Jak zřídit, ověřit a nasadit SSL certifikát

SSL certifikát Single domain nebo Wildcard si můžete v MasterDC zřídit sami bez nutnosti kontaktovat obchodního zástupce. Tento návod popisuje, jak vyřídit SSL certifikát v Zákaznické administraci, jak postupovat při ověřování vlastnictví domény a nasazení certifikátu na sever.

Zřízení SSL certifikátu

Pro vyřízení certifikátu se registrujte do zákaznického systému MasterDC. Pokud už využíváte naše služby, stačí se přihlásit na adrese https://admin.masterdc.com/. Po přihlášení do Zákaznické administrace zvolte v levém bočním menu možnost Přidat novou službu > SSL certifikát.

Na výběr máte ze dvou variant SSL certifikátu – Single domain, platný pouze pro jednu doménu, a Wildcard, platný pro jednu doménu včetně všech jejích subdomén. V našem příkladu jsme zvolili certifikát Single domain.

Vyplňte název domény, pro kterou chcete certifikát zřídit. Uveďte její celé jméno, ideálně včetně „www“: www.ukazka.cz bude platit i pro ukazka.cz. Pokud uvedete do názvu domény jen „ukazka.cz“, bude certifikát platit pro ukazka.cz, ale ne pro www.ukazka.cz. Pak klikněte na tlačítko Pokračovat.

Pokud ještě nemáte vyplněny své fakturační údaje, systém vás vyzve k jejich doplnění. Nakonec zkontrolujte objednávku i fakturační údaje a klikněte na Objednat a zaplatit.

Budete přesměrováni na platební bránu GoPay. Po úspěšném zpracování platby musíte instalaci certifikátu dokončit.

Ověření vlastnictví domény

Pro dokončení instalace SSL certifikátu je potřeba ověřit vlastnictví domény. Pro ověření klikněte na Dokončete prosím nastavení certifikátu.

Dostanete se na Detail služby daného certifikátu. Zde vyplňte údaje o certifikátu, jméno, příjmení a e-mail vlastníka a zvolte typ ověření (pomocí DNS nebo File). Pak klikněte na Pokračovat a zobrazí se vám vygenerovaný ověřovací kód.

Ověření pomocí DNS

Vygenerovaný ověřovací kód vložte do DNS TXT záznamu domény u registrátora domény a poté stiskněte tlačítko Dokončit ověření.

Způsob zadání záznamu se liší podle použitého registrátora domén. Pokud využíváte naši službu Správa DNS je třeba zadat nový TXT záznam přes modul DNS v zákaznickém systému.

1. V levém bočním menu klikněte na položku Síťové služby > Správa DNS.
2. V pravém horním rohu klikněte na tlačítko Nová doména a přidejte název domény, pro niž zřizujete SSL certifikát.
3. Na konci stránky se doména zobrazí v Seznamu domén. Klikněte na ni.
4. V detailu služby zascrollujte na konec stránky, kde najdete sekci Konfigurace domény > Přidat nový záznam.
5. Do pole Řetězec 1 vyplňte název domény, v Typu záznamu vyberte TXT a do políčka Řetězec 2 vložte ověřovací kód, potvrďte Uložit.

Ověření pomocí File

Linux

Ověření je závislé na použitém webserveru. V zásadě lze tento popis využít pro všechny, cesty pro jednotlivé webservery nebo operační systémy se mohou drobně lišit.

1. Přepneme se do dokumentu rootu dané domény.
   cd /var/www/
2. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
   mkdir -p .well-known/pki-validation/
3. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např.:
   echo "e3c6c17c27daffff36a8d33a5a3f56317d1441fa84ba768ecb59ae39e04b8361-certum.pl" > .well-known/pki-validation/certum.txt
4. Ujistíme se, že je ověřovací záznam nastaven správně, např.:
   wget http://overovana.domena.tld/.well-known/pki-validation/certum.txt

   Nebo ověřením url: http://overovana.domena.tld/.well-known/pki-validation/certum.txt v prohlížeči. Měl by se zobrazit přímo ověřovací záznam bez dalšího formátování a bez uvozovek.

Windows

Ověření probíhá na portu 80, případně 443. Je potřeba zvolit správný dokument root podle domény a bindingů.

1. Ve složce dané domény vytvoříme složku začínající tečkou.
   
2. Nejjednodušší je vytvořit soubor s tečkou na začátku a zároveň tečkou na konci. – „.název-složky.“ Následně uvidíte složku „.název-složky.“ .
   
3. Vytvoříme dvě vnořené složky s názvy .well-known a pki-validation (tečka na začátku první složky je důležitá).
4. Ověřovací kód vložíme do souboru s názvem certum.txt ve vnořených adresářích, např. pomocí programu notepad.
   

Soubor je potřeba vytvořit podle toho, zda máte zapnuté zobrazování koncovek nebo ne. Při vypnutém zobrazování koncovek je název souboru certum, při zapnutém zobrazování koncovek certum.txt.

Po dokončení ověření vlastnictví se vraťte do Zákaznické administrace a klikněte na tlačítko Dokončit ověření.

Nasazení SSL certifikátu

Po ověření vlastnictví domény získáte svůj nový certifikát. Ten si nasaďte na server. Ze Zákaznické administrace si lze certifikát stáhnout v PEM formátu, typicky využívaném pro linuxové servery, a PFX formátu vhodném pro Windows a Javu.

Nasazení na Windows server

Ve Windows certifikát naimportujeme a následně přiřadíme https bindingu v IIS.

Doména IIS a certifikátu musí být shodná.

Nasazení na Linux server

Při nasazení do linuxového serveru je třeba přizpůsobit formát použitému webserveru. V ApacheApacheApache je nejpoužívanější webový server, tzn. že dodává prohlížečům jednotlivé webové stránky…více je typicky nastaven soubor certifikátu, privátního klíče a mezilehlého certifikátu – obvykle nazývaný chain.

Nginx využívá kombinaci těchto souborů, tzn. certifikátu a chain do jednoho souboru. HAproxy pak očekává všechny 3 soubory, tj. certifikát, chain a privátní klíč za sebou v jednom souboru.

Zneplatnění certifikátu

Certifikáty Single domain i Wildcard platí po dobu 1 roku. Na blížící se konec platnosti vás vždy upozorníme e-mailem. V některých případech však může být potřeba certifikát zneplatnit předčasně, např. pokud dojde k odcizení soukromého klíče. Zneplatnění provedete přes Zákaznickou administraci.

Po přihlášení vyberte v levém bočním menu položku SSL certifikáty, zvolte certifikát, který chcete zneplatnit. V detailu služby se přepněte do záložky Zneplatnění certifikátu. Pokud chcete certifikát zneplatnit a ihned si vyřídit nový se stejnými údaji, vyberte možnost Zneplatnit a obnovit.

Pokud si přejete službu zcela zrušit a certifikát už nepoužívat, klikněte na Zrušit službu.