На этой странице описан процесс обновления SSL-сертификата, если ваш веб-сайт уже настроен на его использование, и срок его действия истекает. Если вам необходимо выполнить первичную установку сертификата (переключить ваш сайт с HTTP на HTTPS), обратитесь к странице "Установка SSL сертификата" в разделе "Администрирование".
Любой SSL-сертификат имеет срок действия, что означает, что он может устареть и, следовательно, его потребуется перевыпустить и вновь установить на вашем сервере.
На этой странице мы объясним процесс обновления SSL-сертификатов. Это довольно простая операция, которая не требует значительных познаний в области системного администрирования.
Платформа Navixy использует веб-сервер под названием Nginx. Чтобы обновить SSL-сертификаты, используемые вашим сайтом, вам нужно открыть конфигурацию Nginx и посмотреть, где находятся текущие файлы сертификатов и закрытых ключей, а затем просто заменить их на новые.
Для нормальной работы веб-сервера необходим не только сертификат. У вас должен быть файл закрытого ключа, который соответствует сертификату. В отсутствии корректного закрытого ключа веб-сервер не сможет запуститься. И сертификат, и закрытый ключ предоставляются центром SSL-сертификации.
Конфигурация Nginx для вашего сайта находится по указанному ниже пути. Откройте содержимое файла с помощью любого текстового редактора.
/etc/nginx/sites-available/navixy.conf
Внутри вы увидите примерно такие строки:
ssl_certificate /etc/nginx/ssl/certificate.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
Это означает, что файлы сертификатов располагаются в директории /etc/nginx/ssl/.
Путь к файлу может быть сокращен до ssl/certificate.crt, если файлы находятся в указанной выше директории. Оба варианта верны.
Конфигурация Nginx для вашего сайта находится по указанному ниже пути. Откройте содержимое файла с помощью любого текстового редактора.
C:\nginx\conf\sites-enabled\navixy.conf
Внутри вы увидите примерно такие строки:
ssl_certificate /ssl/certificate.crt;
ssl_certificate_key /ssl/private.key;
Запись /ssl/ является сокращением для C:\nginx\conf\ssl. Рекомендуется располагать сертификаты в этой папке. Если ваши сертификаты расположены в другой папке, необходимо указать полный путь в конфигурационном файле.
На вашей платформе может быть настроено несколько доменных имён. Наиболее распространённый сценарий - отдельные домены для API, панели администратора и пользовательского интерфейса. В этом случае в конфигурации Nginx будет несколько блоков, начинающихся с server. Путь к сертификату указывается в каждом блоке.
Обратите внимание! Для работы со всеми доменами третьего уровня вам потребуется либо отдельный сертификат для каждого доменного имени, либо wildcard-сертификат (для *.domain.com), либо мультидоменный сертификат.
Настоятельно рекомендуется дать присвоить файлам сертификата и закрытого ключа те же имена, что и у старых файлов, и разместить их в том же месте.
Если имя и/или путь отличаются, обязательно внесите изменения в конфигурацию Nginx.
Цепочка доверия SSL-сертификата
Файл сертификата должен содержать полную цепочку доверия. Это означает, что содержимое файла должно включать не только основной сертификат, который вы планируете установить, но и промежуточный сертификат, корневой сертификат или любую их комбинацию. Состав цепочки доверия определяется эмитентом сертификата.
Такой сертификат называется сертификатом с полной цепочкой (fullchain-сертификатом).
Убедитесь, что выпускаемый вами сертификат содержит цепочку доверия, иначе некоторые функции, например, мобильные приложения, могут работать некорректно.
Если у вас возникли проблемы с построением полной цепочки, обратитесь в удостоверяющий центр, выпустивший сертификат. Вы также можете использовать для построения цепочки доверия какие-либо онлайн-инструменты, к примеру вот этот.
Если вы хотите узнать больше о цепочке доверия, вы можете прочитать объяснение на сайте одной из компаний-эмитентов SSL.
Требование к закрытому ключу
Основное требование к закрытому ключу - он должен соответствовать SSL-сертификату, иначе веб-сервер Nginx не сможет запуститься. Как правило, закрытый ключ предоставляется удостоверяющим центром вместе с сертификатом. Если вы повторно выпускаете сертификат в том же УЦ, закрытый ключ зачастую остается прежним и не требует замены.
Вы можете дополнительно убедиться в соответствии сертификата закрытому ключу с помощью онлайн-инструментов, таких как этот.