Чтобы добавить SSL-сертификат к основному сайту или дополнительным доменам, перейдите в настройки ресурса и нажмите кнопку «Редактировать» рядом с полем «SSL»
Существует 3 варианта настройки SSL-сертификата:
- None
- Let's Encrypt
- Custom.
None
SSL-сертификат не добавляется, ресурс отдает контент по протоколу HTTP.
Let's Encrypt
Опция платная, для активации обратитесь в техническую поддержку.
Сертификат Let's Encrypt выдается на 90 дней с возможностью автоматического продления.
Для выписки сертификата всегда требуется показать центру сертификации, что тот, кто его запрашивает, имееет отношение к домену. В нашем случае этим подтверждением выступает А-запись, в которой вы меняете свой IP на IP защиты. Мы не сможем выпустить сертификат, пока вы не смените А-запись в ваших DNS настройках. Также важно учесть и скорость обновления кешированных записей на DNS серверах (зависит от параметра TTL): пока записи не обновятся, часть трафика будет идти мимо IP защиты и при запросе центр сертификации может увидеть, что домен смотрит на ваш IP, а не IP защиты и отказать в выпуске сертификата. Минус этой настройки — временная недоступность сайта по HTTPS.
После завершения настройки и выпуска сертификата его продление осуществляется автоматически, если в настройках личного кабинета у вас выбрана опция Let's Encrypt.
Если после выпуска Let's Encrypt сертификата вы захотите переключиться на раздачу по HTTP и выберите None, сертификат не будет продлен, но продолжит действовать до конца своего срока.
Custom
Вы можете добавить любой полученный вами SSL-сертфикат, скопировав в соответствующие поля сертификат в формате PEM и приватный ключ. Работа по своевременной замене/обновлению таких сертификатов ложится на вас.
Как начать использовать Let's Encrypt сразу?
Как упоминалось выше, мы не сможем выпустить сертификат, пока вы не смените А-запись в ваших DNS-настройках. Чтобы пропустить период недоступности сайта по HTTPS, воспользуйтесь такой схемой:
- Не меняя А-запись, выпустите Let's Encrypt сертификат самостоятельно
- Добавьте этот сертификат в настройках SSL в личном кабинете как Custom
- Смените А-запись в ваших DNS-настройках
- Подождите пока старые записи удалятся из кеша DNS серверов (ориентируйтесь на TTL, заданный в DNS настройках)
- В настройках SSL переключитесь с Custom на Let's Encrypt и сохраните изменения.
При переключении мы перевыпустим Let's Encrypt сертификат и будет автоматически продлять его без вашего участия.