Бесплатный SSL-сертификат

Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let's Encrypt для любого количества сайтов. Let's Encrypt представляет собой обычный SSL-сертификат с проверкой домена (DV), который выдается на неограниченный срок.

• Как установить сертификат?
• Для чего подходит?
• Какие типы проверки имеются?
• Как быстро выпускается?
• Сколько действует сертификат?
• Будет ли сертификат определяться браузерами как доверенный?
• Можно ли использовать в коммерческих целях?
• Поддерживаются ли национальные домены (IDN)?
• Поддерживаются ли поддомены (wildcard)?
• Поддерживается ли мультидомен (SAN)?
• Как настроить автоматический редирект на HTTPS
• Ссылки на дополнительные материалы

Как установить сертификат?

1. Зайдите в панель ISPmanager с правами супер-пользователя (root). Для этого перейдите в Личный кабинет — Товары — Виртуальные серверы, выберите нужный сервер в списке — нажмите кнопку Инструкция — найдите раздел Панели управления, блок ispmanager и нажмите кнопку Перейти.

Либо войдите в панель по прямой ссылке, используя данные для подключения к серверу: https://127.0.0.1:1500/ispmgr, где 127.0.0.1 — адрес вашего сервера.

2. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt

3. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.

4. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».

5. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен появиться замок. Сертификат действует бессрочно.

Для чего подходит?

Сертификаты Let's Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.

Какие типы проверки выполняются?

Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

Как быстро выпускается?

Сертификат Let's Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.

Сколько действует сертификат?

Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let's Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.

Будет ли сертификат определяться браузерами как доверенный?

Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

Можно ли использовать в коммерческих целях?

Да, можно. Именно для таких целей сертификат и создавался.

Поддерживаются ли национальные домены (IDN)?

Сертификаты Let's Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.

Поддерживаются ли поддомены (wildcard)?

Сертификаты Let's Encrypt поддерживают wildcard. Проверяются такие сертификаты только через DNS-записи.

Поддерживается ли мультидомен (SAN)?

Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.

Как настроить автоматический редирект на HTTPS?

Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS.

Редирект на связке Apache+Nginx

1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.

2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

Редирект на чистом Apache

1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфиг.

2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}  

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

Внимание! Если на сервере несколько сайтов, а сертификат вы ставите на один, произойдёт ошибка. Сайты без сертификата тоже начнут работать по HTTPS, но будут вести на домен с сертификатом. Браузер будет предупреждать, что сертификат не соответствует доменному имени. Выход из ситуации – поставить сертификат на каждый домен или перевесить сайт с сертификатом на отдельный IP-адрес.

Как настроить безопасное соединение и редиректы, чтобы избежать циклической переадресации, изложено в материале нашей энциклопедии.

Смотри также

• Документация на сайте разработчика ISPmanager
• Официальный сайт Let's Encrypt
• Форум сообщества
• Как установить бесплатный сертификат Let's Encrypt без панели управления ISPmanager (manual mode)
• Полная инструкция по настройке и автоматизации (англ.)