webh.pl
Panel klienta

Certyfikat SSL komercyjny i instalacja własnego certyfikatu

Kiedy zamiast darmowego Let's Encrypt wybrać płatny certyfikat SSL, jak go zamówić i zweryfikować w panelu oraz jak poprawnie zainstalować własny certyfikat z pełnym łańcuchem.

  • czytania
  • Zaktualizowano:
SSL i HTTPS
Hosting

W większości przypadków darmowy Let’s Encrypt jest dokładnie tym, czego potrzebujesz: szyfruje połączenie tak samo jak certyfikat komercyjny i odnawia się automatycznie. Są jednak sytuacje, w których konieczny jest własny, płatny certyfikat: gdy organizacja wymaga konkretnego wystawcy (np. z wymagań audytu lub zgodności), gdy potrzebujesz certyfikatu o rozszerzonej walidacji (EV), gdy chcesz użyć certyfikatu na zewnętrznym serwerze, gdy musisz pokryć jednym dokumentem dużą liczbę różnych domen (certyfikat multi-SAN) albo gdy kupiłeś już certyfikat w innym miejscu. Ten poradnik wyjaśnia, kiedy ma to sens i jak przejść przez zamówienie, walidację oraz instalację.

Kiedy warto rozważyć certyfikat komercyjny

  • Wymóg lub gwarancja po stronie firmy. Niektóre procedury wymagają płatnego certyfikatu z gwarancją wystawcy albo rozszerzonej walidacji (EV).
  • Wiele domen w jednym certyfikacie. Certyfikat multi-SAN pokrywa jednym dokumentem dużą liczbę różnych domen.
  • Użycie na zewnętrznej maszynie. Darmowego Let’s Encrypt z naszego panelu nie da się wyeksportować (nie udostępniamy pliku klucza) do użycia poza naszym hostingiem, a do tego odnawia się on co trzy miesiące. Na własnym serwerze wygodniejszy bywa certyfikat komercyjny, ważny około 200 dni.
  • Masz już wykupiony certyfikat w innym miejscu i chcesz go zainstalować na koncie.

Informacja

Dla samej strony na hostingu webh certyfikat komercyjny nie daje większego bezpieczeństwa niż darmowy Let’s Encrypt, bo szyfrowanie połączenia jest identyczne. Płatny certyfikat wybieraj świadomie, gdy realnie potrzebujesz którejś z powyższych rzeczy.

Czego nie obejmuje oferta komercyjna

  • Brak komercyjnego certyfikatu wildcard (na wszystkie subdomeny). Jeśli potrzebujesz objąć subdomeny jednym certyfikatem, użyj darmowego wildcard od Let’s Encrypt.
  • Dostępne są certyfikaty z walidacją domeny (DV), na przykład PositiveSSL od Sectigo (dawniej Comodo).

Co musisz przygotować

Do instalacji własnego certyfikatu potrzebujesz trzech elementów od wystawcy:

  • Klucz prywatny (plik .key), tworzony po Twojej stronie przy generowaniu żądania CSR; wystawca certyfikatu go nigdy nie widzi ani nie przechowuje.
  • Certyfikat (plik .crt), wydawany przez wystawcę po weryfikacji domeny.
  • Łańcuch certyfikatów (CA bundle, plik .crt lub .ca-bundle), czyli certyfikaty pośrednie łączące Twój certyfikat z zaufanym centrum certyfikacji.

Klucz prywatny generujesz lokalnie przy tworzeniu żądania CSR (np. przez OpenSSL). Wystawca dostarcza certyfikat i łańcuch pośredni, razem lub w jednym pliku .pem.

Wskazówka

Jeśli wystawca przesłał Ci jeden plik .pem zamiast oddzielnych plików, otwórz go w edytorze tekstu. Znajdziesz tam kilka bloków między -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----. Pierwszy blok to Twój certyfikat, kolejne tworzą łańcuch pośredni.

Informacja

Nowoczesne certyfikaty SSL mają maksymalny okres ważności około 200 dni. Jeśli kupiłeś certyfikat „na 2 lata", po tym okresie wystawca wymaga ponownego wystawienia i instalacji nowego dokumentu.

Zamówienie certyfikatu komercyjnego z panelu

W panelu klienta przejdź Produkty/Usługi → Certyfikaty SSL → Zamówienie.

Informacja

Zamówienie powiedzie się tylko wtedy, gdy domena odpowiada prawidłowymi rekordami DNS (potrzebne do potwierdzenia, że domena należy do Ciebie). Miejsce zakupu domeny nie ma tu znaczenia.

Walidacja, czyli potwierdzenie domeny

Wystawcą jest Sectigo. Niektóre certyfikaty (np. Comodo, DigiCert) przed wydaniem wymagają potwierdzenia, że faktycznie jesteś właścicielem domeny. Do potwierdzenia wybierasz jedną z metod:

  • E-mail: na adres administracyjny w domenie (np. [email protected], [email protected]).
  • Plik HTTP: umieszczasz wskazany plik w katalogu .well-known/pki-validation/ (np. HASH.txt).
  • DNS: dodajesz wskazany rekord (CNAME lub TXT) w strefie DNS.

Jeśli nie masz dostępu do skrzynki administracyjnej, metodę walidacji można zmienić na plik lub DNS. Instrukcję z wymaganymi danymi znajdziesz w panelu wystawcy lub po kliknięciu opcji Zobacz przy danym certyfikacie w zakładce Certyfikaty SSL. Jak dodawać rekordy DNS opisujemy w poradniku o zarządzaniu strefą DNS.

Instalacja certyfikatu w panelu hostingowym

Automatycznie po walidacji instaluje się tylko darmowy Let’s Encrypt. Certyfikat komercyjny - niezależnie od tego, czy zamówiłeś go u nas, czy kupiłeś gdzie indziej - instalujesz samodzielnie w tym samym miejscu:

  1. Zaloguj się do panelu klienta i przejdź do Produkty/Usługi → Hosting WWW → Do panelu.
  2. Otwórz zakładkę Certyfikaty SSL.
  3. Wybierz opcję dodania własnego certyfikatu (inną niż Let’s Encrypt) i wskaż, dla której strony ma obowiązywać.
  4. Wklej zawartość klucza prywatnego, certyfikatu i łańcucha certyfikatów w odpowiednich polach.
  5. Zapisz i poczekaj chwilę na aktywację.

Po instalacji sprawdź w przeglądarce, czy wyświetlany certyfikat jest właściwy. Jeśli pojawia się ostrzeżenie o certyfikacie mimo poprawnej instalacji, najczęstsza przyczyna to brakujący lub nieprawidłowy łańcuch certyfikatów.

Uwaga

Pełny łańcuch jest konieczny. Bez certyfikatu pośredniego strona w przeglądarce może się otwierać, ale część usług (integracje, debugger Facebooka, biblioteki łączące się przez cURL) zgłosi błąd łańcucha. Jeśli wystawca dostarcza kilka certyfikatów pośrednich, wklej je jeden pod drugim.

Odnowienie certyfikatu komercyjnego

W przeciwieństwie do automatycznego Let’s Encrypt, certyfikat komercyjny (ważny około 200 dni) odnawiasz ręcznie. Po opłaceniu odnowienia klikasz link aktywacyjny, a nowy certyfikat pobierzesz w panelu (Certyfikaty SSL → Podgląd) i wgrywasz nowy klucz.

Uwaga

Nie usuwaj starego certyfikatu, zanim go nie odnowisz. Odnowienie jest możliwe dopiero w okienku przed końcem ważności. Po wcześniejszym usunięciu zobaczysz komunikat w stylu „Usługę można przedłużyć tylko po [data]" i stracisz ciągłość zabezpieczenia.

Po zainstalowaniu certyfikatu zadbaj jeszcze o to, żeby strona zawsze otwierała się po https i bez ostrzeżeń o mieszanej treści. Opisujemy to w poradniku o przekierowaniach i wymuszaniu HTTPS oraz w artykule o Let’s Encrypt.

Kiedy Let’s Encrypt w zupełności wystarczy

Jeśli nie masz konkretnych wymagań instytucjonalnych co do wystawcy, bezpłatny Let’s Encrypt daje to samo szyfrowanie co certyfikat komercyjny, odnawianie bez Twojego udziału i obsługę subdomen przez certyfikat wildcard. Szczegóły znajdziesz w poradniku o certyfikacie SSL Let’s Encrypt.

Powiązane artykuły