Liigu peamise sisu juurde

Kuidas SSL-sertifikaate õigesti seadistada

· 5 min lugemine
Andres Saar
Customer Care Engineer

Avaldatud 3. juunil 2026

Kuidas SSL-sertifikaate õigesti seadistada

Toimiv SSL-seadistus ei tähenda lihtsalt „paigalda sertifikaat ja valmis“. Sertifikaat peab vastama domeenile, privaatvõti peab jääma õigesse serverisse, DNS peab osutama sinna, kuhu te arvate selle osutavat, ja teie veebiserver peab esitama õige sertifikaadi õige hostinime jaoks. Kui otsite viisi, kuidas SSL-sertifikaate seadistada nii, et kell 2 öösel ei tuleks üllatusi, siis see on praktiline tee.

Kuidas SSL-sertifikaate seadistada ilma oletamiseta

Alustage ühe küsimusega: mida te täpselt turvate? Üksik domeen nagu example.com vajab teistsugust sertifikaadi ulatust kui seadistus, kus on www.example.com, app.example.com ja shop.example.com. Kui valite alguses vale sertifikaaditüübi, võite viis minutit hiljem jõuda selle uuesti väljastamiseni, mis ei ole traagiline, aga ka mitte elegantne.

Enamiku ettevõtete jaoks on kolm levinud valikut. Ühe domeeni sertifikaat katab ühe hostinime. Wildcard-sertifikaat katab alamdomeene nagu anything.example.com, kuid mitte alati juurdomeeni, välja arvatud juhul, kui see on eraldi lisatud. Mitme domeeni ehk SAN-sertifikaat katab mitu nimelist hostinime. Õige valik sõltub teie tegelikust liiklusmustrist, mitte sellest, mis kõlab keerukamalt.

Järgmine kontroll on omandi valideerimine. Sertifitseerimiskeskused vajavad tõendit, et te kontrollite domeeni. See toimub tavaliselt HTTP valideerimise, DNS valideerimise või mõnikord e-posti valideerimise kaudu. HTTP on sageli kiireim, kui veebisait on serveris juba kättesaadav. DNS on töökindlam wildcard'ide jaoks ja keskkondades, mis on puhverserverite, koormusjaoturite või testkeskkonna reeglite taga ning muudavad veebipõhise valideerimise segaseks. See ei ole mõnikord kõige ilusam DNS-i olukord, kuid see on kontrolli all, kui teate, milline meetod seadistusega sobib.

Valmistage server ette enne, kui midagi paigaldate

Enne CSR-i genereerimist või automaatse paigalduse nupule klõpsamist kontrollige nelja asja. Domeen peaks lahenduma õigele avalikule IP-aadressile. Pordid 80 ja 443 peaksid tulemüüris olema avatud. Veebiserver peaks juba teadma, milline virtuaalhost või serveriplokk domeenile vastab. Ja serveri süsteemiaeg peaks olema õige, sest SSL-il ja valel ajal on vana tüli.

Kui kasutate Nginx-it või Apache'it, kontrollige kõigepealt olemasolevat saidi konfiguratsiooni. Sertifikaat võib olla täiesti kehtiv ja siiski brauseris ebaõnnestuda, kui veebiserver saadab samas masinas oleva teise saidi vaikimisi sertifikaadi. See on eriti levinud mitut domeeni majutavates VPS-sõlmedes. SNI lahendab selle, kuid ainult siis, kui vhosti vastendus on õige.

Samuti peaksite otsustama, kas soovite sertifikaate hallata käsitsi või kasutada automaatset uuendamist. Käsitsi haldamine võib ühe väheste muudatustega keskkonna puhul olla vastuvõetav, kuid see tekitab operatsiooniriski. Enamik meeskondi ei unusta uuendamisi meelega. Nad unustavad, sest on hõivatud tulu teeniva tööga, mitte aegumiskuupäevade valvamisega.

Genereerige sertifikaadipäring korrektselt

Kui teie juhtpaneel tegeleb sellega, kasutage seda. Kui mitte, genereerige privaatvõti ja CSR selles serveris, kus sertifikaat hakkab asuma. Privaatvõtit ei tohiks e-posti teel edasi saata, jagatud vestlusse poetada ega juhuslike sülearvutite vahel kopeerida. Logid räägivad iga kord sama lugu - võtmete käsitlemine muutub hooletuks vahetult enne seda, kui kellelgi tuleb halb nädal.

CSR peaks sisaldama õiget common name'i ja kõiki vajalikke subject alternative name'e. Tänapäevaste brauserite jaoks on SAN-kirjed olulisemad kui vana common name'i väli. Kui vajate nii example.com-i kui ka www.example.com-i, veenduge, et mõlemad on kaasatud. Ühe hostinime puudumine on klassikaline „minul töötab, klientidel mitte” segaduse allikas.

Automatiseeritud väljastamise puhul tegelevad selle sammuga teie eest sellised tööriistad nagu ACME kliendid. Need saavad genereerida võtmeid, lõpule viia valideerimise, paigaldada sertifikaate ja ajastada uuendamisi. See on paljude VPS- ja hallatud majutuse keskkondade jaoks puhtaim tee, eriti seal, kus töökindlus ja korratavus on tähtsamad kui käsitsi rituaal.

Paigaldage SSL-sertifikaat oma veebiserverisse

Kui sertifikaat on väljastatud, paigaldage sertifikaadifail koos kõigi vajalike vahepealsete sertifikaatide kogumi ja sobiva privaatvõtmega. Täpsed failiteed ja direktiivid sõltuvad veebiserverist.

Nginx-is määrate sertifikaadi ja võtme pordi 443 serveriplokis. Apache'is seadistate sertifikaadifaili, võtmefaili ja ahela vastavas VirtualHostis. Kui kasutate juhtpaneeli, võib paneel need väärtused teie eest paigutada ja konfiguratsiooni automaatselt uuesti luua.

Pärast paigaldamist laadige veebiserver sujuvalt uuesti, mitte ärge tehke jõulist taaskäivitust, välja arvatud juhul, kui selleks on põhjus. Uuesti laadimine rakendab uue sertifikaadi, minimeerides samal ajal häireid. Seejärel kontrollige, mida server tegelikult esitab, mitte seda, mida teie arvates peaks esitama. Brauserid vahemällustavad agressiivselt ja pöördpuhverserverid võivad vigu peita kauem, kui on tervislik.

Sundige HTTPS-i ettevaatlikult, mitte pimesi

Pärast seda, kui sertifikaat on aktiivne, suunake HTTP-liiklus HTTPS-ile. See on standardne, kuid ajastus loeb. Ärge sundige HTTPS-i enne, kui sertifikaat on kehtiv ja seda serveeritakse õigesti, vastasel juhul loote kiire tee brauserihoiatusteni.

Seadistage 301-ümbersuunamine HTTP-lt HTTPS-ile kas veebiserveri tasemel või rakenduskihis, kuid vältige mõlema kuhjamist, kui selleks pole põhjust. Liiga palju ümbersuunamisreegleid tekitab silmuseid, segatud hostinimesid või käitumist, mis keskkondade vahel muutub. Hoidke see lihtne.

Kui sait kasutab vanu HTTP-URL-e sisaldavaid varasid, uuendage need. Segasisu hoiatused tekivad siis, kui leht laaditakse üle HTTPS-i, kuid toob skripte, pilte, fonte või laaditabeleid üle HTTP. Sertifikaat võib olla täiuslik ja tabalukk näeb ikka õnnetu välja. E-kaubanduse kassasid ja SaaS-i juhtpaneele tuleks eriti kontrollida lehekülg lehekülje haaval, mitte ainult avalehel.

Testige seadistust nagu inimene, kes ei usalda õnne

Avage sait brauseris ja kontrollige sertifikaadi üksikasju. Kinnitage, et hostinimi vastab, kehtivuskuupäevad on õiged ja kogu ahel esitatakse. Seejärel testige võimaluse korral käsurealt. Te soovite näha täpselt, millise sertifikaadi server päringus küsitud hostinime jaoks tagastab.

Kontrollige pärast paigaldamist neid praktilisi punkte:

  • Juurdomeen ja www-versioon mõlemad töötavad ootuspäraselt
  • Sertifikaadiahel on täielik
  • HTTP suunab HTTPS-ile üks kord, mitte kolm korda
  • Veebiserver teenindab iga hostinime jaoks ettenähtud sertifikaati
  • Uuendamine on seadistatud ja tegelikult ajastatud

Kui kasutate CDN-i või pöördpuhverserverit, veenduge, et sertifikaat eksisteerib õiges kohas. Mõned seadistused lõpetavad SSL-i puhverserveris ja saadavad seejärel lihtsa HTTP lähtepunkti. Teised kasutavad otspunktist otspunkti krüpteerimist sertifikaatidega nii puhverserveris kui ka lähtepunktis. Kumbki ei ole universaalselt õige ega vale. See sõltub teie turvamudelist, sisemise võrgu usaldusest ja rakenduse vajadustest.

Levinud SSL-probleemid ja mida need tavaliselt tähendavad

Brauseri hoiatus hostinime mittevastavuse kohta tähendab tavaliselt, et serveeritakse valet sertifikaati, sageli seetõttu, et päringu püüab kinni vaikimisi vhost. „Mittetäieliku ahela” hoiatus tähendab, et vahepealsed sertifikaadid puuduvad. Aegunud sertifikaat on ilmne, kuigi millegipärast endiselt populaarne. Valideerimise ebaõnnestumised viitavad sageli DNS-kirjetele, mis ei vasta soovitud serverile, DNS-kihi vahemällustamisele või tulemüürile, mis blokeerib HTTP-challenge'i päringuid.

Uuendamise ebaõnnestumised väärivad erilist tähelepanu. Kui toetute automatiseeritud SSL-ile ja muudate hiljem DNS-i, lisate puhverserveri või karmistate tulemüüri reegleid, võib uuendustee vaikselt katki minna. Esimene paigaldus töötas, kõik lõdvestusid ja kuuskümmend päeva hiljem tuleb probleem halval ajal tagasi. Seepärast ei ole sertifikaadi aegumise jälgimine tootmises valikuline. See on elementaarne operatiivhügieen.

Hallatud versus ise hallatav SSL-seadistus

Kui käitate omaenda stacki, annab SSL-i käsitsi seadistamine teile täieliku kontrolli. Te valite valideerimismeetodi, võtmete hoiustamise, šifrite poliitika, ümbersuunamise käitumise ja juurutusprotsessi. See on kasulik kohandatud taristute, klasterdatud teenuste või range vastavusnõudega keskkondade jaoks.

Kompromiss on operatiivne vastutus. Keegi peab jälgima uuendamisi, kinnitama eduka uuesti väljastamise ja märkama muudatusi, mis valideerimise lõhuvad. Väikeste meeskondade, agentuuride ja asutajate jaoks, kes juba täidavad viit rolli korraga, on SSL-automatiseerimisega hallatud majutus sageli rahulikum valik. Hea platvorm eemaldab korduva töö, varjamata samal ajal aluseks oleva serveri käitumist. At kodu.cloud, see on tavaliselt kogu mõte - vähem stressi, aga siiski piisavalt kontrolli.

Kuidas SSL-sertifikaate pikaajalise stabiilsuse jaoks seadistada

Paigaldamine on alles esimene samm. Stabiilne seadistus hõlmab automaatset uuendamist, aegumise jälgimist, selgeid vhosti vastendusi ja harjumust pärast DNS-i või puhverserveri muudatusi SSL-i uuesti kontrollida. Kui sait on äri jaoks kriitiline, käsitlege sertifikaadi olekut samamoodi nagu varukoopiaid ja tööaja hoiatusi. Vaiksed süsteemid on head süsteemid.

Hoidke oma privaatvõtmed kaitstuna, hoidke oma uuendamisprotsess võimaluse korral automaatsena ja hoidke oma valideerimismeetod kooskõlas sellega, kuidas liiklus tegelikult teie serverini jõuab. Kui teenus on pärast seda jälle rahulik, tegite seda õigesti.

Andres Saar klienditoe insener