Добавить SSL-сертификат к ресурсу для передачи контента по HTTPS

Последние изменения: 01.12.2022

SSL-сертификат — это уникальная цифровая подпись вашего сайта, необходимая для организации защищенного соединения между клиентом и сервером, что особенно важно при передаче конфиденциальной информации и проведении финансовых операций (HTTPS-протокол).

Используйте навигацию для быстрого поиска нужного раздела:

Личный SSL-сертификат

Let’s Encrypt сертификат

Вы можете добавить к ресурсу личный SSL-сертификат или выпустить бесплатный SSL-сертификат Let's Encrypt.

Личный SSL-сертификат

Добавить личный сертификат можно двумя способами: при создании ресурса и в разделе SSL-сертификаты.

Добавить личный SSL-сертификат при создании ресурса

Для того чтобы добавить и привязать личный сертификат при создании ресурса после ввода значения персонального домена, активируйте функцию Поддержка HTTPS, выберите «Добавить или выбрать собственный SSL-сертификат» и нажмите кнопку Добавить SSL-сертификат.

a31388a7a0ec51a01e199b3b18d026e3.png

В открывшемся окне укажите имя сертификата, сертификат в формате PEM и приватный ключ. Нажмите Добавить SSL-сертификат.

Как правильно оформить сертификат читайте рассказываем ниже.

e2a51d4b3450f0825a8a7ae5fb39a6b5.png


Сертификат будет привязан к ресурсу, а также добавлен в список личных сертификатов в разделе SSL-сертификаты сервиса CDN.

Добавить личный SSL-сертификат в разделе SSL-сертификаты

Для того чтобы добавить сертификат в личный кабинет без привязки к ресурсу, перейдите в раздел SSL-сертификаты. Нажмите Добавить SSL-сертификат.

cdecba46d6d589910ca033c68cf9ad0c.png


Введите SSL-сертификат в формате PEM и приватный ключ, а также задайте имя сертификата. Нажмите Создать SSL-сертификат.

Как правильно оформить сертификат читайте рассказываем ниже.

6bb16ff7d91e93309622b01b67b82580.png


После сохранения настроек сертификат отобразится в списке SSL-сертификатов.

В разделе доступна информация о сертификате: id, имя, ресурсы, тип их ускорения, которые используют сертификат, срок действия.

Удалить личный SSL-сертификат

Чтобы удалить сертификат, нажмите на знак ··· напротив нужного сертификата и выберите Удаление.

Обратите внимание! Удаление сертификатов, которые используются в CDN-ресурсах, невозможно. Если вы хотите удалить такой сертификат, замените его в настройках CDN-ресурса на другой SSL-сертификат.

Прикрепить личный сертификат к ресурсу

Прикрепить к ресурсу сертификат, добавленный в разделе SSL-сертификаты, можно в настройках ресурса при его создании или редактировании.

  1. Перейдите в настройки ресурса.

  2. Найдите опцию Поддержка HTTPS.

  3. Выберите нужный сертификат в отображающемся селекторе.

  4. Сохраните настройки.

______________________.jpg

Важно! Если для ресурса подключен сертификат Let’sEncrypt, селектор личных сертификатов отображаться не будет. Чтобы получить возможность выбрать личный сертификат, сначала отзовите Let’sEncrypt.

Заменить сертификат

Добавленный личный сертификат изменить нельзя, поэтому по истечении срока действия сертификата следуйте шагам:

  1. Добавьте новый сертификат в разделе SSL-сертификаты.

  2. Перейдите в настройки нужного ресурса.

  3. Найдите раздел Поддержка HTTPS.

  4. Сейчас в селекторе выбора сертификата отображается название вашего текущего сертификата.

  5. Нажмите на селектор и выберите новый сертификат.

  6. Сохраните изменения. Настройки применятся в течение 15 минут.

  7. Проверьте, какой сертификат привязан к ресурсу. Для этого откройте CNAME в браузере (например, https://example.ru). Нажмите на знак замка слева от домена → Действительный сертификат.

eca7d997bb588345d4591f1b6e7a8cf0.png

8. Сравните данные защищенного соединения с только что установленным сертификатом. Если настройки применились, можно удалять старый сертификат из раздела «SSL–сертификаты».

Важно! Не удаляйте заменяемый сертификат из раздела SSL-сертификаты до тех пор, пока контент не будет раздаваться с помощью нового сертификата. Следуйте шагам, описанным выше, иначе замена сертификата произойдет с прерыванием доставки контента.

Особенности ввода данных сертификата и приватного ключа

  1. Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения .pem, .crt, или .cer. \

  2. Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA.

  3. Данные в поле Certificate необходимо вставлять, включая теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Цепочки сертификатов должны быть вставлены слитно.

    ___________________.png
  5. В конце цепочки сертификатов должна быть пустая строка.

    _________________.png
  6. Откройте файл с приватным ключом (.key) в приложении «Блокнот».

  7. Скопируйте и вставьте ключ, включая теги -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.

  8. Нажмите Создать SSL-сертификат.

  9. Сертификат появится в разделе SSL-сертификаты, а если добавление происходило в момент создания ресурса - сертификат также привяжется к ресурсу.

Уведомления об истечении срока действия SSL-сертификатов

Уведомления об истечении срока действия SSL-сертификатов, добавленных в раздел SSL-сертификаты, отображаются в личном кабинете и пересылаются на почту пользователям аккаунта с ролями «Администратор» и «Инженер».

Важно! Let’s Encrypt сертификаты, выпущенные в настройках CDN-ресурса, продлеваются автоматически, поэтому уведомлений об истечении срока действия таких сертификатов не предусмотрено.

Пользователи уведомляются по почте:

  • За 14 дней до истечения сертификата

  • За 7 дней до истечения сертификата

  • В день истечения сертификата

При входе в личный кабинет будет отображаться напоминание с указанием на сертификат, подлежащий обновлению.


Раздел SSL-сертификаты будет отмечен восклицательным знаком, если есть уже истёкшие сертификаты или те, которые истекут в ближайшие 14 дней:

a71fe340b5e7278f5a4cfd056b48233a.png


В разделе SSL-сертификаты напротив сертификатов, нуждающихся во внимании, будут стоять специальные символы:

  • Восклицательный знак желтого цвета, если сертификат истекает через 14 или менее дней.

  • Восклицательный знак красного цвета, если сертификат уже истёк.

Let’s Encrypt сертификат

Если у вас нет собственного SSL-сертификата, в личном кабинете есть возможность подключить бесплатный Let’s Encrypt сертификат.

Подключить Let’s Encrypt сертификат

1. Создайте CDN-ресурс и укажите персональный домен.

2. Добавьте CNAME-запись в настройках DNS домена.

3. В настройках ресурса активируйте плашку Поддержка HTTPS и выберите пункт «Выписать бесплатный сертификат Let's Encrypt».

2f906936ee84a56efe0b945ac39c060d.png

Выписка сертификата Let's Encrypt начнётся после создания ресурса. Направьте персональный домен на CDN для успешной выписки.
Получение сертификата может занять до 30 минут. В течение этого времени нельзя:

  • Выключать поддержку HTTPS

  • Выбирать другой сертификат

  • Прерывать выпуск текущего сертификата

Важно! Получение сертификата занимает до 30 минут в случае, если вы оформляете его на только что созданный ресурс, т. к. конфигурация нового ресурса еще не применена на всех CDN-cерверах. Если конфигурация ресурса уже присутствует на всех CDN-серверах, получение Let's Encrypt сертификата происходит менее чем за пару минут.

_________________________.jpg


Если во время выпуска сертификата произойдет ошибка, опция Поддержка HTTPS выключится, а на вашу почту уйдет уведомление с описанием причины и дальнейших действий.

Письма отправляются также всем вашим пользователям с ролями «Администратор» и «Инженер».

Внимание! Выпустить сертификат Let's Encrypt можно только на существующий ресурс. Если CNAME ресурса не направлена на нас в настройках DNS домена, или источник недоступен, сертификат не выпишется.

На один ресурс в один момент времени может быть выдан только один сертификат Let's Encrypt.

Если вы захотите добавить или удалить второй персональный домен для ресурса, после сохранения изменений мы перевыпустим сертификат.

_______________________.jpg

Пока ресурс активен, сертификат продлевается автоматически.

Попытка замены сертификата происходит за 30 дней до окончания срока действия предыдущего. Предпринимается одна попытка перевыпуска. В случае, если сертификат выписать не удалось, на вашу почту придёт уведомление.

Важно! В случае неудачной попытки перевыпуска, сертификат продолжит работать ещё 30 дней. После чего контент станет недоступным по HTTPS. Чтобы избежать прерывание доставки контента, запросите перевыпуск сертификата самостоятельно. Для этого в личном кабинете сначала отзовите Let's Encrypt сертификат, а затем подключите Let's Encrypt сертификат заново.

Удалить Let’s Encrypt сертификат

Чтобы удалить сертификат, перейдите в настройки ресурса и нажмите Отозвать сертификат Let's Encrypt в разделе Поддержка HTTPS.

_____________________.jpg


Перед тем как отозвать сертификат, подтвердите действие.

_______________.jpg


Важно!
Если меняете Let's Encrypt на собственный сертификат через API-запрос, отзывать Let's Encrypt сертификат не нужно.

Ограничения и особенности опции

  • Сертификат не выдается на wildcard-домен (напр. *.example.com).

  • Если на ресурс выписан Let's Encrypt сертификат, селектор выбора личных сертификатов не отображается. Личные сертификаты станут доступны для выбора после удаления Let's Encrypt сертификата.

  • Выпущенные Let’s Encrypt сертификаты не отображаются во вкладке SSL-сертификаты.

  • Let’s Encrypt сертификат отображается только в настройках ресурса, для которого он выписан.

_____________________.jpg
  • Выписка и отзыв Let's Encrypt сертификата не требуют сохранения настроек ресурса.

  • Если вы используете DNS Cloudflare, для опции CNAME Flattering необходимо выбирать вариант «Flatten CNAME at root».Иначе сертификат не будет выписан!

    image2020-5-13_15-28-38.pngЕсли выбрать «Flatten all CNAMEs», вместо CNAME будет передаваться А-запись и сертификат не будет выписан.

    image2020-5-13_15-26-53.png


Помогла ли вам статья?