Jak zřídit, ověřit a nasadit SSL certifikát


SSL certifikát Single domain nebo Wildcard si můžete v MasterDC zřídit sami bez nutnosti kontaktovat obchodního zástupce. Tento návod popisuje, jak vyřídit SSL certifikát v Zákaznické administraci, jak postupovat při ověřování vlastnictví domény a nasazení certifikátu na sever.

Poznámka: Detaily o SSL certifikátech, které poskytujeme v MasterDC, si můžete přečíst na našem webu. Certifikáty neziskové autority Let’s Encrypt nabízíme pouze pro servery v naší správě.

Zřízení SSL certifikátu

Pro vyřízení certifikátu se registrujte do zákaznického systému MasterDC. Pokud už využíváte naše služby, stačí se přihlásit na adrese https://admin.masterdc.com/. Po přihlášení do Zákaznické administrace zvolte v levém bočním menu možnost Přidat novou službu > SSL. Alternativně můžete v bočním menu vybrat položku SSL certifikáty > Nové SSL.

Na výběr máte ze dvou variant SSL certifikátu – Single domain, platný pouze pro jednu doménu, a Wildcard, platný pro jednu doménu včetně všech jejích subdomén. V našem příkladu jsme zvolili certifikát Single domain.

Screenshot – výběr certifikátu v Zákaznické administraci

Vyplňte název domény, pro kterou chcete certifikát zřídit. Uveďte její celé jméno, ideálně včetně „www“: www.ukazka.cz bude platit i pro ukazka.cz. Pokud uvedete do názvu domény jen „ukazka.cz“, bude certifikát platit pro ukazka.cz, ale ne pro www.ukazka.cz. Pak pokračujte kliknutím na tlačítko Vytvořit službu.

Screenshot – vytvoření certifikátu v Zákaznické administraci

Pokud ještě nemáte vyplněny své fakturační údaje, systém vás vyzve k jejich doplnění. Nakonec zkontrolujte objednávku i fakturační údaje a klikněte na Objednat a zaplatit.

Screenshot – dokončení objednávky certifikátu v Zákaznické administraci

Budete přesměrováni na platební bránu GoPay. Po úspěšném zpracování platby musíte instalaci certifikátu dokončit.

Ověření vlastnictví domény

Pro dokončení instalace SSL certifikátu je potřeba ověřit vlastnictví domény. Pro ověření klikněte na tlačítko Dokončit.

Screenshot ze Zákaznické administrace – ověření vlastnictví domény po úspěšném zaplacení certifikátu

Dostanete se na Detail služby daného certifikátu. Zde vyplňte údaje o certifikátu, jméno, příjmení a e-mail vlastníka a zvolte typ ověření (pomocí DNS nebo File). Pak klikněte na Pokračovat a zobrazí se vám vygenerovaný ověřovací kód.

Screenshot ze Zákaznické administrace – vygenerovaný ověřovací kód

Ověření pomocí DNS

Vygenerovaný ověřovací kód vložte do DNS TXT záznamu domény u registrátora domény a poté stiskněte tlačítko Dokončit ověření.

Způsob zadání záznamu se liší podle použitého registrátora domén. Pokud využíváte naši službu Správa DNS je třeba zadat nový TXT záznam přes modul DNS v zákaznickém systému.

  1. V levém bočním menu klikněte na položku Síťové služby > Správa DNS.
  2. Vyberte doménu, pro niž zřizujete SSL certifikát, a klikněte na Detail.
    Screen ze Zákaznické administrace – detail domény
  3. V detailu služby zascrollujte na konec stránky, kde najdete sekci DNS záznamy > Vytvořit nový záznam.
  4. Do pole Řetězec 1 vyplňte název domény, v Typu záznamu vyberte TXT a do políčka Řetězec 2 vložte ověřovací kód, potvrďte Uložit.
    Screen ze Zákaznické administrace – vyplnění DNS záznamu

Ověření pomocí File

Linux

Ověření je závislé na použitém webserveru. V zásadě lze tento popis využít pro všechny, cesty pro jednotlivé webservery nebo operační systémy se mohou drobně lišit.

  1. Přepneme se do dokumentu rootu dané domény.
    cd /var/www/
  2. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
    mkdir -p .well-known/pki-validation/
  3. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např.:
    echo "e3c6c17c27daffff36a8d33a5a3f56317d1441fa84ba768ecb59ae39e04b8361-certum.pl" > .well-known/pki-validation/certum.txt
  4. Ujistíme se, že je ověřovací záznam nastaven správně, např.:
    wget http://overovana.domena.tld/.well-known/pki-validation/certum.txt

    Nebo ověřením url: http://overovana.domena.tld/.well-known/pki-validation/certum.txt v prohlížeči. Měl by se zobrazit přímo ověřovací záznam bez dalšího formátování a bez uvozovek.

Upozornění: Pokud ověřovací záznam není vidět, může být problém v právech, .htaccess nebo v nastavení virtuálního hosta dané domény. V takovém případě prověřte logy – zda požadavek není z nějakého důvodu přesměrován jinam – a podle toho upravte.

Blokaci požadavku může způsobovat také zapnutý nebo nesprávně nakonfigurovaný SELinux, nebo AppArmor. Pokud je využíváte, prověřte logy a přístup povolte, případně na dobu ověření ochranu dočasně vypněte.

Windows

Ověření probíhá na portu 80, případně 443. Je potřeba zvolit správný dokument root podle domény a bindingů.

  1. Ve složce dané domény vytvoříme složku začínající tečkou.
  2. Nejjednodušší je vytvořit soubor s tečkou na začátku a zároveň tečkou na konci. – „.název-složky.“ Následně uvidíte složku „.název-složky.“ .
  3. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
  4. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např. pomocí programu notepad.

Soubor je potřeba vytvořit podle toho, zda máte zapnuté zobrazování koncovek nebo ne. Při vypnutém zobrazování koncovek je název souboru certum, při zapnutém zobrazování koncovek certum.txt.

Upozornění: Pokud máte zapnuté přesměrování, je potřeba jej upravit, případně dočasně vypnout.

Po dokončení ověření vlastnictví se vraťte do Zákaznické administrace a klikněte na tlačítko Dokončit ověření.

Nasazení SSL certifikátu

Po ověření vlastnictví domény získáte svůj nový certifikát. Ten si nasaďte na server. Ze Zákaznické administrace si lze certifikát stáhnout v PEM formátu, typicky využívaném pro linuxové servery, a PFX formátu vhodném pro Windows a Javu.

Screen ze Zákaznické administrace – certifikát ke stažení

Nasazení na Windows server

Ve Windows certifikát naimportujeme a následně přiřadíme https bindingu v IIS.

Screen – nasazení ve Windows

Doména IIS a certifikátu musí být shodná.

Screen nasazení ve Windows

Nasazení na Linux server

Při nasazení do linuxového serveru je třeba přizpůsobit formát použitému webserveru. V apache je typicky nastaven soubor certifikátu, privátního klíče a mezilehlého certifikátu – obvykle nazývaný chain.

Nginx využívá kombinaci těchto souborů, tzn. certifikátu a chain do jednoho souboru. HAproxy pak očekává všechny 3 soubory, tj. certifikát, chain a privátní klíč za sebou v jednom souboru.

Zneplatnění certifikátu

Certifikáty Single domain i Wildcard platí po dobu 1 roku. Na blížící se konec platnosti vás vždy upozorníme e-mailem. V některých případech však může být potřeba certifikát zneplatnit předčasně, např. pokud dojde k odcizení soukromého klíče. Zneplatnění provedete přes Zákaznickou administraci.

Po přihlášení vyberte v levém bočním menu položku SSL certifikáty, zvolte certifikát, který chcete zneplatnit. V detailu služby se přepněte do záložky Zneplatnění certifikátu. Pokud chcete certifikát zneplatnit a ihned si vyřídit nový se stejnými údaji, vyberte možnost Zneplatnit a obnovit.

Pokud si přejete službu zcela zrušit a certifikát už nepoužívat, klikněte na Zrušit službu.

Screen ze Zákaznické administrace – možnosti zneplatnění certifikátu


Máte nejasnosti nebo nápad na zlepšení článku?

Napište nám