Как активировать SSL-сертификат

Запрос на получение сертификата цифровой подписи (Certificate Signing Request)

Чтобы получить TLS/SSL-сертификат необходим CSR, который представляет собой структурированный запрос на выпуск сертификата цифровой подписи. Он содержит информацию о владельце домена, его публичный ключ и другую необходимую информацию, которую изготовляющий центр сертификации (Certification authority) применяет для идентификации владельца домена и выпуска сертификата. Его можно создать не только с помощью командной строки MacOS/Linux, но также используя графический интерфейс с использованием MMC (Microsoft Management Console) или Keychain в MacOS, используя веб-приложение или другими способами.

После того как CSR был создан, он отправляется к нам и далее выдающему центру сертификатов, где проверяется его подлинность и выдается соответствующий сертификат.

Если у вас уже есть CSR и теперь необходимо сгенерировать с ним сертификат, вы можете прислать его нам (сразу или заранее, без ключа, или сообщите, что у вас уже есть с прошлого года, используйте тот же).
В CSR для AlphaSSL и DomainSSL обязательно должна отсутствовать опция SAN (Subject Alternative Names), но она может быть в OV/EV-сертификатах.
Ключ рекомендуется длиной 4096 бит, но не менее 2048 бит.

Активация сертификатов AlphaSSL и DomainSSL

После покупки SSL-сертификата его необходимо активировать.
В этой статье мы разберем шаг за шагом процесс активации таких сертификатов, как AlphaSSL и GlobalSign DomainSSL.
Также информация будет полезна в случаях, когда необходимо активировать Wildcard SSL-сертификат, выпускаемый бесплатно Let’s Encrypt.

Активацию условно можно разделить на 2 этапа:
первый — это получить на электронную почту письмо с ТХТ-записью и второй — добавить ее к домену.

Важное уведомление! Организация GlobalSign, которая является Центром сертификации, обязала проверять все SSL-сертификаты, которые выпускаются для российских доменов (рф, moscow, ru, su, и тд), в целях обеспечения безопасности от фишинга пользователей сайтов. В связи с этим точный срок выпуска сертификата неизвестен, но он может занимать как несколько часов, так и длиться до нескольких дней.

Обычно проверка происходит автоматически. При возникновении вопросов мы обязательно дополнительно пришлем сообщение на электронную почту. При активации Organization и Extended, Globalsign напишет вам, чтобы подтвердить информацию об организации в анкете для выпуска сертификата.

Итак, первый шаг, который необходимо сделать, чтобы активировать SSL-сертификат — это получить письмо на электронную почту с ТХТ-записью

ТХТ-запись — это ключевая информация, которую вы должны предоставить центру сертификации для подтверждения владения доменом.
После того как вы закажете SSL-сертификат, вам придет письмо с ТХТ-записью. Это письмо может прийти в течение нескольких часов или дней, зависит от поставщика сертификатов и других различных факторов.

Важно внимательно проверить почту, указываемую при регистрации сертификата, чтобы не пропустить важное сообщение. Сразу после получения письма с ТХТ-записью, следуйте указаниям в письме, чтобы скопировать ТХТ-запись. Ниже — пример, как выглядит TXT-запись, которую необходимо прописать, для активации SSL-сертификата:
example.com. IN TXT "_globalsign-domain-verification=miWqt6NCv-Qd83Z8b_zsNdAaexHFuN«или_acme-challenge.example.com. IN TXT «
jzKcOQI1LjNQmDl33ZtK1zXdXBpLseGm4aaKjJFbnx4»

В этом примере «_acme-challenge.example.com.» — это хост/имя, используемое для записи TXT, а «jzKcOQI1LjNQmDl33ZtK1zXdXBpLseGm4aaKjJFbnx4» — значение для записи TXT, уникальный код, который будет в письме-уведомлении.

Конкретная комбинация хоста/значения зависит от поставщика сертификата и настроек домена.

В том случае, когда у вашего домена установлены такие серверы DNS, как ns1.reg.ru, ns2.reg.ru или ns1.hosting.reg.ru, ns2.hosting.reg.ru, сертификат будет активирован в автоматическом режиме без вашего участия. Вам придет письмо об удачной активации, при этом дополнительные действия с TXT-записю не потребуются.

Инструкции по установке будут отправлены вам на указанный при запросе электронный адрес.

Важный момент! Если вами приобретен и установлен коммерческий сертификат, например, AlphaSSL или DomainSSL, а e-mail указан неверно, то для изменения этих данных нам придется перезаказать услугу. К сожалению, скорректировать контактный электронный адрес для коммерческих SSL-сертификатов нельзя. При переоформлении услуги денежные средства за изначальный заказ не возвращаются.

Если вы установили бесплатный сертификат, то вы можете сообщить нашей службе поддержки support@itsoft.ru о том, что необходимо внести изменения контактного электронного адреса. Наша служба технической поддержки оперативно поможет внести эти изменения.

Второй шаг активации сертификата — добавление TXT-записи

Наиболее часто используемыми в России являются NS-серверы таких регистраторов, как reg.ru и ru-center (nic.ru). Для наглядности рассмотрим reg.ru.

Чтобы активировать полученный сертификат с помощью DNS-серверов reg.ru (ns1.reg.ru и ns2.reg.ru; ns1.hosting.reg.ru и ns2.hosting.reg.ru; ns5.hosting.reg.ru и ns6.hosting.reg.ru) следует прописать вашу TXT-запись, выполнив следующие шаги:

1. Войдите в ЛК reg.ru.
2. Выберите ваш домен, перейдя в подраздел «Управление доменом».
3. Найдите «Управление DNS» и кнопку «Добавить запись», далее тип записи «TXT» и введите имя хоста (например, «_domainkey»).
4. В область «Значение» введите TXT-запись, полученную от вашего SSL-поставщика.
5. Сохраните новые изменения.

После проделанных шагов нужно немного подождать, пока DNS-серверы обновят данные (иногда это может занимать до 24 часов) и проверить корректность добавления TXT-записи.

Обращаем ваше внимание на важный момент, что TXT-запись применяется исключительно, чтобы активировать сертификат. Удалите ее из доменной зоны после получения сертификата.

Как только добавится TXT-запись, начнется активация сертификата. Для примера, активация AlphaSSL и DomainSSL может длиться до 12 часов. Исключением являются IDN-домены, такие, как .РФ, .РУС, включая с фишинг-риском, в этих ситуациях придется ждать дольше из-за более тщательной проверки.

После того как сертификат будет получен на электронный адрес, необходимо его установить. Для этого настройте ваш веб-сервер для использования SSL-сертификата.

Если у вас по каким-то причинам нет возможности установить самостоятельно сертификат, то вы можете обратиться к ITSOFT, — наши сотрудники помогут вам с установкой и активацией.

Проверьте корректность установки сертификата, используя специальные инструменты для проверки SSL-сертификатов, например, https://www.ssllabs.com/ssltest, https://globalsign.ssllabs.com или из командной строки linux/mac - https://testssl.sh.

Остались вопросы? Напишите нам, заполнив форму ниже, мы обязательно постараемся вам помочь.