В последнее время только ленивый не говорит, что надо переходить на https, что вот-вот уже с этого года хром заблокирует все сайты на http ну или на весь экран будет показывать, что сайт опасный, что лучше 100 раз подумать чем на него заходить. Мы на эту панику не ведемся, нам известно как могут проседать позиции при переходе на https, но всё таки с сертификатом лучше чем без него, тем более, что получить его можно абсолютно бесплатно и с недавних пор сразу на 3 года. Спасибо говорим StartSSL. Опыт использования их сертификата чуть более полугода, всё ок, проблем нет.
1. Регистрация
Заходим на http://startssl.com регистрируемся, там вроде не сложно. У меня аккаунт уже был, поэтому этот вопрос я пропущу.
2. Вход на сайт
Вход на сайт, StartSSL предлагает 2 варианта входа:
- Через сертификат (выданный на ваш email)
- Через одноразовый пароль приходящий на тот же email
По мне так на этот сайт вы заходить будете не часто, только для выпусков новых и перевыпусков старых сертификатов, поэтому достаточно входа по одноразовому паролю, тем более вход через сертификат лично у меня заработал только в IE (но я особо и не танцевал с бубном и другими браузерами)
3. Подтверждаем домен
Нажимаем подтвердить владение доменом
Cоздаем один из предложенных email (например webmaster@domain.ru)
Получаем на указанный email код и вставляем на startssl
Жмем на кнопку перехода к заказу "To Order SSL .."
Нажимаем получить сертификат, вводим наш домен (ещё до 9 поддоменов включить)
Запускаем exe-шник который можно скачать прямо на этой странице сайта startssl (startcomtool.exe). В программе внизу жмем на зеленую кнопку
Сохраняем файл ключа и копируем код из левого окошка из программы на сайт.
Далее переходим в раздел мои сертификаты и качаем его в pem формате
5. Установка SSL сертификата в ISPManager (4 или 5 особо без разницы)
В результате всех действий выше, мы получили файлы .pem(скачали с сайта), .key и .scr (сгенерировали программой)
Заходим в раздел SSL-сертификаты, указыаем что он уже существующий
Создаем новый сертификат
Имя сертификата domain-startssl так будет потом проще понять что это за сертификат (если что-то пойдет не так)
Заполняем поля приватный ключ и сертификат файлами .key и .pem соответственно. Вместе со всякими begin end
В поле цепочка сертификатов, нужно вставить 2 сертификата подряд, один корневой (вкладка Root CA Certificates), второй суб (вкладка Intermediate CA Certificates) брать тут https://www.startssl.com/root
Эти два сертификата нужно слепить вместе, что бы получилось:
um0ABj6y6koQOdjQK/W/7HW/lwLFCRsI3FU34oH7N4RDYiDK51ZLZer+bMEkkySh
NOsF/5oirpt9P/FlUQqmMGqz9IgcgA38corog14=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF5TCCA82gAwIBAgIQal3D5TtOT9B7aR6l/OxkazANBgkqhkiG9w0BAQsFADB9
И последнее, переходим в www домены и у нужного домена включаем SSL
Profit
Вы восхитительны!
Вот ещё крутой сервис для проверки установленного сертификата https://www.sslshopper.com/ssl-checker.html
Все галочки должны быть зелеными. Обязательно проверьте, я попался на этом, в хроме всё подцепилось даже с пустым полем цепочки сертификатов, но как оказалось огненный лис против таких махинаций и не использует своих серверов для проверки сертификатов, а значит без цепочки не сможет проверить ваш сертификат. На скриншотах ниже, успешно пройденная проверка и когда дело дрянь. Успехов
UPD: ISPManager 4 отказался принимать цепочку сертификатов со словами "Ошибка: Цепочка сертификатов имеет неверное значение", при этом в ISPManager 5 таких проблем нет. В этом случае в цепочку достаточно добавить 1 сертификат (вкладка Intermediate CA Certificates) брать тут https://www.startssl.com/root и всё будет отлично.