КАК УСТАНОВИТЬ SSL СЕРТИФИКАТ НА 1С-БИТРИКС

После генерации CSR-запроса и заказа SSL сертификата следует установить приобретенные сертификаты .CRT и .CA на сервер 1C-Битрикс.

Файлы для установки SSL сертификата разместятся в панели управления cloudlite (меню SSL):

.CA - файл цепочки сертификатов Центра Сертификации (Certificate Authority).

.CRT - файл сертификата для Вашего сайта (сайтов).

Теперь нужно загрузить файлы на веб-сервер

Загрузите представленные в панели управления файлы .ca и .crt на веб-сервер 1С-Битрикс. Проще всего загрузить эти файлы сначала на другой компьютер, после чего перенести их на сервер любым из описанных ниже способов.

Внимание: предполагается, что нужная для функционирования пара закрытый/открытый ключ генерируется на том же веб-сервере 1С-Битрикс, куда будет перенесен купленный сертификат. При условии создания ключей на другом компьютере необходимо дополнительно перенести файл закрытого ключа .key на Ваш веб-сервер аналогично представленной ниже технологии копирования файлов сертификатов.

Перенос сертификатов с компьютера Linux/Mac OS:

Оптимальный вариант загрузки сертификатов на сервер – при помощи опции SCP, встроенной в возможность терминала компьютера:

Загрузите файлы .CA и .CRT из панели управления на Ваш компьютер. Откройте терминал и папку, где были сохранены сертификаты (напр., Downloads):

cd ~/Downloads

Теперь скопируйте сертификаты Вашего сайта и Центра Сертификации на веб-сервер:

scp crt.crt ca.crt user@1.22.33.44:/etc/ssl

Здесь:

scp - команда копирования файлов

mydomain.ru_crt.crt - имя загруженного из панели файла сертификата Вашего веб-сайта

mydomain.ru_ca.crt - имя загруженного из панели файла сертификата Центра Авторизации

user - имя Вашего пользователя для подключения к серверу через ssh (часто используется root)

1.22.33.44 - IP-адрес вашего веб-сервера

/etc/ssl - директория на удаленном сервере, куда будете сохранять загружаемые файлы.

Как перенести сертификаты с компьютера Windows:

Скачайте и установите программу WinSCP.

Запустите WinSCP и в новом окне наберите данные, используемые для подключения к Вашему серверу по SSH.

В левой части окна программы отображены файлы на локальном компьютере, в правой - на удаленном сервере. Отметьте или создайте директорию, куда будете сохранять сертификаты, в правой части окна. Перенесите файлы .CA и .CRT в эту директорию из левой части окна.

Внимание: для Вашего удобства рекомендуем в дальнейшем перенести файл закрытого ключа (.key) в ту же директорию, где теперь расположены файлы сертификатов. Это необязательно, но в этом случае нужно запомнить путь до этого файла и в дальнейшем отметить его в файле конфигурации Apache вместо пути, приведенного в примере.

Если закрытый ключ .key Вы сгенерировали прямо на сервере, то для его копирования в другую директорию подойдет такая команда:

cp /home/root/private.key /etc/ssl/private.key

Здесь:

cp - команда копирования

/home/root/ - путь до файла ключа

private.key - имя файла ключа

/etc/ssl/private.key – путь копирования файла ключа

Удаление файла ключа из старого расположения производится командой:

rm /home/root/private.key

Как настроить сервер 1C-Битрикс на работу SSL сертификата

После копирования файлов сертификата сайта и Центра Сертификации нужно настроить параметры Вашего сервера 1С-Битрикс. Подключитесь к серверу по SSH от имени пользователя root и выполните такие действия:

1.       После подключения к серверу будет отображена консоль 1С-Битрикс с доступными действиями (Available Actions). Потребуется командная строка CentOS. Нажмите 0 для перехода в нее.

2.      Ранее загруженные на сервер файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) объедините в один документ:

cat /etc/ssl/mydomain.ru_crt.crt /etc/ssl/mydomain.ru_ca.crt >> mydomain.crt

3.      Откройте файл конфигурации ssl.conf:

nano /etc/nginx/bx/conf/ssl.conf

Внимание: если редактор nano не установлен на сервере, установите его командой yum install nano.

4.      В открытом файле настройте пути до загруженных ранее файлов сертификатов:

ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;

Здесь:

/etc/ssl/mydomain.crt - путь до файла сертификатов Вашего сайта и центра сертификации

/etc/ssl/private.key - путь к файлу Вашего закрытого ключа

Пример файла ssl.conf:

# If they come here using HTTP, bounce them to the correct scheme
# Nginx internal code used for the plain HTTP requests
# that are sent to HTTPS port to distinguish it from 4XX in a log and an error page redirection.
error_page 497 https://$host$request_uri;

# Increase keepalive connection lifetime
keepalive_timeout    70;
keepalive_requests    150;

# SSL encryption parameters
ssl                     on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESG$
ssl_prefer_server_ciphers on;

ssl_certificate         /etc/ssl/mydomain.crt;
ssl_certificate_key     /etc/ssl/private.key;

# performance
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout     10m;

5.      Теперь активируйте опцию SSL в консоли управления 1C-Битрикс. Отключитесь от сервера, а потом повторно подключитесь к нему по SSH.

Откроется консоль Available Actions, введите в ней 6 (Manage sites in the pool), а затем 5 (Change https settings on sites).

Если на сервере Битрикс установлен только один веб-сайт, просто нажмите Enter в ответ на запрос имени сайта (Enter site name). Если сайтов больше одного, наберите название веб-сайта, для которого установлен SSL сертификат, и нажмите Enter. Вам предложат отключить доступ по HTTP (незащищенному протоколу) для данного сайта. Хотите сохранить такой доступ - нажмите n. Для доступности сайта только по защищенному протоколу https - нажмите Y.

6.      Перезагрузите сервер

Reboot

Проверьте настройки

Установка SSL сертификата на CMS 1С-Битрикс окончена. Теперь откройте Ваш веб-сайт в браузере по протоколу https (например, https://mydomain.ru). При правильной установке сертификата в адресной строке браузера появится иконка замка, и при клике на нее отобразится информация о приобретенном SSL сертификате!