Обновление SSL-сертификатов

Установка SSL-сертификата

На этой странице приведены инструкции по обновлению истекшего SSL-сертификата. Если вам нужны инструкции по первоначальной установке сертификата (переход с HTTP на HTTPS), пожалуйста, обратитесь к установке страницу.

SSL-сертификаты имеют срок действия, поэтому их необходимо переоформлять и обновлять на сервере до истечения срока. Обновление SSL-сертификатов — простой процесс, который не требует продвинутых навыков системного администрирования.

Платформа Navixy использует Nginx в качестве веб-сервера. Чтобы обновить SSL-сертификаты, найдите текущие файлы сертификата и приватного ключа в конфигурации Nginx и замените их новыми. На этой странице подробно объясняется процесс обновления SSL-сертификата.

Обновление сертификатов

Конфигурация Nginx на сервере Linux

Конфигурация Nginx для вашего сайта расположена по следующему пути. Прочитайте содержимое файла в любом текстовом редакторе.

/etc/nginx/sites-available/navixy.conf

Внутри вы увидите строки вроде этой:

ssl_certificate /etc/nginx/ssl/certificate.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;

Это означает, что файлы сертификатов находятся по пути /etc/nginx/ssl/. Путь также может быть сокращён до ssl/certificate.crt если файлы находятся в указанном выше каталоге. Оба варианта корректны.

Конфигурация Nginx на сервере Windows

Конфигурация Nginx для вашего сайта расположена по следующему пути. Прочитайте содержимое файла в любом текстовом редакторе.

C:\nginx\conf\sites-enabled\navixy.conf

В файле вы можете найти строки вроде этой:

ssl_certificate /ssl/certificate.crt;
ssl_certificate_key /ssl/private.key;

The /ssl/ здесь запись сокращена и означает C:\nginx\conf\ssl. Рекомендуется использовать этот путь, но если ваши сертификаты находятся в другой папке, вам нужно указать полный путь в конфигурационном файле.

Если на платформе Navixy настроено несколько доменов, обычно у вас будут отдельные домены для API, административной панели и пользовательского интерфейса. В результате конфигурация Nginx будет содержать несколько блоков, начинающихся с "server" и указывающих путь к сертификату для каждого блока. Важно учесть, что вам потребуется либо отдельный SSL-сертификат для каждого доменного имени, либо wildcard-сертификат (для *.domain.com), чтобы работать со всеми поддоменами третьего уровня.

Требования к сертификату

Цепочка доверия

Чтобы ваш SSL-сертификат работал корректно, он должен включать полную цепочку доверия. Это означает, что в файле(ах) сертификата должен быть не только основной сертификат, но и все промежуточные и корневые сертификаты, необходимые для установления цепочки доверия с издателем сертификата. Такие сертификаты называются full chain (полная цепочка).

Важно убедиться, что получаемый вами сертификат включает полную цепочку, поскольку некоторые функции, например мобильные приложения, могут не работать корректно без неё. Если у вас возникают трудности со сборкой полной цепочки, вы можете обратиться к издателю сертификата за помощью или использовать онлайн-инструменты, такие как этот, для решения вопросов цепочки доверия. Для получения дополнительной информации о цепочке доверия вы можете обратиться к разъяснениям, предоставленным издателем SSL.

Требование к приватному ключу

Для корректного запуска веб-сервера Nginx приватный ключ должен соответствовать SSL-сертификату. Как правило, удостоверяющий центр предоставляет приватный ключ вместе с сертификатом. Если вы переоформляете сертификат у того же издателя, приватный ключ часто остаётся прежним и не требует замены.