Как отключить проверку сертификата в Windows XP

Обновлено: 21.11.2024

Вы можете проверить свою способность подключаться к сайтам SSL с помощью этого тестового сайта SSL.

Проверьте конфигурацию брандмауэра/сети

Убедитесь, что порт SSL (порт 443) открыт в вашей сети/брандмауэре (если он у вас есть). Существует множество различных продуктов Firewall/Network, поэтому мы не можем дать пошаговые инструкции. Ознакомьтесь с документацией или файлом справки по используемому вами продукту.

Удалить временные файлы Интернета

Кроме того, в хранилище временных файлов Интернета (TIF) могут быть повреждены некоторые файлы. Чтобы очистить их:

  1. В Internet Explorer в меню "Сервис" нажмите "Свойства обозревателя" и выберите вкладку "Общие".
  2. В разделе "Временные файлы Интернета" нажмите "Удалить файлы" и нажмите "ОК", когда появится запрос на подтверждение удаления.

Настройка безопасности, содержимого и дополнительных параметров Internet Explorer

Настройте параметры безопасности для зоны надежных сайтов в Internet Explorer:

  1. В Internet Explorer в меню "Сервис" нажмите "Свойства обозревателя" и выберите вкладку "Безопасность".
  2. Выберите "Надежные сайты", а затем нажмите "Уровень по умолчанию".
  3. Добавьте безопасный веб-сайт, к которому вы пытаетесь получить доступ, в зону надежных сайтов. Для этого нажмите "Сайты", введите адрес (URL) сайта в поле "Добавить этот веб-сайт в зону", нажмите "Добавить", нажмите "ОК", а затем нажмите "Применить".

Очистить доску Secure Sockets Layer (SSL) и историю автозаполнения:

  1. В Internet Explorer в меню "Сервис" нажмите "Свойства обозревателя" и выберите вкладку "Содержимое".
  2. В разделе "Сертификаты" нажмите "Очистить состояние SSL".
  3. Нажмите "ОК", когда получите сообщение об успешной очистке кэша SSL.
  4. В разделе "Личные данные" нажмите "Автозаполнение".
  5. В разделе «Очистить историю автозаполнения» нажмите «Очистить формы». Нажмите OK, когда вам будет предложено подтвердить операцию.

Убедитесь, что Internet Explorer настроен на использование SSL 2.0 и SSL 3.0:

  1. В Internet Explorer в меню "Сервис" нажмите "Свойства обозревателя" и выберите вкладку "Дополнительно".
  2. В поле "Настройки" под заголовком "Безопасность" установите флажки "Использовать SSL 2.0" и "Использовать SSL 3.0" (если они еще не установлены), а затем нажмите "ОК".

Проверьте правильность настроек даты и времени на вашем компьютере

Поскольку сертификаты SSL имеют срок действия, если дата на вашем компьютере неверна, это может помешать вам подключиться к защищенным сайтам. Чтобы убедиться, что на вашем компьютере установлены правильные параметры даты и времени:

  1. Нажмите «Пуск» > выберите «Панель управления».
  2. Нажмите «Дата, время, язык и региональные стандарты», а затем нажмите «Дата и время».
  3. Выберите вкладку "Дата и время".
  4. Убедитесь, что в настройках даты и времени используются текущие дата и время, а затем нажмите "ОК".

Некоторые статьи базы знаний Майкрософт, посвященные этой проблеме

Стойкость шифра отображается как 0-бит в Internet Explorer

Сообщение об ошибке при попытке подключения к защищенному сайту: срок действия сертификата клиента истек или еще не действителен

Сообщение об ошибке «Страница не может быть отображена» при попытке просмотреть веб-страницу на защищенном веб-сайте

Страница не может быть отображена из-за тайм-аута сеанса сервера SSL 3.0

Internet Explorer зависает при посещении защищенного сайта

Проблемы с подключением к Internet Explorer и отображением сертификата

Вы не можете получить доступ к своей учетной записи электронной почты MSN или пройти аутентификацию на веб-сайте в различных программах

Вы получаете сообщение об ошибке "Страница не может быть отображена" при публикации на сайте, требующем аутентификации

Большинство пользователей Internet Explorer в какой-то момент сталкивались с ошибкой сертификата безопасности, например "Существует проблема с сертификатом безопасности этого веб-сайта". Microsoft объясняет больше об этой проблеме, но, по сути, сообщает вам, что существует проблема с сертификатом шифрования, используемым веб-сайтом, который вы пытаетесь посетить, — устаревшим или неправильно настроенным. Если вы только просматриваете Интернет, предупреждение, скорее всего, будет неприятным, чем что-либо еще. К счастью, исправить или обойти проблему можно несколькими способами.

Удалить ошибку сертификата безопасности

Когда вы сталкиваетесь с ошибкой сертификата в Internet Explorer, вы часто можете решить проблему, изменив настройки Explorer, как объясняет Yahoo. Щелкните значок «Инструменты», который выглядит как шестеренка, и перейдите в «Свойства обозревателя». В появившемся окне нажмите на вкладку «Дополнительно» и прокрутите список вниз, пока не найдете «Безопасность». Под этим заголовком найдите элементы с надписью «Проверить отзыв сертификата издателя» и «Проверить отзыв сертификата сервера» и отмените их выбор.

Теперь нажмите «Применить» и «ОК», чтобы сохранить изменения и перезапустить Internet Explorer.Благодаря этим изменениям вы сможете получить доступ к веб-сайту.

В качестве альтернативы можно выбрать «Продолжить открытие этого веб-сайта (не рекомендуется)» в появившемся окне с ошибкой, но этот вариант сопряжен с определенным риском для безопасности.

Установить сертификат

Technipages указывает, что вы также можете решить проблему, установив необходимый сертификат. Запустите Internet Explorer от имени администратора, щелкнув значок правой кнопкой мыши и выбрав «Запуск от имени администратора», а затем перейдите на веб-сайт, на котором возникает ошибка. Выберите «Продолжить открытие этого веб-сайта (не рекомендуется)» и нажмите «Ошибка сертификата» в адресной строке. Нажмите «Просмотреть сертификаты», «Установить сертификат», «Далее» и «Поместить все сертификаты в следующее хранилище». Выберите «Обзор» и выберите «Доверенные корневые центры сертификации», прежде чем нажать «ОК».

Появится предупреждение системы безопасности, но выберите «Да» и нажмите «ОК», когда появится сообщение об успешном импорте, и еще раз нажмите «ОК» в диалоговом окне «Сертификат».

Изменить параметры Интернета для Edge

Если у вас возникает ошибка сертификата в браузере, но вы используете Microsoft Edge, который заменил Internet Explorer, решение аналогично решению для Explorer, сообщает Error Solutions. Нажмите на строку поиска или значок Windows, чтобы открыть меню «Пуск». Введите «Свойства обозревателя» в поле поиска и выберите появившуюся подстраницу панели управления. Перейдите на вкладку «Дополнительно» и прокрутите вниз, пока не найдете раздел «Безопасность».

Найдите в списке пункт «Предупреждать о несоответствии адреса сертификата» и снимите флажок рядом с ним. Сделав это, нажмите «Применить» и «ОК», чтобы подтвердить изменения.

Изменить время рабочей станции

Если на вашем компьютере установлен неправильный часовой пояс, в редких случаях может возникнуть ошибка. Введите «время» в строке поиска рядом с меню «Пуск» и выберите параметр «Изменить дату и время». Используйте это окно, чтобы исправить дату и время, если это необходимо. Это может решить проблему, поскольку Windows сравнивает сертификат веб-сайта с датой и временем, установленными на вашем компьютере.

Попробуйте другие решения

Если вы по-прежнему сталкиваетесь с ошибкой сертификата в браузере, есть несколько других способов решить эту проблему. Самый простой способ — попробовать другой браузер, например Chrome или Firefox. Вы также можете добавить конкретный сайт, вызывающий у вас проблемы, в список надежных сайтов, выбрав «Свойства обозревателя», «Безопасность» и «Надежные сайты», а затем нажав «Сайты». Добавьте сайт в список, чтобы решить проблему. Точно так же вы можете понизить общий уровень безопасности в том же окне.

Ли Джонсон — писатель-фрилансер из Великобритании. Он имеет опыт работы в самых разных компаниях, от компаний, занимающихся онлайн-маркетингом, до консалтинговых фирм. В настоящее время он учится на степень магистра физики и имеет способности к математике.

Включить SSL в IIS не так просто, как установить флажок, особенно в Windows XP Professional. На этом сайте описывается, как использовать OpenSSL для создания самозаверяющего сертификата, который будет свободно включать шифрование SSL для тестирования и личных целей.

Запуск IIS в Windows XP Professional

Многие люди не знают, что Windows XP Professional включает полнофункциональный веб-сервер Microsoft IIS 5.1. Для небольшого офиса или дома это невероятно удобно. Если вы разработчик и хотите попробовать веб-разработку с помощью HTML, Javascript, Active Server Pages (ASP) или VBScript, наличие IIS позволит вам быстро экспериментировать с файлами в вашей локальной системе. Конечно, вы всегда можете загрузить и установить бесплатный и надежный веб-сервер Apache, но IIS несколько проще, а документация лучше. [начинаются жаркие дебаты. ]

Для запуска IIS не нужно покупать более дорогую версию Windows XP Advanced Server или Windows 2000 Server. Однако в стандартном лицензионном соглашении (лицензии) XP Professional указано, что не более 10 компьютеров могут подключаться к вашему компьютеру для IIS, служб файлов/печати и удаленного доступа. Это означает, что вы нарушили бы лицензию, если бы запускали веб-сервер с использованием IIS из своего дома или офиса, и к нему одновременно подключалось более 10 человек. Если вам нужно бесплатное решение и вам не нужен ASP, вы также можете запустить Apache+PHP на своем компьютере с XP Professional. Этот дуэт является бесплатным, неограниченным и служит той же цели.

Установка IIS в Windows XP Professional

Информационный сервер Интернета (IIS) не установлен по умолчанию в Windows XP. Для его установки необходимо войти под учетной записью с правами администратора и перейти в «Панель управления» -> «Установка и удаление программ» -> «Установка/удаление компонентов Windows». Просто установите флажок «Internet Information Services» и завершите установку. (Обратите внимание: если вы нажмете кнопку «Подробнее», вы также сможете установить бесплатный FTP-сервер Microsoft.)

После этого на вашем жестком диске появится каталог c:\Inetpub\wwwroot, содержащий файлы, которые будет обслуживать ваш веб-сервер. Чтобы проверить свой сервер, используйте Internet Explorer или Mozilla и введите «http://localhost» или «http://127.0.0.1» в URL-адресе. Вы увидите либо страницу «В разработке», либо страницу Microsoft, на которой говорится, что ваш веб-сервис запущен. Это файлы по умолчанию, установленные IIS в каталоге wwwroot, и их безопасно удалить, если вы хотите установить базовую установку IIS. Создайте текстовый файл с именем «Default.asp», введите в него что-нибудь и сохраните его в каталоге wwwroot. Когда вы снова перезагрузите свой сайт, вы увидите только что созданный файл, отображаемый в браузере. Теперь вы можете свободно экспериментировать с HTML, Javascript, CSS и т. д. Если вы не хотите изучать ASP, вы можете загрузить и установить бесплатный и мощный механизм сценариев PHP, который легко интегрируется в IIS. PHP — восходящая звезда в написании сценариев на стороне веб-сервера; его используют Yahoo!, CBS и другие крупные корпорации. Например, можно на лету создавать собственные GIF-изображения, используя одну из библиотек функций PHP. В PHP есть десятки других полезных библиотек функций. Кроме того, документация превосходна.

Требования к установке самоподписанного сертификата

  • Двоичные и исходные коды OpenSSL i386 (бесплатно)
  • Активный Perl (бесплатно)
  • Основные знания о том, как использовать командную оболочку "cmd"
  • Возможность использования текстового редактора

Безопасность каталога IIS

Сначала откройте консоль конфигурации IIS. Чтобы сделать это простым способом, щелкните правой кнопкой мыши «Мой компьютер» на рабочем столе и выберите «Управление». Вы также можете попасть в него через "Панель управления"->"Администрирование"->"Управление компьютером". Разверните следующую иерархию: «Службы и приложения» -> «Информационные службы Интернета» -> «Веб-сайты» -> «Веб-сайт по умолчанию».

Щелкните правой кнопкой мыши "Веб-сайт по умолчанию" и выберите "Свойства". Затем перейдите на вкладку "Безопасность каталога".

Подготовить запрос сертификата

Нажмите кнопку "Сертификат сервера". Откроется мастер сертификатов веб-сервера. Нажмите кнопку "Далее". На этом этапе у вас есть варианты «Создать новый сертификат», «Назначить существующий сертификат» и «Импортировать сертификат из файла резервной копии диспетчера ключей». Выберите «Создать новый сертификат» и нажмите «Далее». (Обновление от 05.09.2003. Более простой метод см. в разделе Создание самозаверяющего SSL-сертификата с помощью IIS 6.0 Resource Kit SelfSSL.)

Отступление: бизнес сертификатов

Несмотря на то, что этот шаг помечен как "Создать", на самом деле он означает запрос сертификата у "центра сертификации" и требует некоторых уточнений. Существует такая вещь, как инфраструктура открытых ключей (PKI), которая представляет собой группу компаний, согласившихся доверять друг другу, и набор механизмов для проверки этого доверия. Она похожа на систему Kerberos, разработанную в Массачусетском технологическом институте. На практике это означает, что Windows поставляется с предустановленными сертификатами доверенных компаний. Эти сертификаты можно просмотреть, запустив certmgr.msc из командного окна, и обновить с помощью Центра обновления Windows. Для любого сертификата в списке доверенных сертификатов ваши программы, особенно Internet Explorer, не будут предупреждать вас, когда вы заходите на их веб-сайт с включенным SSL. Если веб-сервер использует сертификат, выданный не доверенной компанией (центром сертификации или ЦС), Internet Explorer предупредит вас о том, что сертификат не является доверенным автоматически, и вам следует действовать с осторожностью.

Для конечного пользователя веб-сайта есть разница между наличием предупреждения системы безопасности и его отсутствием. Все, что отправляется через SSL, шифруется независимо от того, чей сертификат используется, будь то тот, который вы создали на своей собственной машине, или тот, за который вы платите 400 долларов в год. В результате, когда вы запрашиваете сертификат традиционным способом, вы запрашиваете его у администратора «доверенной» стороны, которая имеет право отклонить ваш запрос. Для веб-сайтов это почти всегда такие компании, как Verisign или Thawte, чьи доверенные сертификаты установлены практически во всех веб-браузерах. Они сохраняют доверие, взимая с вас плату, которую они используют, чтобы следить за тем, чтобы никто из тех, кто получил сертификат, подписанный ими, не совершал ничего незаконного или ненадежного.

Для бедняков, у которых нет денег, чтобы потратить их на доверенный сертификат или купить расширенный сервер XP, вы можете выполнить следующие шаги, чтобы использовать бесплатные инструменты OpenSSL для создания собственного сертификата. Это то, как я понял после того, как сегодня порылся в Интернете, и, возможно, это не самый простой способ в городе.

Создайте самозаверяющий сертификат с помощью OpenSSL

Продолжая работу с мастером, выберите "Подготовить запрос сейчас, но отправить позже". Следующие четыре диалоговых окна спросят вас об именах, которые должны быть в сертификате.Вы можете оставить значения по умолчанию или ввести имя и местоположение вашей компании. Наконец, мастер попросит вас сохранить запрос сертификата в файл с именем certreq.txt.

Чтобы создать закрытый ключ и подписать сертификат, вам потребуется загрузить бесплатные пакеты OpenSSL для двоичных файлов и исходных кодов Windows, предоставленные проектом GnuWin32 на SourceForge. Со страницы загрузок проекта GnuWin32 загрузите два zip-файла OpenSSL, помеченные как «src» и «bin» для i386.

Чтобы упростить этот процесс, вам также потребуется загрузить и установить бесплатный ActivePerl. Загрузите и установите его, чтобы вы могли запускать сценарии Perl на своем компьютере независимо или как сценарии в IIS.

Затем распакуйте оба пакета OpenSSL во временные папки. Из папки «bin» пакета двоичных файлов скопируйте файлы «openssl.exe» и две библиотеки DLL в папку «apps» исходного пакета. В папке «приложения» находится файл CA.pl. Откройте этот perl-скрипт в текстовом редакторе и измените строку $SSLEAY_CONFIG=$ENV; читать $SSLEAY_CONFIG="-config openssl.cnf"; . (В качестве альтернативы вы можете изменить отдельные вхождения. Измените $CA="openssl ca $SSLEAY_CONFIG"; на $CA="openssl ca -config openssl.cnf"; и $REQ="openssl req $SSLEAY_CONFIG"; на $REQ= «openssl req -config openssl.cnf»; .) Теперь скопируйте созданный выше файл certreq.txt в этот каталог «apps» и переименуйте его в «newreq.pem».

Установить сертификат

Если все прошло успешно, у вас должен быть файл с именем "newcert.pem" в каталоге "apps", который содержит ваш сертификат. Откройте этот файл в текстовом редакторе и удалите все до строки -----BEGIN CERTIFICATE-----.

Вернитесь на вкладку «Консоль управления IIS» -> «Безопасность каталога» и нажмите «Сертификаты сервера». В мастере выберите «Обработать ожидающий запрос и установить сертификат» и нажмите «Далее». Найдите и откройте файл newcert.pem в каталоге «apps». (Обратите внимание: чтобы увидеть файл .pem, вам нужно установить фильтр файлов на «все файлы».) Нажмите «Далее», чтобы завершить процесс.

Вот оно! Теперь у вас настроен IIS с SSL-сертификатом. Чтобы включить SSL, убедитесь, что в разделе «Конфигурация IIS» -> «Вкладка «Веб-сайт»» -> «Дополнительно» -> «Несколько удостоверений SSL для этого веб-сайта» у вас есть IP-адрес по умолчанию, зарегистрированный на порту 443. Если вы хотите разрешить только зашифрованные соединения SSL из веб-браузеров, нажмите кнопку "Изменить" в разделе "Безопасная связь" на вкладке "Безопасность каталога" и установите флажок "Требовать безопасный канал (SSL)".

Результаты установки сертификата в IE

В первом предложении диалогового окна IE указано: Информация, которой вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими, что означает, что данные шифруются. Однако, поскольку сертификат не был подписан ЦС в иерархии доверия, отображается предупреждение. Таким образом, эта процедура не рекомендуется для любых предприятий, собирающих конфиденциальные данные от широкой публики, таких как электронная коммерция. Однако для тестирования и частного использования он может оказаться полезным. Этот сертификат может быть постоянно установлен как доверенный для клиента, и после этого предупреждение будет автоматически пропущено для этого клиента.

ТЕКСТ: Информация, которой вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими. Однако есть проблема с сертификатом безопасности сайта. * Сертификат безопасности был выдан компанией, которой вы не доверяете. Просмотрите сертификат, чтобы определить, хотите ли вы доверять центру сертификации. * Срок действия сертификата безопасности истек или еще не действителен. * Имя в сертификате безопасности недействительно или не соответствует названию сайта.

Результаты установки сертификата в Netscape

В Phoenix/Mozilla/Netscape они увидят похожий диалог.

ТЕКСТ: Веб-сайт, сертифицированный неизвестным органом, невозможно проверить подлинность xyz как надежного сайта. Возможные причины этой ошибки: * Ваш браузер не распознает центр сертификации, выдавший сертификат сайта. * Сертификат сайта неполный из-за неправильной настройки сервера. * Вы подключены к сайту, выдающему себя за xyz, возможно, для получения вашей конфиденциальной информации.

Шифрование в Exchange 2000 с помощью Outlook Web Assistant

Джереми из JD Technology отмечает, что эти инструкции почти идентичны шагам, необходимым для создания и установки сертификата для Exchange 2000 с IIS5 (или только для IIS5 в Windows 2000, если уж на то пошло). Единственное отличие состоит в том, что раздел «Безопасность каталога» находится в «Диспетчере служб Интернета» в «Инструментах администрирования».

Ссылки, связанные с SSL

  • Кто-то написал эти примечания по безопасности, в которых я выяснил, что файл .pem должен быть удален, чтобы службы IIS распознали его как сертификат. См. раздел "Подписание ключей IIS с помощью OpenSSL".
  • Вы можете прочитать о ЦС.pl — более удобный интерфейс для программ сертификатов OpenSSL.
  • Вот основной сайт OpenSSL — небольшая бесплатная программа, которая позволяет включить ограничение IP-адреса для сервера. - Курс по использованию веб-серверов с онлайн-уроками. публикует ежемесячный исследовательский отчет о ведущих ЦС SSL-сертификатов. Является ведущим сайтом с ресурсами по установке, настройке и устранению неполадок IIS.

Компании, продающие SSL-сертификаты

Эти компании продают безопасные сертификаты. Обратите внимание, что даже для «бесплатных» сертификатов компании потребуют некоторой формы подтверждения того, что вы являетесь тем, за кого себя выдаете. Это связано с тем, что веб-браузеры на определенном уровне автоматически доверяют этим сертификатам. Самоподписанный сертификат никому не будет автоматически доверять, но он также полностью неограничен.

  • Verisign — 400-фунтовая горилла сертификатов безопасности
  • Thawte — приобретена Verisign в декабре 1999 г., но сохраняет свой бренд.
  • Качественный SSL — меньший игрок (дешевле)
  • Мгновенный SSL: бесплатные доверенные пробные сертификаты на 30 дней
  • GeoTrust – еще одна известная компания.
  • FreeSSL — бесплатный сертификат на первый год для коммерческих сайтов с небольшим объемом операций и транзакций.
  • Trustwave – поставщик безопасных сертификатов и программного обеспечения для обеспечения безопасности – Полностью проверенные, недорогие безопасные SSL-сертификаты – управляемая сообществом служба, предлагающая бесплатные сертификаты – Предлагаются варианты с небольшими и большими объемами.

Создано 01 мая 2005 г., последнее изменение 01 декабря 2016 г., © Shailesh N. Humbad
Отказ от ответственности: этот контент предоставляется как есть. Информация может быть неверной.

  • Аутентификация личности. Браузер определяет, является ли веб-сервер правильным сервером, а не самозванцем.
  • Конфиденциальность. Информация между браузером и веб-сервером хранится в тайне с помощью шифрования.
  • Целостность данных. Сообщения между браузером и веб-сервером не могут быть изменены другими (например, во время атаки посредника).

SSL (Secure Sockets Layer) — это предшественник TLS. После SSL 3.0 следующее обновление было названо TLS 1.0 (вместо SSL 4.0), потому что обновление версии не совместимо с SSL 3.0. Многие называют TLS SSL (от старых привычек трудно избавиться) или SSL/TLS, несмотря на то, что технически все версии SSL в настоящее время устарели.

Проверить SSL

  • Если вы видите надежный замок рядом с доменом, это означает, что ваш сайт защищен сертификатом SSL. Вы также можете щелкнуть этот значок, чтобы просмотреть сведения о сертификате, такие как дата истечения срока действия и издатель.

  • Если вы видите предупреждение системы безопасности, это означает, что ваш сайт не защищен SSL, и вам необходимо его добавить.

  • Если замок рядом с вашим доменом сломан, перечеркнут или показывает «дополнительную информацию», это означает, что ваш сайт защищен SSL, но на странице есть смешанный контент, который необходимо исправить.

Вы также можете проверить свой статус SSL с помощью внешнего инструмента:

Добавить SSL

Прежде чем добавить SSL в свой домен, вам необходимо убедиться, что домен был добавлен на пользовательский портал и что вы указали DNS для домена. SSL не может быть успешно заказан или установлен без выполнения обоих этих шагов.

  1. Откройте пользовательский портал
  2. Выберите название рабочей среды.
  3. Нажмите "SSL".
  4. Нажмите "Добавить сертификаты".
  5. Выберите элемент из этого списка параметров SSL-сертификата:
  6. Следуйте инструкциям, чтобы завершить процесс запроса.
  7. После завершения установки SSL вы получите электронное письмо и станут доступны параметры SSL.

Здесь процесс автоматизирован. После размещения заказа наша система проверит указание DNS и установит сертификат. Обычно сертификаты устанавливаются всего за несколько минут, однако в некоторых случаях это может занять до 24 часов.

Все SSL-сертификаты, заказанные через WP Engine, по умолчанию автоматически обновляются и защищают все URL-адреса.

Давайте зашифруем SSL-сертификаты

Если вы хотите, но не видите WWW- или не-WWW-версию вашего домена, указанную здесь, убедитесь, что оба варианта добавлены на пользовательский портал.

Срок действия сертификатов Let’s Encrypt истекает через 90 дней. Наша система попытается автоматически продлить эти 15 дней до истечения срока действия.

Заказ сертификата Let’s Encrypt заменяет все существующие сертификаты в WP Engine для этого домена (пример: сторонний сертификат).

Импорт стороннего SSL-сертификата

Импорт стороннего SSL необходим в различных ситуациях:

  • Если у вас уже есть действующий сертификат SSL, который вы хотите использовать
  • Если вам нужно использовать подстановочный SSL-сертификат
  • Если вам нужно использовать расширенную проверку (EV)
  • Если вам нужно использовать многодоменный сертификат (SAN)

Сторонние SSL-сертификаты также позволяют защитить домен до того, как DNS будет направлен на WP Engine. SSL не будет активен, пока вы не укажете DNS на свой сервер WP Engine и не добавите домен на пользовательском портале. Возможно, вам придется использовать трюк с файлом хоста для проверки SSL перед указанием DNS.

Для успешного импорта любого стороннего SSL требуется соответствующий сертификат и файл ключа. В некоторых случаях могут потребоваться дополнительные промежуточные сертификаты.

В планы уровня Startup нельзя импортировать сторонние SSL-сертификаты. Ознакомьтесь с другими нашими предложениями SSL здесь. В тарифных планах общего хостинга домен может быть добавлен только в рабочей среде, поэтому SSL может быть установлен только в рабочей среде.

Импорт с использованием существующих файлов сертификатов

Если у вас уже есть сертификат SSL и соответствующий файл закрытого ключа, выполните следующие действия. Если вы не уверены, что у вас есть оба совпадающих файла, выполните шаги Создать новый запрос на подпись сертификата (CSR), описанные ниже.

Перед импортом сертификата убедитесь, что домены добавлены на пользовательский портал.

Ваш сертификат и ключевой файл будут проверены, и если они совпадают, они будут установлены и активированы. Если ваши файлы не совпадают, вы получите уведомление, и SSL не будет установлен или активирован.

Создать новый запрос на подпись сертификата (CSR)

Этот раздел поможет вам создать CSR (запрос на подпись сертификата) и импортировать соответствующий файл сертификата в WP Engine. Создайте CSR и выполните следующие действия, если у вас нет файла сертификата, файла ключа или соответствующего файла сертификата и ключа.

Помните, что для успешной установки SSL WP Engine нужны оба файл ключа и файл сертификата, которые соответствуют друг другу. Создание CSR выполнит ключевую часть этих требований за вас, поэтому все, что вам нужно сделать, это получить соответствующий сертификат от издателя SSL и предоставить его нам.

Перед созданием CSR убедитесь, что домены добавлены на пользовательский портал.

  1. Войдите на пользовательский портал
  2. Выберите имя среды, для которой вы хотите создать CSR.
  3. Нажмите "SSL".
  4. Выберите "Добавить сертификаты".
  5. В разделе Создать новый запрос на подпись сертификата (CSR) выберите Создать CSR.
    1. Выберите тип сертификата
      • Это должно соответствовать типу существующего SSL, который вы будете импортировать.
    2. Выберите домен(ы), для которых был выпущен сертификат при первоначальной покупке.
    3. Заполните необходимую информацию о компании.
    4. Нажмите "Создать CSR".

    Наша система по умолчанию создает 256-битные файлы CSR. Если вам нужен более высокий бит CSR, обратитесь в нашу службу поддержки.

    1. На следующей странице будет показано содержимое файла CSR.
    2. Подтвердите правильность информации в правой части страницы
    3. Используйте «Нажмите, чтобы скопировать» или «Загрузить как .CSR», чтобы правильно скопировать все содержимое CSR. Полный CSR будет включать следующий текст вверху и внизу:
      • -----НАЧАТЬ ЗАПРОС СЕРТИФИКАТА-----
      • -----ЗАВЕРШИТЬ ЗАПРОС СЕРТИФИКАТА-----

    Мы рекомендуем оставить эту страницу открытой в отдельной вкладке или окне, чтобы вы могли легко вернуться к ней позже.

    Получив CSR, вы должны предоставить его стороннему центру сертификации SSL. Центр сертификации SSL или эмитент — это компания, у которой вы изначально приобрели сертификат SSL.

    Потенциальные проблемы с SSL

    При запросе, установке или активации SSL возможны проблемы. Если у вас возникли проблемы с SSL, поддержка WP Engine доступна круглосуточно и без выходных, и мы предоставили дополнительную информацию об устранении неполадок ниже.

    Ошибки выдачи SSL

    Если ваш запрос SSL не обрабатывается автоматически, будет создан запрос в службу поддержки с заголовком «Ошибка проверки домена сертификата» или «Ошибка центра сертификации». Если вы столкнулись с этими ошибками, убедитесь, что ваш DNS правильно указывает на WP Engine и что ваш домен не перенаправляется на другой домен.

    Let’s Encrypt также не выдает сертификаты для доменных имен с высоким уровнем риска, которые напоминают известные банки или бренды (пример: wellsfargo.world или cocacola.info ), или для сайтов, которые Google помечает как небезопасные .

    Облачная вспышка

    Если вы используете Cloudflare, вам также потребуется настроить параметры SSL на их панели управления. Узнайте больше о рекомендациях Cloudflare.

    Предупреждения сертификата SSL/TLS для Internet Explorer в Windows XP

    WP Engine использует указание имени сервера (SNI) для сертификатов SSL/TLS. SNI обеспечивает эффективный способ настройки сертификатов и хорошо работает с большинством браузеров. Однако посетители, использующие Internet Explorer в Windows XP, могут увидеть следующую ошибку. Лучше всего использовать альтернативный или обновленный браузер.

    Сукури WAF

    Служба брандмауэра Sucuri может препятствовать обработке вашего SSL из-за дополнительного уровня DNS. Пожалуйста, свяжитесь с командой Sucuri напрямую, чтобы запросить включение опции Forward Certificate Validation to Hosting. Это позволит нормально обрабатывать ваш запрос сертификата Let’s Encrypt.

    Смешанный контент

    Параметры безопасного URL

    Чтобы просмотреть параметры SSL, просто нажмите на доменное имя, чтобы развернуть параметры. Параметр «защитить все URL-адреса» выбран по умолчанию для SSL, заказанного через WP Engine.

    У вас также будет возможность выбрать «Защитить определенные URL-адреса». Если вы выберете этот вариант, вам нужно будет использовать RegEx, чтобы обеспечить надлежащую защиту этих URL-адресов.

    Принудительно подключаемые модули SSL

    Подключаемые модули Force SSL могут вызывать циклы перенаправления, если их настройки противоречат настройкам на панели инструментов SSL. Мы рекомендуем вам использовать настройки, которые мы предоставляем на панели управления SSL, поскольку они работают на стороне сервера и были тщательно протестированы с нашей платформой. Использование настроек непосредственно на уровне сервера сохраняет функцию принудительного SSL в Nginx, делая ее быстрее и эффективнее.

    Как узнать, использую ли я принудительный подключаемый модуль SSL?

    Читайте также: