Jak zřídit, ověřit a nasadit SSL certifikát

Poslední aktualizace 22. 4. 2024


SSL certifikát Single domain nebo Wildcard si můžete v MasterDC zřídit sami bez nutnosti kontaktovat obchodního zástupce. Tento návod popisuje, jak vyřídit SSL certifikát v Zákaznické administraci, jak postupovat při ověřování vlastnictví domény a nasazení certifikátu na sever.

Poznámka: Detaily o SSL certifikátech, které poskytujeme v MasterDC, si můžete přečíst na našem webu. Certifikáty neziskové autority Let’s Encrypt nabízíme pouze pro servery v naší správě.

Zřízení SSL certifikátu

Pro vyřízení certifikátu se registrujte do zákaznického systému MasterDC. Pokud už využíváte naše služby, stačí se přihlásit na adrese https://admin.masterdc.com/. Po přihlášení do Zákaznické administrace zvolte v levém bočním menu možnost Přidat novou službu > SSL certifikát.

Na výběr máte ze dvou variant SSL certifikátu – Single domain, platný pouze pro jednu doménu, a Wildcard, platný pro jednu doménu včetně všech jejích subdomén. V našem příkladu jsme zvolili certifikát Single domain.

Screen – Single Domain

Vyplňte název domény, pro kterou chcete certifikát zřídit. Uveďte její celé jméno, ideálně včetně „www“: www.ukazka.cz bude platit i pro ukazka.cz. Pokud uvedete do názvu domény jen „ukazka.cz“, bude certifikát platit pro ukazka.cz, ale ne pro www.ukazka.cz. Pak klikněte na tlačítko Pokračovat.

Screen ze Zákaznické administrace – Název domény

Pokud ještě nemáte vyplněny své fakturační údaje, systém vás vyzve k jejich doplnění. Nakonec zkontrolujte objednávku i fakturační údaje a klikněte na Objednat a zaplatit.

Screen ze Zákaznické administrace – objednat a zaplatit

Budete přesměrováni na platební bránu GoPay. Po úspěšném zpracování platby musíte instalaci certifikátu dokončit.

Ověření vlastnictví domény

Pro dokončení instalace SSL certifikátu je potřeba ověřit vlastnictví domény. Pro ověření klikněte na Dokončete prosím nastavení certifikátu.

Screen ze Zákaznické administrace – Dokončení certifikátu

Dostanete se na Detail služby daného certifikátu. Zde vyplňte údaje o certifikátu, jméno, příjmení a e-mail vlastníka a zvolte typ ověření (pomocí DNS nebo File). Pak klikněte na Pokračovat a zobrazí se vám vygenerovaný ověřovací kód.

Screen ze Zákaznické administrace – Ověřovací kód

Ověření pomocí DNS

Vygenerovaný ověřovací kód vložte do DNS TXT záznamu domény u registrátora domény a poté stiskněte tlačítko Dokončit ověření.

Způsob zadání záznamu se liší podle použitého registrátora domén. Pokud využíváte naši službu Správa DNS je třeba zadat nový TXT záznam přes modul DNS v zákaznickém systému.

  1. V levém bočním menu klikněte na položku Síťové služby > Správa DNS.
  2. V pravém horním rohu klikněte na tlačítko Nová doména a přidejte název domény, pro niž zřizujete SSL certifikát.
  3. Na konci stránky se doména zobrazí v Seznamu domén. Klikněte na ni.
  4. V detailu služby zascrollujte na konec stránky, kde najdete sekci Konfigurace domény > Přidat nový záznam.
  5. Do pole Řetězec 1 vyplňte název domény, v Typu záznamu vyberte TXT a do políčka Řetězec 2 vložte ověřovací kód, potvrďte Uložit.Screen ze Zákaznické administrace – Konfigurace domény

Ověření pomocí File

Linux

Ověření je závislé na použitém webserveru. V zásadě lze tento popis využít pro všechny, cesty pro jednotlivé webservery nebo operační systémy se mohou drobně lišit.

  1. Přepneme se do dokumentu rootu dané domény.
    cd /var/www/
  2. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
    mkdir -p .well-known/pki-validation/
  3. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např.:
    echo "e3c6c17c27daffff36a8d33a5a3f56317d1441fa84ba768ecb59ae39e04b8361-certum.pl" > .well-known/pki-validation/certum.txt
  4. Ujistíme se, že je ověřovací záznam nastaven správně, např.:
    wget http://overovana.domena.tld/.well-known/pki-validation/certum.txt

    Nebo ověřením url: http://overovana.domena.tld/.well-known/pki-validation/certum.txt v prohlížeči. Měl by se zobrazit přímo ověřovací záznam bez dalšího formátování a bez uvozovek.

Upozornění: Pokud ověřovací záznam není vidět, může být problém v právech, .htaccess nebo v nastavení virtuálního hosta dané domény. V takovém případě prověřte logy – zda požadavek není z nějakého důvodu přesměrován jinam – a podle toho upravte.

Blokaci požadavku může způsobovat také zapnutý nebo nesprávně nakonfigurovaný SELinux, nebo AppArmor. Pokud je využíváte, prověřte logy a přístup povolte, případně na dobu ověření ochranu dočasně vypněte.

Windows

Ověření probíhá na portu 80, případně 443. Je potřeba zvolit správný dokument root podle domény a bindingů.

Screen – Default Website Home

  1. Ve složce dané domény vytvoříme složku začínající tečkou.
    Screen – Default Website Home
  2. Nejjednodušší je vytvořit soubor s tečkou na začátku a zároveň tečkou na konci. – „.název-složky.“ Následně uvidíte složku „.název-složky.“ .
    Screen – název složky
  3. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
  4. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např. pomocí programu notepad.
    Screen – certum txt.

Soubor je potřeba vytvořit podle toho, zda máte zapnuté zobrazování koncovek nebo ne. Při vypnutém zobrazování koncovek je název souboru certum, při zapnutém zobrazování koncovek certum.txt.

Screen – PKI validation

Upozornění: Pokud máte zapnuté přesměrování, je potřeba jej upravit, případně dočasně vypnout.

Po dokončení ověření vlastnictví se vraťte do Zákaznické administrace a klikněte na tlačítko Dokončit ověření.

Nasazení SSL certifikátu

Po ověření vlastnictví domény získáte svůj nový certifikát. Ten si nasaďte na server. Ze Zákaznické administrace si lze certifikát stáhnout v PEM formátu, typicky využívaném pro linuxové servery, a PFX formátu vhodném pro Windows a Javu.

Screen ze Zákaznické administrace – certifikát ke stažení

Nasazení na Windows server

Ve Windows certifikát naimportujeme a následně přiřadíme https bindingu v IIS.

Screen – nasazení ve Windows

Doména IIS a certifikátu musí být shodná.

Screen nasazení ve Windows

Nasazení na Linux server

Při nasazení do linuxového serveru je třeba přizpůsobit formát použitému webserveru. V ApacheApacheApache je nejpoužívanější webový server, tzn. že dodává prohlížečům jednotlivé webové stránky…více je typicky nastaven soubor certifikátu, privátního klíče a mezilehlého certifikátu – obvykle nazývaný chain.

Nginx využívá kombinaci těchto souborů, tzn. certifikátu a chain do jednoho souboru. HAproxy pak očekává všechny 3 soubory, tj. certifikát, chain a privátní klíč za sebou v jednom souboru.

Zneplatnění certifikátu

Certifikáty Single domain i Wildcard platí po dobu 1 roku. Na blížící se konec platnosti vás vždy upozorníme e-mailem. V některých případech však může být potřeba certifikát zneplatnit předčasně, např. pokud dojde k odcizení soukromého klíče. Zneplatnění provedete přes Zákaznickou administraci.

Po přihlášení vyberte v levém bočním menu položku SSL certifikáty, zvolte certifikát, který chcete zneplatnit. V detailu služby se přepněte do záložky Zneplatnění certifikátu. Pokud chcete certifikát zneplatnit a ihned si vyřídit nový se stejnými údaji, vyberte možnost Zneplatnit a obnovit.

Pokud si přejete službu zcela zrušit a certifikát už nepoužívat, klikněte na Zrušit službu.

Screen ze Zákaznické administrace – možnosti zneplatnění certifikátu


Máte nejasnosti nebo nápad na zlepšení článku?

Napište nám