Проблемы при подтверждении SSL-сертификата
При заказе, продлении и перевыпуске SSL-сертификата удостоверяющий центр в обязательном порядке проводит процедуру подтверждения владения доменом. Это позволяет убедиться в том, что вы имеете доступ к доменному имени и в последующем сможете воспользоваться файлами для установки сертификата.
Этапы выпуска SSL-сертификата и способы валидации (проверки) домена
В данной статье мы разберем самые распространённые проблемы и ошибки, возникающие во время процедуры подтверждения домена.
При подтверждении по email-адресу
Вы создали почтовый ящик, но письмо с подтверждением так и не пришло
- admin@вашдомен.ru
- administrator@вашдомен.ru
- hostmaster@вашдомен.ru
- postmaster@вашдомен.ru
- webmaster@вашдомен.ru
Если письма нет, возможно, вы создали ящик с другим именем или допустили опечатку. Проверьте, совпадает ли почтовый адрес с именем, которое вы выбрали при настройке сертификата.
Имя почтового ящика верное, но письма до сих пор нет
В этом случае убедитесь, что ваш почтовый домен настроен верно. Для этого проверьте почтовые записи «MX», которые отвечают за входящую почту. MX-записи должны соответствовать тому почтовому сервису, который вы используете.
Редактирование записей происходит на тех серверах имен (NS), которые использует ваш домен. К примеру, возьмём домен testsite.fvds.ru. Проверить его NS можно на любом стороннем сервисе, например whois-service.ru.
В этом случае домен использует наши серверы имен:
- nserver: ns1.firstvds.ru.
- nserver: ns2.firstvds.ru.
А значит, именно на них необходимо проверить корректность MX-записей.
Если домен был создан в панели ISPmanager, то редактирование проходит также в ней. Перейдите в раздел «Домены» – пункт «Доменные имена» – выберите домен и нажмите кнопку «Управлять DNS записями».
MX-записи должны соответствовать виду mail.вашдомен.зона. В нашем случае это mail.testsite.firstvds.ru. Если значение указано неправильно, нажмите «Изменить» и введите верные данные.
Если вы не используете панель ISPmanager, то редактирование проходит в панели DNSmanager. Войти в панель можно с помощью Инструкции: Личный кабинет – раздел «Товары» – пункт «Виртуальные серверы» – выберите сервер и нажмите кнопку «Инструкция» – найдите блок DNSmanager и нажмите кнопку «Перейти».
Панель DNSmanager – раздел «Главное» – пункт «Доменные имена» – выберите домен и нажмите кнопку «Управлять DNS записями».
MX-записи стандартно указываются в панелях при создании домена, и работать почта будет в том случае, если вы и на сервере создаете почтовый домен, почтовый ящик.
Настройка почты на сервере в панели ISPmanager
Если для организации почты вы используете сторонний сервис, например Яндекс, Google или Mail, то именно у них необходимо запрашивать верные MX-записи и указывать на серверах имен доменного имени.
При подтверждении по хэш-файлу
В этом случае вам будет предоставлена ссылка, созданная на основании доменного имени, и содержимое, которое должно отображаться при её открытии. Создание такой страницы выполняется в корневом каталоге сайта.
Пример ссылки:
Пример содержимого:
Обратите внимание, что этот способ недоступен для Wildcard-сертификатов (с защитой поддоменов). Для мультидоменных сертификатов потребуется индивидуальная проверка для каждого домена.
Вы разместили хэш-файл на сервере, но ссылка не работает
Чтобы при переходе по ссылке содержимое отображалось корректно, хэш-файл должен находиться в корневом каталоге сайта /.well-known/pki-validation/. Если вы сохраните его в другой директории, страница будет недоступна.
Проверка доступности файла происходит не в ручном режиме, а с помощью бота.
Проверить правильность размещения файла и его доступность для бота поможет следующая команда:
curl -A » COMODO DCV» —insecure
http://вашдомен.ru/.well-known/pki-validation/названиефайла.txt (ваша ссылка)
Если результат будет в виде содержимого страницы:
То размещение выполнено верно.
Если хэш-файл находится в нужной директории, но ссылка всё ещё не открывается, то возможно у вас существуют такие настройки, как переадресация на другую страницу или порт. В этом случае вам необходимо или обратиться в Службу поддержки для внесения правок, или самостоятельно выполнить работы для исправления ответа.
При подтверждении по записи CNAME
Этот способ считается самым простым и доступным. Вам предоставляются данные для создания записи у домена типа “CNAME”. Например:
Значение записи: 0CC566DD3A78FD055664864144D3B133F78.1BBF12E74EB08B018EBE6FE525AB1C17.comodoca.com.
Вы создали CNAME-запись, но подтверждение не пришло
CNAME-запись необходимо создать на тех серверах имён, которые использует ваш домен.
Например, используя наши серверы имен:
- ns1.firstvds.ru
- ns2.firstvds.ru
Если при создании CNAME-записи вы использовали другие серверы имён, подтвердить её не удастся.
Редактирование CNAME-записи проходит в панели ISPmanager или DNSmanager, в зависимости от используемого ПО, в режиме просмотра записей. Для редактирования используются кнопки «Создать», «Изменить», «Удалить».
По кнопке «Создать» можно указать требуемые значения записи и её тип:
Если вы всё сделали верно, но подтверждения нет, возможно, стоит просто подождать. Глобально записи обновляются не сразу, на указанных серверах имён процедура занимает от 2 до 6 часов.
Провести проверку доступности вам поможет следующий ресурс — whatsmydns.net.
Если вы не нашли в статье решение вашей проблемы, напишите запрос в Службу поддержки.
Как добавить запись типа A, AAAA, CNAME, MX, TXT, SRV для своего домена
В статье мы расскажем, как прописать DNS-записи A, АААА, CNAME, MX-запись, TXT и SRV для домена и для чего это нужно.
Ресурсные записи «передают» серверам интернета информацию о домене. Чаще всего их настраивают, чтобы: связать IP-адрес сайта с доменом (запись А), привязать поддомен к сервису (запись CNAME), настроить почту (запись MX), активировать SSL-сертификат, подтвердить право собственности на домен, настроить безопасную почту (запись TXT) и т.д.
Как добавить ресурсные записи для домена
Перед добавлением ресурсных записей определитесь, какие DNS-серверы прописаны для вашего домена.
Как узнать DNS-серверы, которые прописаны для домена
1. Авторизуйтесь в Личном кабинете 2domains и кликните по нужному домену:
2. Ваши серверы указаны в блоке «DNS-серверы»:
Если для вашего домена прописаны DNS-серверы ns1.hosting.reg.ru и ns2.hosting.reg.ru, перейдите к статье Настройка ресурсных записей в панели управления. Если для вашего домена прописаны DNS-серверы ns1.reg.ru и ns2.reg.ru, следуйте инструкции ниже.
Обратите внимание: если для домена прописаны сторонние DNS-серверы, добавление и управление DNS записями происходит на стороне провайдера, который предоставил вам DNS-серверы.
1. Авторизуйтесь в Личном кабинете 2domains и кликните по нужному домену:
2. На открывшейся странице нажмите стрелочку в блоке «Управление зоной DNS».
3. Во всплывающей шторке кликните Добавить ещё одну запись:
4. Выберите тип записи, которую вы хотите добавить:
Как добавлять записи
5. Затем нажмите на иконку Карандаш:
6. Добавьте в DNS домена нужную ресурсную запись. Для этого следуйте соответствующей инструкции ниже.
А-запись
Запись A (address) — одна из ключевых ресурсных записей Интернета. Она нужна, чтобы связать домен с IP-адресом сервера. Пока не прописана А-запись, сайт не будет работать. Когда вы вводите название сайта в адресную строку браузера, по А-записи DNS определяет, с какого сервера нужно открывать ваш сайт.
Как добавить А-запись
Выполните шаги 1-6 инструкции выше.
Затем в поле Субдомен укажите имя поддомена или значок @ (если хотите выбрать ваш основной домен);
В поле Значение — IP-адрес сервера сайта, который будет открываться по имени домена. Узнать IP-адрес можно по инструкции: Как узнать и изменить IP-адрес сайта?
Нажмите Сохранить:
Готово, ресурсная запись успешно добавлена в зону домена.
Изменения вступят в силу в течение часа.
АААА-запись
АААА (IPv6 address record) ― запись, которая используется так же, как и А-запись, но для адресов формата IPv6.
Как добавить АAАА-запись
Выполните шаги 1-6 инструкции выше. Затем в полях ввода укажите:
Субдомен — имя поддомена или значок @ (если хотите выбрать ваш основной домен);
Значение — необходимый IPv6-адрес.
Нажмите Сохранить:
Готово, обновление зоны домена прошло успешно.
Изменения вступят в силу в течение часа.
CNAME-запись
CNAME (canonical name) — это запись, которая отвечает за привязку поддоменов (например, www.site.ru) к каноническому имени домена (site.ru) или другому домену. CNAME-запись дублирует ресурсные записи домена (A, MX, TXT) для поддоменов.
Важно: для одного и того же поддомена нельзя одновременно добавить CNAME-запись и A-запись.
Как добавить запись CNAME
Выполните шаги 1-6 инструкции выше.
Затем в поле Субдомен укажите поддомен, кроме @ (для вашего основного домена этот тип записи недоступен, вы можете воспользоваться A-записью);
В поле Значение — Canonical name — домен, на который должен ссылаться поддомен из поля «Subdomain».
Нажмите Сохранить:
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
MX-запись
MX-запись отвечает за сервер, через который будет работать почта. Благодаря ей отправляющая сторона «понимает», на какой сервер нужно отправлять почту для вашего домена. MX-запись может выглядеть так: mx1.hosting.reg.ru. Чтобы почта могла функционировать, даже если один из серверов не работает, указывают два почтовых сервера. Например, mx1.hosting.reg.ru и mx2.hosting.reg.ru.
Как добавить MX-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Субдомен — поддомен или @ (если хотите выбрать почту вида логин@ваш_домен);
Значение — адрес сервера, который будет отвечать за работу почты на вашем домене;
Приоритет — приоритет записи (чем меньше цифра, тем выше приоритет записи).
Нажмите Сохранить:
Готово, DNS записи домена обновлены.
Изменения вступят в силу в течение часа.
TXT-запись
TXT (тext string) — запись, которая содержит любую текстовую информацию о домене. Часто применяется для проверок на право владения доменом при подключении дополнительных сервисов, а также как контейнер для записи SPF и ключа DKIM.
Как добавить TXT-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Субдомен — поддомен или @ (если хотите выбрать ваш основной домен);
Значение — значение записи TXT. Как правило, значение ТХТ отправляется на e-mail (например, для активации SSL-сертификата) или предоставляется компанией, услугу которой вы настраиваете.
Нажмите Сохранить:
Как указывать записи
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
SRV-запись
Записи SRV используются для поиска серверов, которые обеспечивают работу определенных служб на данном домене (например, Jabber). Некоторые интернет-протоколы, такие как SIP и XMPP, часто требуют поддержки SRV-записей.
Как добавить SRV-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Сервис — название сервиса;
Субдомен — поддомен или @ (если хотите выбрать ваш основной домен);
Значение — каноническое имя сервиса;
Порт — порт TCP или UDP, на котором работает сервис;
Приоритет — приоритет целевого хоста;
Нагрузка — относительный вес для записей с одинаковым приоритетом (необязательное поле).
Нажмите Сохранить:
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
Как проверить записи домена
Проверить, корректно ли указаны записи, проще всего с помощью утилиты dig. Для этого введите домен, для которого добавляли ресурсные записи, выберите тип записи «ANY» и кликните Проверить. Так вы увидите все ресурсные записи вашего домена.
Популярные статьи
- Как указать (изменить) DNS-серверы для домена
- Я зарегистрировал домен, что дальше
- Как добавить запись типа A, AAAA, CNAME, MX, TXT, SRV для своего домена
- Что такое редирект: виды и возможности настройки
- Как создать почту со своим доменом
Установка SSL-сертификата на 1С-Битрикс
Для установки SSL-сертификата вашего веб-сайта в CMS 1C-Битрикс необходимо сперва сгенерировать CSR-запрос и заказать SSL-сертификат через панель управления. Так как система управления интернет проектами «1С-Битрикс» работает под управлением дистрибутива Linux CentOS, то для генерации CSR-запроса вы можете воспользоваться общей инструкцией для Linux (см. перечень команд для CentOS).
После генерации CSR-запроса и заказа SSL-сертификата через панель управления необходимо установить полученные сертификаты .CRT и .CA на сервер 1C-Битрикс.
После получения SSL-сертификата файлы для его установки появятся в панели управления (меню SSL):
.CA — файл цепочки сертификатов Центра Сертификации (Certificate Authority).
.CRT — файл сертификата для вашего сайта (сайтов).
Загрузка необходимых файлов на веб-сервер
Прежде всего, необходимо загрузить представленные в панели файлы .ca и .crt на веб-сервер 1С-Битрикс. Самый простой способ — загрузить эти файлы на другой компьютер, а затем перенести их на сервер одним из приведенных ниже способов.
Примечание: подразумевается, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере 1С-Битрикс, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа .key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.
Перенос сертификатов с компьютера Linux/Mac OS:
Самый простой способ загрузки сертификатов на сервер — опция SCP, встроенная в возможность терминала вашего компьютера:
- Загрузите файлы .CA и .CRT из панели управления на локальный компьютер.
- Откройте терминал и перейдите в папку, в которую вы сохранили сертификаты (напр., Downloads):
cd ~/Downloads
Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:
scp crt.crt ca.crt user@1.22.33.444:/etc/ssl
Где:
scp — команда копирования файлов
mydomain.ru_crt.crt — имя загруженного из панели файла сертификата вашего веб-сайта
mydomain.ru_ca.crt — имя загруженного из панели файла сертификата Центра Авторизации
user — имя вашего пользователя для подключения к серверу через ssh (часто используется root)
1.22.33.444 — IP-адрес вашего веб-сервера
/etc/ssl — директория на удаленном сервере, в которую в хотите сохранить загружаемые файлы.
Перенос сертификатов с компьютера Windows:
- Установите программу WinSCP. Скачать ее можно здесь.
- Запустите WinSCP. В открывшемся окне введите данные, которые вы используете для подключени я к вашему серверу по SSH.
В левой части окна программы отображаются файлы на локальном компьютере, в правой — на подключенном удаленном сервере. Выберите или создайте директорию, в которую вы хотите сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.
Примечение: для удобства в дальнейшем рекомендуем перенести файл закрытого ключа (.key) в ту же директорию, в которую вы скопировали файлы сертификатов. Вы можете не делать этого, но таком случае запомните путь до этого файла и в дальнейшем укажите его в файле конфигурации Apache вместо пути, приведеленного в нашем примере.
Если закрытый ключ .key был сгенерирован непосредственно на сервере, то для его копирования в другую директорию вы можете использовать команду:
cp /home/root/private.key /etc/ssl/private.key
Где:
cp — команда копирования
/home/root/ — путь до файла ключа
private.key — имя файла ключа
/etc/ssl/private.key — путь, по которому необходимо скопировать файл ключа
Удалить файл ключа из старого расположения вы можете с помощью команды:
rm /home/root/private.key
(синтаксис команды аналогичен предыдущему примеру)
Настройка сервера 1C-Битрикс на использование SSL-сертификата
После копирования файлов сертификата сайта и Центра Сертификации необходимо отредактировать параметры вашего сервера 1С-Битрикс. Для этого подключитесь к вашему серверу по SSH от имени пользователя root и выполните следующие операции:
- После подключения к серверу отобразится консоль 1С-Битрикс с доступными действиями (Available Actions). Сейчас нам нужна не она, а непосредственно командная строка CentOS. Нажмите 0 для перехода в нее.
- Объедените загруженные на сервер ранее файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) в один документ:
cat /etc/ssl/mydomain.ru_crt.crt /etc/ssl/mydomain.ru_ca.crt >> mydomain.crt - Откройте файл конфигурации ssl.conf:
nano /etc/nginx/bx/conf/ssl.conf
Примечание: если редактор nano не установлен на вашем сервере, вы можете установить его с помощью команды yum install nano - В открытом файле отредактируйте пути до загруженных ранее файлов сертификатов:
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
Где:
/etc/ssl/mydomain.crt — путь до файла сертификатов вашего сайта и центра сертификации
/etc/ssl/private.key — путь к файлу вашего закрытого ключа
Пример файла ssl.conf: # If they come here using HTTP, bounce them to the correct scheme
# Nginx internal code used for the plain HTTP requests
# that are sent to HTTPS port to distinguish it from 4XX in a log and an error page redirection.
error_page 497 https://$host$request_uri;
# Increase keepalive connection lifetime
keepalive_timeout 70;
keepalive_requests 150;
# SSL encryption parameters
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ‘ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESG$
ssl_prefer_server_ciphers on;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;
Установка LetsEncrypt SSL-сертификатов прямо из панели виртуальной машины bitrix VM!
С версии 7.2.2 битрикс-машины появилась возможность подключать бесплатные валидные SSl-сертификаты от Lets Encrypt прямо из меню виртуальной машины.
Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты для HTTPS. Процесс выдачи сертификатов полностью автоматизирован. Сертификаты выдаются только на 3 месяца для предотвращения инцидентов безопасности.
1/ https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
2/ Firefox. Как мимимум с 4.0 (возможно с 1.0) работает. (StartSSL в древних лисах работать не будет). Все современные лисы работают всеми CA.
3/ Thunderbird. Точно все современные версии на всех ОС (включая wosign. StartSSL в древних версиях не поддерживается)
4/ IE и Edge. Минимум 8 версия для всех. IE6 точно не поддерживается, по IE7 в зависимости от условий.
5/ Chrome и Cromium. Поддержка ОС аналогично встроенной ОС криптоапи (древние макоси, линуксы и winXP не будут работать ни с каким CA).
6/ Safari на всех современных Apple-устройствах точно работает.
7/ Android точно работает с версии 4.2 со всеми . Версия 2.0.6 (Android browser 2.0.6 Webkit 530.17) точно НЕ работает.
8/ Java не работает с letsencrypt.
9/ wget и curl могут не работать на старых системах
Как установить бесплатный ssl сертификат от Lets Encrypt в битрикс-машине?
В меню машины пройти по пунктам 8. Manage web nodes in the pool -> 3. Certificates configuration -> 1. Configure Let’s encrypt certificate. Указать сайт (или сайты), dns имена сайта(-ов), email для нотификаций сервиса Lets Encrypt, подтвердить ввод.
Мастер самостоятельно запросит и установит сертификат из сети.
Поддерживается ввод нескольких сайтов, через запятую (test1.bx, test2.bx).
Перевыпуск сертификатов будет автоматический. Это отлично, с учетом того что сертификат дается только на 3 месяца.
Что делать, если сертификат не устанавливается и битрикс машина выдает ошибку?
Мое знакомство с данным новшеством прошло именно так: после настройки сертификата фоновая задача в машине завершалась с ошибкой:
--------------------------------------------------------- TaskID | Status | Last Step ---------------------------------------------------------- site_certificate_1113161018 | error | play|complete
Смотрим логи и выясняем подробности. Директория /opt/webdir/temp содержит логи задач, смотрим по нашей задаче site_certificate_1113161018.
Первый лог /opt/webdir/temp/site_certificate_1113161018/status, в нем есть строчка с прерыванием, а также видим и второй лог:
TASK [web : create certificates] *********************************************** fatal: [acrit]: FAILED! => /home/bitrix/dehydrated_update.log 2>&1" .
С этого места становиться понятно, что машина установила библиотеку dehydrated в папку /home/bitrix/dehydrated, а лог ее выполнения расположен в dehydrated_update.log
Смотрим второй лог /home/bitrix/dehydrated_update.log, в нем тоже есть ошибка:
+ Responding to challenge for www.goooodsite.ru.. ERROR: Challenge is invalid! (returned: invalid) (result: < "type": "http-01", "status": "invalid", "error": < "type": "urn:acme:error:unauthorized", "detail": "Invalid response from http://www.goooodsite.ru/.well-known/acme-challenge/dummy", "status": 403 >, >)
Выходит, что для проверки требуется доступность сайта по http и https с самоподписанным сертификатом, дабы проверить права владения на оба сайта.
Поэтому настроим редирект и еще раз запустим получение ключа:
1/ Отключаем редирект с http и https
2/ Создаем вручную папку на сайте /.well-known/acme-challenge/ с текстовым файлом внутри:
echo «thisisthecontentoffile» > /home/bitrix/www/site/.well-known/acme-challenge/dummychallengefile
3/ Запускаем заново, и опять ошибка. Опять смотрим логи задачи. На этот раз сертификат получен, а ошибка в конфигурации сайта в nginx: /etc/nginx/bx/site_avaliable/bx_ext_ssl_www.goooodsite.ru.conf
4/ ошибку устраняем (лишняя директива из-за авто-вставки настроек в файл) и видим что сертификат добавился в конфиг, а сами сертификаты хранятся тут /home/bitrix/dehydrated/certs/:
# CERTIFICATE ANSIBLE MANAGED BLOCK include bx/conf/ssl_options.conf; ssl_certificate /home/bitrix/dehydrated/certs/www.goooodsite.ru/fullchain.pem; ssl_certificate_key /home/bitrix/dehydrated/certs/www.goooodsite.ru/privkey.pem; ssl_trusted_certificate /home/bitrix/dehydrated/certs/www.goooodsite.ru/chain.pem; # CERTIFICATE ANSIBLE MANAGED BLOCK
5/ nginx перезапускаем, редирект из http в https возвращаем. Сертификат добавлен.
Вот собственно путь отладки и исправления ошибки авто-установки сертификата, если сертификат был установлен на сайте, как написано в статье «Установка ssl-сертификата для битрикс окружения bitrix vm».
Использованные материалы:
- Халявные сертификаты для нищебродов без гемора. LetsEncrypt вместо Wosign и их подводные камни.
- VMBitrix 7.2.0 в релизе
- The client lacks sufficient authorization — 404