SSL-сертификат — это уникальная цифровая подпись вашего сайта, необходимая для организации защищенного соединения между клиентом и сервером, что особенно важно при передаче конфиденциальной информации и проведении финансовых операций (HTTPS-протокол).
Используйте навигацию для быстрого поиска нужного раздела:
- Добавление личного SSL-сертификата при создании ресурса
- Добавление личного SSL-сертификата в разделе «SSL-сертификаты»
- Удаление личного SSL-сертификата
- Прикрепление личного сертификата к ресурсу
- Замена сертификата
- Особенности ввода данных сертификата и приватного ключа
- Уведомления об истечении срока действия SSL-сертификатов
- Подключение «Let’s Encrypt» сертификата
- Удаление «Let’s Encrypt» сертификата
- Ограничения и особенности опции
Общий SSL-сертификат (gcdn.co)
Личный SSL-сертификат
Используйте личный SSL-сертификат, если в качестве персонального домена для создания CNAME-записи вы устанавливаете свое значение.
Добавить личный сертификат можно двумя способами: при создании ресурса и в разделе «SSL-сертификаты».
Добавление личного SSL-сертификата при создании ресурса
Для того чтобы добавить и привязать личный сертификат при создании ресурса, после ввода собственного значения персонального домена, активируйте функцию «Поддержка HTTPS» и нажмите «Добавить SSL-сертификат».
Во всплывающем окне выберите «Добавить собственный сертификат». Укажите имя сертификата, сертификат в формате PEM и приватный ключ. Нажмите «Добавить SSL-сертификат».
Как правильно оформить сертификат читайте здесь.
Сертификат будет привязан к ресурсу, а также добавлен в список личных сертификатов в разделе «SSL-сертификаты» сервиса CDN.
Добавление личного SSL-сертификата в разделе «SSL-сертификаты»
Для того чтобы добавить сертификат в личный кабинет без привязки к ресурсу, перейдите в раздел «SSL-сертификаты» сервиса CDN. Нажмите «Добавить SSL-сертификат».
Введите SSL-сертификат в формате PEM и приватный ключ, а также задайте имя сертификата. Нажмите «Создать SSL-сертификат».
Как правильно оформить сертификат читайте здесь.
После сохранения настроек сертификат отобразится в списке SSL-сертификатов.
В разделе доступна информация о сертификате: id, имя, ресурсы, тип их ускорения, которые используют сертификат, срок действия.
Удаление личного SSL-сертификата
Чтобы удалить сертификат, нажмите на знак трех точек напротив нужного сертификата и выберите «Удаление».
Обратите внимание! Удаление сертификатов, которые используются в CDN-ресурсах, невозможно. Если вы хотите удалить такой сертификат, замените его в настройках CDN-ресурса на другой SSL-сертификат.
Прикрепление личного сертификата к ресурсу
Прикрепить к ресурсу сертификат, добавленный в разделе «SSL-сертификаты», можно в настройках ресурса при его создании или редактировании.
- Перейдите в настройки ресурса.
- Найдите опцию «Поддержка HTTPS».
- Выберите нужный сертификат в отображающемся селекторе.
- Сохраните настройки.
Важно! Если для ресурса подключен «Let’s Encrypt» сертификат, селектор личных сертификатов отображаться не будет. Чтобы получить возможность выбрать личный сертификат, сначала отзовите «Let’s Encrypt».
Замена сертификата
Добавленный личный сертификат изменить нельзя, поэтому по истечении срока действия сертификата следуйте шагам:
- Добавьте новый сертификат в разделе «SSL-сертификаты».
- Перейдите в настройки нужного ресурса.
- Найдите раздел «Поддержка HTTPS».
- Сейчас в селекторе выбора сертификата отображается название вашего текущего сертификата.
- Нажмите на селектор и выберите новый сертификат.
- Сохраните изменения. Настройки применятся в течение 10-15 минут.
- Проверьте, какой сертификат привязан к ресурсу. Для этого откройте CNAME в браузере (например, https://example.ru). Нажмите на знак замка, рядом с https => Сертификат.
8. Сравните данные защищенного соединения с только что установленным сертификатом. Если настройки применились, можно удалять старый сертификат из раздела «SSL–сертификаты».
Важно! Не удаляйте заменяемый сертификат из раздела «SSL-сертификаты» до тех пор, пока контент не будет раздаваться с помощью нового сертификата. Следуйте шагам, описанным выше, иначе замена сертификата произойдет с прерыванием доставки контента.
Особенности ввода данных сертификата и приватного ключа
- Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения .pem, .crt, или .cer. \
- Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA.
- Данные в поле Certificate необходимо вставлять, включая теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.
- Цепочки сертификатов должны быть вставлены слитно.
- В конце цепочки сертификатов должна быть пустая строка.
- Откройте файл с приватным ключом (.key) в приложении «Блокнот».
- Скопируйте и вставьте ключ, включая теги -----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.
- Нажмите «Создать SSL-сертификат».
- Сертификат появится в разделе «SSL-сертификаты», а если добавление происходило в момент создания ресурса - сертификат также привяжется к ресурсу.
Уведомления об истечении срока действия SSL-сертификатов
Уведомления об истечении срока действия SSL-сертификатов, добавленных в раздел «SSL-сертификаты», отображаются в личном кабинете и пересылаются на почту пользователям аккаунта с ролями «Администратор» и «Инженер».
Важно! Let’s Encrypt сертификаты, выпущенные в настройках CDN-ресурса, продлеваются автоматически, поэтому уведомлений об истечении срока действия таких сертификатов не предусмотрено.
Пользователи уведомляются по почте:
- За 14 дней до истечения сертификата.
- За 7 дней до истечения сертификата.
- В день истечения сертификата.
При входе в личный кабинет будет отображаться напоминание с указанием на сертификат, подлежащий обновлению:
Раздел «SSL-сертификаты» будет отмечен восклицательным знаком, если есть уже истекшие сертификаты или те, которые истекут в ближайшие 14 дней:
В разделе SSL-сертификаты напротив сертификатов, нуждающихся во внимании, будут стоять специальные символы:
- Если сертификат истекает через 14 или менее дней.
- Если сертификат уже истёк.
«Let’s Encrypt» сертификат
Если у вас нет собственного SSL-сертификата, в личном кабинете есть возможность подключить бесплатный «Let’s Encrypt» сертификат.
Подключение «Let’s Encrypt» сертификата
1. Создайте CDN-ресурс с собственным значением персонального домена.
2. Добавьте CNAME-запись в настройках DNS домена.
3. В настройках ресурса активируйте плашку «Поддержка HTTPS» и нажмите «Добавить SSL сертификат».
4. Выберите «Получить бесплатный сертификат Let’s Encrypt» и нажмите «Получить SSL-сертификат».
Получение сертификата может занять до 30 минут. В течение этого времени нельзя:
- выключать поддержку HTTPS
- выбирать другой сертификат
- прерывать выпуск текущего сертификата
Важно! Получение сертификата занимает до 30 минут в случае, если вы оформялете его на только что созданный ресурс, т.к конфигурация нового ресурса еще не применена на всех CDN-cерверах. Если конфигурация ресурса уже присутствует на всех CDN-серверах, получение Let's Encrypt сертификата происходит менее чем за пару минут.
Если во время выпуска сертификата произойдет ошибка, опция «Поддержка HTTPS» выключится, а на вашу почту уйдет уведомление с описанием причины и дальнейшими действиями.
Письма отправляются также всем вашим пользователям с ролями «Administrators» и «Engineers».
Внимание! Выпустить сертификат «Let's Encrypt» можно только на существующий ресурс. Если CNAME ресурса не направлена на нас в настройках DNS домена или источник не доступен, сертификат не выпишется.
На один ресурс в один момент времени может быть выдан только один сертификат «Let's Encrypt».
Если вы захотите добавить или удалить второй персональный домен для ресурса, после сохранения изменений мы перевыпустим сертификат.
Пока ресурс активен, сертификат продлевается автоматически.
Попытка замены сертификата происходит за 30 дней до окончания срока действия предыдущего. Предпринимается одна попытка перевыпуска. В случае, если сертификт выписать не удалось, на вашу почту придёт уведомление.
Важно! В случае неудачной попытки перевыпуска, сертификат продолжит работать ещё 30 дней. После чего контент станет недоступным по HTTPS. Чтобы избежать прерывание доставки контента, запросите перевыпуск сертификата самостоятельно. Для этого в личном кабинете сначала отзовите Let's Encrypt сертификат, а затем подключите Let's Encrypt сертификат заново.
Удаление «Let’s Encrypt» сертификата
Чтобы удалить сертификат, перейдите в настройки ресурса и нажмите «Отозвать сертификат Let's Encrypt» в разделе «Поддержка HTTPS».
Перед тем как отозвать сертификат, подтвердите действие.
Важно! Через API-запрос замена «Let's Encrypt» сертификата на собственный сертификат выполняется без необходимости сначала отзывать «Let's Encrypt» сертификат.
Ограничения и особенности опции
- Сертификат не выдается на wildcard-домен.
- Если на ресурс выписан «Let's Encrypt» сертификат, селектор выбора личных сертификатов не отображается. Личные сертификаты станут доступны для выбора после удаления «Let's Encrypt» сертификата.
- Выпущенные Let’s Encrypt сертификаты не отображаются во вкладке «SSL-сертификаты».
- «Let’s Encrypt» сертификат отображается только в настройках ресурса, для которого он выписан.
- Выписка и отзыв «Let's Encrypt» сертификата не требуют сохранения настроек ресурса.
- Если вы используете DNS Cloudflare, для опции CNAME Flattering необходимо выбирать вариант Flatten CNAME at root. Иначе сертификат не будет выписан!
Если выбрать Flatten all CNAMEs, вместо CNAME будет передаваться А-запись и сертификат не будет выписан.
Общий SSL-сертификат (gcdn.co)
Бесплатный общий SSL-сертификат доступен, если CNAME-запись задана в зоне gcdn.co. После создания ресурса сертификат автоматически будет подключен к ресурсу, и файлы будут доступны по HTTPS.