Расскажи
о статье
друзьям
в соцсетях! :)
47


Привет, вебмастер! 

 

Озадачился я, в начале этого года, вопросом установки SSL-сертификата на свои сайты: на этот блог - dizelyator.ru, и еще на сайт моего финансового проекта - profit-trend.ru, который, еще не готов.

 

Никогда ранее не используя SSL-сертификаты, но зная о том, что, придется за это заплатить, я полез сначала в панель управления хостингом - CPanel, немного разобрался в соответствующем разделе настройки безопасности и управления SSL-сертификатами, и понял, что придется сначала подключить услугу «Выделенный IP». Что я и сделал, зайдя в биллинг хостинга.

Услуга стоит 90 рублей в месяц, и пришлось оплатить услугу до конца расчетного периода.

Платил я 499 рублей в год за хостинг(без домена), а теперь - 1363 рубля в год, с учетом скидки при оплате на год (это хостинг Домишко - стабильный хостинг кстати, рекомендую).

 

Конечно, денег у меня, на платный SSL-сертификат, сейчас - нет, и я решил ограничиться бесплатным сертификатом, но не самоподписанным...




Ну и как вы думаете, каким сервисом я воспользовался в первую очередь?

Конечно же, я установил на сайты SSL-сертификат от StartCom, один сертификат на два домена. Действует 3 года, кажется.

Установил, и всё заработало - настроил редирект http на https в файле .htaccess, CMS подшаманил, костыли повставлял где нужно, и вроде бы всё, и зеленый замок появился в адресной строке (посмотрите сейчас в адресную строку, если вы читаете этот текст с компьютера - соединение с dizelyator.ru - защищено).

 

Однако, я знал про то, что уже должно было выйти обновление браузера Google Сhrome, который не поддерживает и не доверяет бесплатным сертификатам от StartCom.

Это и было написано на сайте StartCom, на какой-то из страниц получения сертификата. Но я Google Сhrome не использую на ПК, а использую только Opera. Этот браузер на том же движке, что и гугловский браузер, ну и я как-то подзабил на это дело - в опере работает, в IE работает, ну и ладно.

 

Прошла не одна неделя, пока этот блог работал на сертификате от StartCom. Потом мне понадобилось, зачем-то, загрузить браузер Firefox...

В нем я решил открыть этот блог - я набрал адрес dizelyator.ru в адресной строке, и увидел это:

 


[ Увеличить изображение ]

 

Я удивился , ведь ранее думал, что FF хоть как-то отобразит сайт, а он вот так... и пошел искать другой бесплатный и нормальный сертификат.

Единственный разумный вариант, но на 3 месяца - это сертификат от Lets Encrypt.

 

Let's Encrypt

 

Хотя бы за один день до экспирации - на 89 день, сертификат нужно обновлять.

 

Хорошо. Но у меня встал вопрос - КАК этот сертификат получить? Еще этот языковой барьер, всё на английском языке... Как я понял из описания - нужно иметь выделенный сервер с полным доступом к нему, установленный там Apache, и что-то еще загружать, устанавливать, что-то запускать... Какой-то лишний геморрой, на пустом месте. Ладно бы сертификат от Lets Encrypt сам автоматически обновлялся на сервере - вот это было бы дело, а информацию о том, как так сделать - я встречал в интернете, гуглите, если интересно.

Но мне это не подходит, так как я использую виртуальный хостинг, и доступа к серверу по SSH, у меня просто нет, и быть не должно.

 

Что делать? Как сгенерировать этот бесплатный SSL-сертификат, для использования на виртуальном хостинге?

 

Я относительно долго и относительно усиленно гуглил, так как информация по этому поводу, сумбурно разбросана по всему интернету, и по рунету в частности. Но, я нашёл способ генерации этого SSL-сертификата!

Я нашёл единственную зацепку на вот этой странице - http://pushorigin.ru/security/free-ssl, почитайте, это мануал по установке на сервер, программного обеспечения Let's Encrypt, которое позволяет получить заветный бесплатный сертификат, но это нас не интересует, а самое ценное на той странице, для меня, это - текст вверху, на зеленом фоне: 

 

Без установки ПО: https://www.sslforfree.com/

 

ВОТ ОНО! Нашёл!

 

А дальше всё просто, идём на https://www.sslforfree.com/ и вводим домен, а если у вас их несколько, и вы желаете сделать один сертификат для всех, то перечислите их через пробел, и естественно без указания протокола, это же можно прочитать, нажав Advanced Options (но я не знаю, можно ли один сертификат использовать на разных хостингах, просто не заморачивался этим вопросом, потому-что у меня все домены в одной папке, и устанавливается сертификат разом для всех из Cpanel. Думаю что можно, а почему нет?).

И нажимаем «Create Free SSL Certificate»:

 


[ Увеличить изображение ]

 

Повнимательнее: слэшей, как на скриншоте выше, быть не должно! Иначе, после нажатия на кнопку «Create Free SSL Certificate», первый домен, в моем случае, менялся на второй, а второму, добавлялся домен третьего уровня www. Т.е. вместо profit-trend.ru dizelyator.ru, на сервер отправлялось dizelyator.ru www.dizelyator.ru.

Без слэшей нужно домены вводить, короче говоря.

 

Далее, у нас появляется 3 варианта для проверки того, что мы являемся владельцем этих доменов. Первый вариант - видимо, нужно будет вводить свой логин и пароль от FTP, поправьте меня, если я не прав. Я отбросил этот вариант, спасибо, но лучше не надо  

Также, я отбросил третий вариант - редактирование DNS-записей, это надо CPanel открывать лишний раз...

Куда проще и безопаснее, второй вариант - загрузить на сервер своих сайтов определенный простой текстовый файл по FTP, а скрипт сам зайдет по этому адресу, и проверит его наличие. Всё очень просто.

 

Нажимаем, в этом случае, вторую кнопку «Manual Verification - Upload verification files manually to your domain to verify ownership.»:

 


[ Увеличить изображение ]

 

А если вы вспомнили о том, что сделали ошибку в указанных доменных именах, или хотите добавить ещё - нажмите Add / Edit Domains, а только потом уже «Manual Verification - Upload verification files manually to your domain to verify ownership.».

 

Далее, после того, как мы нажали вышеуказанную вторую кнопку, внизу страницы, появится сообщение на английском языке, которое, объясняет порядок ваших дальнейших действий. Оно предельно простое: для начала, нажмите на появившуюся в самом низу зеленую кнопку - «Manually Verify Domain».

 

Иногда, можно увидеть такое:

 


[ Увеличить изображение ]

 

В этом случае, нажмите «Retry Manual Verification», а если не выходит, и опять вы видите Domain ... registration failed..., то попробуйте повторить все действия заново, перейдя на главную страницу, и введя домен(ы) заново. Природа этой ошибки, мне - не ясна.

 

А если всё нормально, то нам предлагают скачать файлы для загрузки по FTP(можно и не по FTP, как угодно, некоторые же пользуются браузерным файловым менеджером, который доступен почти у каждого хостера, но это я считаю - извращением), по порядку для каждого домена - один файл:

 


[ Увеличить изображение ]

 

Открываем FTP-клиент, и создаем в корне каждого сайта папку, с названием .well-known (а если у вас Windows-хостинг, что бывает довольно редко в таких случаях, тогда - точку в начале названия папки, ставить не нужно), а внутри этой папки создаем папку с названием acme-challenge. Скачиваем первый файл, и загружаем его в созданную папку acme-challenge первого сайта, и второй файл, аналогично, закидываем в такую же папку второго сайта.

Переходим по предложенным ссылкам в пятом пункте - Verify successful upload by visiting the following links in your browser, это проверка для вас, загруженные файлы должны быть доступны.

Ну и всё, если файлы загружены и доступны, тогда нажимаем «Download SSL Certificate», и переходим к получению сертификата.

 

А вот если вы ошиблись, нажали кнопку, но загрузили(или не загрузили) что-то не туда, то можно увидеть что-то в этом духе:

 


[ Увеличить изображение ]

 

В таком случае, нажимаем кнопку «Назад» в браузере, и повторяем последовательное нажатие кнопок «Manual Verification - Upload verification files manually to your domain to verify ownership.», а затем сразу жмем «Manually Verify Domain», домены вводить заново не нужно. Теперь удаляем загруженные на сервер файлы, скачиваем новые, и загружаем их.

Затем, после нажатия кнопки «Download SSL Certificate», мы попадаем на заветную страницу, с которой можно скопировать текст сертификата, или скачать всё в одном архиве, что я и рекомендую сделать сразу, и сохранить этот архив в надежном месте.

В загруженном архиве sslforfree.zip, должно быть 3 файла: ca_bundle.crtcertificate.crt и private.key

Я не знаю, на каких началах базируется этот сайт, ведь рекламы на этом сайте я(пока) не вижу, однако на странице, с которой я загружал готовый сертификат, я видел форму для доната. Я бы рекомендовал задонатить им какую-нибудь сумму денежных средств, хороший сайт. Но это еще не всё, обратите внимание и не проходите мимо - на этой странице, еще есть форма для мгновенного логина или регистрации, с заголовком «Get Notified of Expiration»:

 


[ Увеличить изображение ]

 

Это очень удобная и полезная функция, для уведомления об окончании срока действия сертификата на E-mail, очень рекомендую воспользоваться! Введите свой логин, и придумайте пароль - и нажмите «Create Account», а если уже регистрировались, и сейчас зашли для того, чтобы продлить сертификат, или создать другой - то нажмите «Login». Во втором случае - лучше, конечно, сначала авторизоваться, а потом уже заново делать сертификат.

 

После регистрации, прислали такое письмо:



[ Увеличить изображение ]

 

Нет, ну это же шикарно  

Просто шикарно, даже прислали письмо с датой окончания срока действия сертификата. Теперь, предупреждение о скором завершении срока действия действия сгенерированного сертификата, должно прийти за неделю. Это очень хорошо, буду ждать.

 

Вот теперь, когда я установил бесплатный SSL-сертификат от Lets Encrypt, используя сайт sslforfree.com, этот блог нормально открылся в Firefox, ура! 






Обновлено: 8.02.2017 - 09:58




Возможно, вас заинтересуют другие статьи: