База знаний

Инструкции и ответы на вопросы о хостинге, работе сайтов и приложений

Как заказать SSL-сертификат через Госуслуги

Если вы хотите, чтобы ваш сайт стал безопасным местом и все отправляемые на него данные шифровались, то он должен работать по протоколу HTTPS — по защищенному соединению. Для этого установите на сайт SSL-сертификат.

Подробнее про защищенное соединение и SSL-сертификаты мы писали в другой статье. Здесь расскажем о сертификате, который выпускает Министерство цифрового развития, связи и массовых коммуникаций.

Особенности сертификата от Минцифр

Кому нужен:

  • организациям, попавшим под санкции
  • государственным бюджетным организациям
  • тем, кто просто хочет использовать его как альтернативу бесплатному сертификату Let’s Encrypt

Сертификат выдается бесплатно на год. Его можно получить через личный кабинет вашей организации на Госуслугах.

На девайсах посетителей сайта должен быть установлен корневой сертификат от Минцифры — для поддержки SSL-сертификата от Минцифры и корректной работы вашего сайта. Иначе сайт будет открываться с предупреждением о небезопасном подключении. Корневой сертификат предустановлен только в Яндекс Браузер и Атом. Пользователи других браузеров могут скачать и установить его отсюда: https://www.gosuslugi.ru/tls

Выпуск SSL-сертификата

Вам понадобятся:

  1. Личный кабинет на Госуслугах
  2. УКЭП — усиленная квалифицированная электронная подпись
  3. Домен, зарегистрированный на юрлицо

Да, сертификат можно выпустить только для домена, оформленного на юрлицо. Напишите нам в поддержку, если ваш домен находится под управлением Спринтхост и оформлен на физлицо — мы поможем сменить администратора домена.

Выпуск происходит примерно так:

  1. Владелец домена (юрлицо) отправляет подписанную заявку на портале Госуслуг
  2. Госуслуги проверяют принадлежность домена
  3. Если всё хорошо, домен помещается в публичный список по адресу www.gosuslugi.ru/tls
  4. НУЦ выписывает сертификат для сайта. Это обычный RSA с длинным ключом. Дальше ключи можно использовать как обычные SSL-сертификаты

Что нужно для заказа SSL

Нужно выполнить пару манипуляций:

  1. Создайте запрос и приватный ключ
  2. Подпишите запрос с помощью УКЭП
  3. Отправьте заявку на портале Госуслуг

Расшифруем первые шаги:

  1. Создайте запрос и приватный ключ

    Поможет сервис OpenSSL. На разных ОС этот процесс отличается.

    1. Откройте терминал (Ctrl + Alt + T)
    2. Выполните команду: openssl req -out certificate_name.csr -new \
      -subj "/C=RU/ST=Moscow/L=Moscow/O=Organization/CN=.domain.ru" \
      -addext "keyUsage = digitalSignature, keyEncipherment" \
      -addext "subjectAltName = DNS:domain.ru, DNS:www.domain.ru, DNS:.domain.ru" \
      -addext "extendedKeyUsage = serverAuth" \
      -newkey rsa:2048 -nodes -keyout certificate_name.key

      Где:

      • certificate_name — название сертификата
      • Moscow — город, в котором зарегистрирована организация
      • Organization — название организации
      • domain.ru — домен, для которого выпускается сертификат
    3. Проверьте запрос с помощью команды: openssl req -in certificate_name.csr -noout -text

      Вместо certificate_name укажите имя запроса из 3-го пункта.

    4. Если запрос был создан правильно, на экране появится что-то похожее:

    1. В меню «Пуск» откройте командную строку
    2. Создайте запрос с помощью команды: "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out certificate_name.csr -new -subj "/C=RU/ST=Moscow/L=Moscow/O=Organization/CN=*.domain.ru" -addext "keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName = DNS:domain.ru, DNS:www.domain.ru, DNS:*.domain.ru" -addext "extendedKeyUsage = serverAuth" -newkey rsa:2048 -nodes -keyout certificate_name.key

      Где:

      • certificate_name — название сертификата
      • Moscow — город, в котором зарегистрирована организация
      • Organization — название организации
      • domain.ru — домен, для которого выпускается сертификат
    3. Проверьте запрос с помощью команды: "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "certificate_name.csr" -noout -text

      Вместо certificate_name укажите имя запроса из 3-го пункта.

      Файлы с расширениями .csr и .key вы можете найти по следующему пути: C:\Users\user_name. Вместо user_name укажите имя пользователя, под которым вы были авторизованы в момент создания запроса.

  2. Подпишите запрос с помощью УКЭП

    Это можно сделать через КриптоПро или другую программу, которую использует ваша организация. После того как файл будет подписан, не забудьте сохранить подпись в формате .sig.

  3. Отправьте заявку на портале Госуслуг
    1. Войдите в аккаунт вашей организации
    2. Нажмите «Получить сертификат»
    3. Изучите условия получения сертификата и нажмите «Перейти к заявлению»
    4. Заполните контакты сотрудника, который отвечает за информационную безопасность:
      — ФИО
      — Номер телефона
      — Электронную почту

      И нажмите «Продолжить»

    5. Прикрепите два файла:
      — запрос с расширением .csr
      — подпись с расширением .sig

      И нажмите «Далее»

Чтобы подтвердить выпуск сертификата, с вами свяжутся по указанным контактам. После этого у вас будет два файла: приватный ключ и сам сертификат.

Узнать подробнее о выпуске SSL-сертификата через Госуслуги можно здесь: https://www.gosuslugi.ru/600283/1/form.

Установка сертификата на хостинге

Чтобы установить сертификат на хостинг, загрузите оба файла — приватный ключ и сертификат — в Файловый менеджер. После создайте тикет в поддержку, укажите в нём домен и путь до загруженных файлов. Мы установим сертификат.

Настроить перенаправление на HTTPS можно с помощью инструкции.

У меня остались вопросы

Нажмите на значок вопроса в Панели управления и напишите в чат поддержки — мы подскажем и, возможно, дополним статью

Была ли эта инструкция полезной?