защитить запрашиваемым сертификатом. Выберите необходимые узлы, зажав клавишу Ctrl и кликая мышкой по нужным пунктам. Для перехода на следующий шаг нажмите «Далее».

Если вы запрашиваете Wildcard-сертификат, этот шаг будет автоматически пропущен.


Выбор узлов, которые должны быть защищены запрашиваемым сертификатом

На основе вашего выбора на предыдущем шаге система сгененирует список доменов, которые будут включены в сертификат. На следующем шаге вы можете проверить этот список и удалить или добавить доменные имена.


Финальная корректировка списка доменов, которые войдут в запрос на сертификат

Далее нужно заполнить данные компании — владельца сертификата. Данные рекомендуется заполнять латинскими символами (исключение — название страны, его нужно выбрать из списка).


Заполнение данных владельца сертификата

На последнем шаге система предложит указать, где сохранить файл с запросом на сертификат. Путь указывается в формате UNC. Например:

\\SERVERNAME\с$\Users\Administrator\Desktop\cert-request.req

где SERVERNAME — сетевое имя вашего сервера, а cert-request.req — название сохраняемого файла.

После этого нажмите «Готово», и ваш запрос появится в списке сертификатов MS Exchange:


Новый запрос в списке сертификатов Exchange

На этом процесс генерации запроса завершён. Осталось использовать его для заказа и выпуска SSL-сертификата.

Для этого найдите файл с запросом на сервере, откройте его с помощью Блокнота и скопируйте его содержимое:


Содержимое файла с запросом

Перейдите на страницу заказа нужного сертификата. В процессе оформления в поле «Запрос на получение сертификата» отметьте пункт «Указать имеющийся», и в поле ввода вставьте скопированный запрос с сервера.


Заказ сертификата с помощью сгенерированного запроса

После этого проверьте, что все контактные данные в запросе определены корректно. 

На следующем этапе останется заполнить ваши контактные данные, выбрать способ подтверждения сертификата и внести оплату — как при заказе обычного SSL.

170 /faq/csr-for-exchange2016 Выпуск SSL-сертификата для Microsoft Exchange 2016 инициируется с сервера, для защиты которого нужен сертификат.
Подписка на SSL-сертификат Общие вопросы

Подписка на SSL-сертификат позволяет вам за единоразовую плату обеспечить безопасность вашего домена на срок до 5 лет. В течение оплаченного срока сертификат каждый год будет продлеваться автоматически (но вам будет нужно обновить файлы).

Как работает подписка?

В целях безопасности период действия SSL-сертификата ограничен одним годом. В течение срока, на который оформлена подписка (2, 3, 4 или 5 лет), SSL-сертификат будет ежегодно отправляться на перевыпуск за 14 дней до истечения срока действия. 

На e-mail, указанный в контактах сертификата, придёт письмо с инструкцией для подтверждения заказа. Выполните действия, указанные в письме, чтобы подтвердить право владения доменом. В зависимости от центра сертификации верификационные действия могут быть разными, следуйте присланной инструкции. 

Обратите внимание, что для продления используются ваши прежние данные, ключ также сохраняется. Если ваши данные изменились или вы хотите получить новый ключ, сертификат необходимо перевыпустить вручную или обратиться в службу поддержки.

После успешного подтверждения права владения доменом и продления вы получите письмо с новыми файлами сертификата и цепочки, которые необходимо установить на домен. Установка сертификата отличается в зависимости от ПО, которое вы используете. Подробную инструкцию вы найдёте в разделе «Установка SSL».

Как оформить подписку?

При заказе нового сертификата

Выберите необходимый сертификат. Наведите на цену рядом с кнопкой «Купить» и вы увидите срок, на который можно оформить подписку, и соответствующую ему цену. Выберите нужный срок и нажмите «Купить». Перейдите в личный кабинет, чтобы закончить оформление заказа. После оплаты подтвердите выпуск сертификата и установите его на сайт.

Выбрать сертификат
При продлении действующего сертификата

В личном кабинете перейдите в раздел «Товары» — «SSL сертификаты». Кликните на ваш сертификат и нажмите кнопку «Продлить». В открывшемся окне выберите срок подписки, e-mail для подтверждения домена и нажмите кнопку «В корзину». После оплаты подтвердите выпуск сертификата и установите его на сайт.

Если у вас подключена услуга автопродления, она автоматически применится для нового сертификата с подпиской. Автопродление сработает, когда срок подписки (2, 3, 4 или 5 лет) подойдёт к концу.

Перейти в личный кабинет 176 /faq/subscribe-ssl
Как перевыпустить SSL-сертификат, купленный по подписке Общие вопросы

Максимальный срок действия SSL-сертификата – 1 год. Приобретая подписку на 2, 3, 4 и 5 лет, вы получаете возможность ежегодно перевыпускать его. В течение оплаченного срока SSL-сертификат будет автоматически отправляться на перевыпуск за 2 недели до истечения срока действия.

Когда процесс перевыпуска запустится, на e-mail, указанный в контактах сертификата, придёт письмо с инструкцией для подтверждения заказа. Выполните действия, указанные в письме, чтобы подтвердить право владения доменом. В зависимости от центра сертификации верификационные действия могут быть разными, следуйте присланной инструкции. 

После успешного подтверждения вам на почту придёт письмо с файлами сертификата и цепочки, которые необходимо установить на домен. Ключ при этом остаётся прежним.

Установка сертификата будет отличаться в зависимости от ПО, которое вы используете. Подробную инструкцию вы найдёте в разделе «Установка SSL».

Обратите внимание, что сертификат продлевается по указанным прежде данным. Если по сравнению с прошлым годом ваши данные изменились – необходимо сформировать новый CSR-запрос на получение сертификата. Для этого обратитесь в службу поддержки.

177 /faq/subscrube_ssl_update Продление SSL-сертификата купленного по подписке

Не нашли нужного ответа?

Напишите нам. Ответим за 15 минут