После генерации CSR-запроса и заказа SSL сертификата следует установить приобретенные сертификаты .CRT и .CA на сервер 1C-Битрикс.
Файлы для установки SSL сертификата разместятся в панели управления cloudlite (меню SSL):
.CA - файл цепочки сертификатов Центра Сертификации (Certificate Authority).
.CRT - файл сертификата для Вашего сайта (сайтов).
Теперь нужно загрузить файлы на веб-сервер
Загрузите представленные в панели управления файлы .ca и .crt на веб-сервер 1С-Битрикс. Проще всего загрузить эти файлы сначала на другой компьютер, после чего перенести их на сервер любым из описанных ниже способов.
Внимание: предполагается, что нужная для функционирования пара закрытый/открытый ключ генерируется на том же веб-сервере 1С-Битрикс, куда будет перенесен купленный сертификат. При условии создания ключей на другом компьютере необходимо дополнительно перенести файл закрытого ключа .key на Ваш веб-сервер аналогично представленной ниже технологии копирования файлов сертификатов.
Перенос сертификатов с компьютера Linux/Mac OS:
Оптимальный вариант загрузки сертификатов на сервер – при помощи опции SCP, встроенной в возможность терминала компьютера:
Загрузите файлы .CA и .CRT из панели управления на Ваш компьютер. Откройте терминал и папку, где были сохранены сертификаты (напр., Downloads):
cd ~/Downloads
Теперь скопируйте сертификаты Вашего сайта и Центра Сертификации на веб-сервер:
scp crt.crt ca.crt user@1.22.33.44:/etc/ssl
Здесь:
scp - команда копирования файлов
mydomain.ru_crt.crt - имя загруженного из панели файла сертификата Вашего веб-сайта
mydomain.ru_ca.crt - имя загруженного из панели файла сертификата Центра Авторизации
user - имя Вашего пользователя для подключения к серверу через ssh (часто используется root)
1.22.33.44 - IP-адрес вашего веб-сервера
/etc/ssl - директория на удаленном сервере, куда будете сохранять загружаемые файлы.
Как перенести сертификаты с компьютера Windows:
Скачайте и установите программу WinSCP.
Запустите WinSCP и в новом окне наберите данные, используемые для подключения к Вашему серверу по SSH.
В левой части окна программы отображены файлы на локальном компьютере, в правой - на удаленном сервере. Отметьте или создайте директорию, куда будете сохранять сертификаты, в правой части окна. Перенесите файлы .CA и .CRT в эту директорию из левой части окна.
Внимание: для Вашего удобства рекомендуем в дальнейшем перенести файл закрытого ключа (.key) в ту же директорию, где теперь расположены файлы сертификатов. Это необязательно, но в этом случае нужно запомнить путь до этого файла и в дальнейшем отметить его в файле конфигурации Apache вместо пути, приведенного в примере.
Если закрытый ключ .key Вы сгенерировали прямо на сервере, то для его копирования в другую директорию подойдет такая команда:
cp /home/root/private.key /etc/ssl/private.key
Здесь:
cp - команда копирования
/home/root/ - путь до файла ключа
private.key - имя файла ключа
/etc/ssl/private.key – путь копирования файла ключа
Удаление файла ключа из старого расположения производится командой:
rm /home/root/private.key
Как настроить сервер 1C-Битрикс на работу SSL сертификата
После копирования файлов сертификата сайта и Центра Сертификации нужно настроить параметры Вашего сервера 1С-Битрикс. Подключитесь к серверу по SSH от имени пользователя root и выполните такие действия:
1. После подключения к серверу будет отображена консоль 1С-Битрикс с доступными действиями (Available Actions). Потребуется командная строка CentOS. Нажмите 0 для перехода в нее.
2. Ранее загруженные на сервер файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) объедините в один документ:
cat /etc/ssl/mydomain.ru_crt.crt /etc/ssl/mydomain.ru_ca.crt >> mydomain.crt
3. Откройте файл конфигурации ssl.conf:
nano /etc/nginx/bx/conf/ssl.conf
Внимание: если редактор nano не установлен на сервере, установите его командой yum install nano.
4. В открытом файле настройте пути до загруженных ранее файлов сертификатов:
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
Здесь:
/etc/ssl/mydomain.crt - путь до файла сертификатов Вашего сайта и центра сертификации
/etc/ssl/private.key - путь к файлу Вашего закрытого ключа
Пример файла ssl.conf:
# If they come here using HTTP, bounce them to the correct scheme
# Nginx internal code used for the plain HTTP requests
# that are sent to HTTPS port to distinguish it from 4XX in a log and an error page redirection.
error_page 497 https://$host$request_uri;
# Increase keepalive connection lifetime
keepalive_timeout 70;
keepalive_requests 150;
# SSL encryption parameters
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESG$
ssl_prefer_server_ciphers on;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
# performance
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
5. Теперь активируйте опцию SSL в консоли управления 1C-Битрикс. Отключитесь от сервера, а потом повторно подключитесь к нему по SSH.
Откроется консоль Available Actions, введите в ней 6 (Manage sites in the pool), а затем 5 (Change https settings on sites).
Если на сервере Битрикс установлен только один веб-сайт, просто нажмите Enter в ответ на запрос имени сайта (Enter site name). Если сайтов больше одного, наберите название веб-сайта, для которого установлен SSL сертификат, и нажмите Enter. Вам предложат отключить доступ по HTTP (незащищенному протоколу) для данного сайта. Хотите сохранить такой доступ - нажмите n. Для доступности сайта только по защищенному протоколу https - нажмите Y.
6. Перезагрузите сервер
Reboot
Проверьте настройки
Установка SSL сертификата на CMS 1С-Битрикс окончена. Теперь откройте Ваш веб-сайт в браузере по протоколу https (например, https://mydomain.ru). При правильной установке сертификата в адресной строке браузера появится иконка замка, и при клике на нее отобразится информация о приобретенном SSL сертификате!
techsupport@cloudlite.ru - служба техподдержки
sales@cloudlite.ru - вопросы по услугам, оплате, документам и партнерству
partner@cloudlite.ru - партнерская программа