Если вы хотите, чтобы ваш сайт стал безопасным местом и все отправляемые на него данные шифровались, то он должен работать по протоколу HTTPS — по защищенному соединению. Для этого установите на сайт SSL-сертификат.
Подробнее про защищенное соединение и SSL-сертификаты мы писали в другой статье. Здесь расскажем о сертификате, который выпускает Министерство цифрового развития, связи и массовых коммуникаций.
Особенности сертификата от Минцифр
Кому нужен:
- организациям, попавшим под санкции
- государственным бюджетным организациям
- тем, кто просто хочет использовать его как альтернативу бесплатному сертификату Let’s Encrypt
Сертификат выдается бесплатно на год. Его можно получить через личный кабинет вашей организации на Госуслугах.
На девайсах посетителей сайта должен быть установлен корневой сертификат от Минцифры — для поддержки SSL-сертификата от Минцифры и корректной работы вашего сайта. Иначе сайт будет открываться с предупреждением о небезопасном подключении. Корневой сертификат предустановлен только в Яндекс Браузер и Атом. Пользователи других браузеров могут скачать и установить его отсюда: https://www.gosuslugi.ru/tls
Выпуск SSL-сертификата
Вам понадобятся:
- Личный кабинет на Госуслугах
- УКЭП — усиленная квалифицированная электронная подпись
- Домен, зарегистрированный на юрлицо
Да, сертификат можно выпустить только для домена, оформленного на юрлицо. Напишите нам в поддержку, если ваш домен находится под управлением Спринтхост и оформлен на физлицо — мы поможем сменить администратора домена.
Выпуск происходит примерно так:
- Владелец домена (юрлицо) отправляет подписанную заявку на портале Госуслуг
- Госуслуги проверяют принадлежность домена
- Если всё хорошо, домен помещается в публичный список по адресу www.gosuslugi.ru/tls
- НУЦ выписывает сертификат для сайта. Это обычный RSA с длинным ключом. Дальше ключи можно использовать как обычные SSL-сертификаты
Что нужно для заказа SSL
Нужно выполнить пару манипуляций:
- Создайте запрос и приватный ключ
- Подпишите запрос с помощью УКЭП
- Отправьте заявку на портале Госуслуг
Расшифруем первые шаги:
- Создайте запрос и приватный ключ
Поможет сервис OpenSSL. На разных ОС этот процесс отличается.
Показать для Linux
- Откройте терминал (Ctrl + Alt + T)
- Выполните команду:
openssl req -out certificate_name.csr -new \
-subj "/C=RU/ST=Moscow/L=Moscow/O=Organization/CN=.domain.ru" \
-addext "keyUsage = digitalSignature, keyEncipherment" \
-addext "subjectAltName = DNS:domain.ru, DNS:www.domain.ru, DNS:.domain.ru" \
-addext "extendedKeyUsage = serverAuth" \
-newkey rsa:2048 -nodes -keyout certificate_name.keyГде:
- certificate_name — название сертификата
- Moscow — город, в котором зарегистрирована организация
- Organization — название организации
- domain.ru — домен, для которого выпускается сертификат
- Проверьте запрос с помощью команды:
openssl req -in certificate_name.csr -noout -text
Вместо certificate_name укажите имя запроса из 3-го пункта.
Если запрос был создан правильно, на экране появится что-то похожее:
Показать для Windows
- В меню «Пуск» откройте командную строку
- Создайте запрос с помощью команды:
"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -out certificate_name.csr -new -subj "/C=RU/ST=Moscow/L=Moscow/O=Organization/CN=*.domain.ru" -addext "keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName = DNS:domain.ru, DNS:www.domain.ru, DNS:*.domain.ru" -addext "extendedKeyUsage = serverAuth" -newkey rsa:2048 -nodes -keyout certificate_name.key
Где:
- certificate_name — название сертификата
- Moscow — город, в котором зарегистрирована организация
- Organization — название организации
- domain.ru — домен, для которого выпускается сертификат
- Проверьте запрос с помощью команды:
"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -in "certificate_name.csr" -noout -text
Вместо certificate_name укажите имя запроса из 3-го пункта.
Файлы с расширениями .csr и .key вы можете найти по следующему пути: C:\Users\user_name. Вместо user_name укажите имя пользователя, под которым вы были авторизованы в момент создания запроса.
- Подпишите запрос с помощью УКЭП
Это можно сделать через КриптоПро или другую программу, которую использует ваша организация. После того как файл будет подписан, не забудьте сохранить подпись в формате .sig.
- Отправьте заявку на портале Госуслуг
- Войдите в аккаунт вашей организации
- Нажмите «Получить сертификат»
- Изучите условия получения сертификата и нажмите «Перейти к заявлению»
- Заполните контакты сотрудника, который отвечает за информационную безопасность:
— ФИО
— Номер телефона
— Электронную почтуИ нажмите «Продолжить»
- Прикрепите два файла:
— запрос с расширением .csr
— подпись с расширением .sigИ нажмите «Далее»
Чтобы подтвердить выпуск сертификата, с вами свяжутся по указанным контактам. После этого у вас будет два файла: приватный ключ и сам сертификат.
Узнать подробнее о выпуске SSL-сертификата через Госуслуги можно здесь: https://www.gosuslugi.ru/600283/1/form.
Установка сертификата на хостинге
Чтобы установить сертификат на хостинг, загрузите оба файла — приватный ключ и сертификат — в Файловый менеджер. После создайте тикет в поддержку, укажите в нём домен и путь до загруженных файлов. Мы установим сертификат.
Настроить перенаправление на HTTPS можно с помощью инструкции.
У меня остались вопросы
Нажмите на значок вопроса в Панели управления и напишите в чат поддержки — мы подскажем и, возможно, дополним статью