bg gradient

Вопросы и ответы о SSL

Часто задаваемые вопросы о сертификатах SSL

Заказ сертификата

1. Я хочу передать свой сертификат через другого поставщика — это возможно?

2. Какие веб-серверы совместимы с SSL-сертификатами от GlobalSign?

3. Могу ли я защитить свой открытый IP-адрес?

4. Что такое CSR и как его создать?

5. Мой CSR кажется недействительным или не может быть расшифрован — что делать?

6. Как утвердить свой запрос на получение сертификата доменного имени DomainSSL, если все адреса электронной почты для утверждения являются недействительными?

 

Мне предоставили мой сертификат

7. Мой закрытый ключ был утерян — как я могу получить новый сертификат?

8. Мне не удается экспортировать мой сертификат.

9. Как повторно выпустить мой SSL-сертификат?

10. Могу ли я использовать свой SSL-сертификат на новом сервере или компьютере?

11. Как я могу получить удостоверение безопасности сайта?

12. Могу ли я изменить доменное имя в моем SSL-сертификате?

13. Как я могу добавить поддомен к своему SSL-сертификату?

14. Сколько серверов я могу защитить с помощью одного SSL-сертификата?

15. Имя SSL-сертификата недействительно или не соответствует имени веб-сайта.

 

Установка SSL-сертификата

16. Как узнать, правильно ли установлен мой сертификат?

17. Как узнать, какой промежуточный сертификат соответствует моему SSL-сертификату?

18. Почему на моем веб-сайте не отображается значок замка, хотя мой SSL-сертификат установлен?

19. Сообщение об ошибке указывает на то, что на странице имеются как защищенные, так и незащищенные элементы.

 

 

Заказ сертификата

1. Я хочу передать свой сертификат через другого поставщика — это возможно?

Да. Для получения дополнительной информации посетите эту страницу.

 

 

2. Какие веб-серверы совместимы с SSL-сертификатами от GlobalSign?

SSL-сертификаты от GlobalSign работают со всеми серверами, совместимыми со стандартом x509 v3, которые могут размещать заявку в формате PKCS#10.

 

 

3. Могу ли я защитить свой открытый IP-адрес?

SSL-сертификат обычно выпускается для полного доменного имени (FQDN), например www.moydomen.ru. Однако некоторым организациям требуется защитить один конкретный IP-адрес, и компания GlobalSign предоставляет такую возможность благодаря своему сертификату организации OV SSL.

Следует учесть, что для этого можно использовать только открытые IP-адреса. Такой IP-адрес нужно ввести вместо доменного имени в поле «Common name» в CSR.

 

 

4. Что такое CSR и как его создать?

CSR или запрос на получение сертификата является зашифрованным отрывком текста, содержащим закодированную информацию об организации и доменном имени. Чтобы получить SSL-сертификат, нужно обязательно подать CSR.

Компания GlobalSign принимает только CSR, зашифрованные с длиной ключа 2048 бит, и отклоняет все запросы с открытым ключом, уже использованные ранее.

Чтобы получить инструкции по созданию запроса на получение сертификата с вашего сервера, посетите эту страницу. Если при создании запроса на получение сертификата у вас возникли трудности, вы можете воспользоваться функцией Auto-CSR (не действует для сертификатов EV SSL).

 

 

5. Мой CSR кажется недействительным или не может быть расшифрован — что делать?

PЧтобы быть действительным, CSR сертификата должен быть создан с удовлетворением определенных требований. Чтобы убедиться, что вы правильно создали ваш CSR, посетите страницу Генерация CSR.

Убедитесь, что ваш CSR начинается с текста «-----BEGIN NEW CERTIFICATE REQUEST-----» и заканчивается текстом «-----END NEW CERTIFICATE REQUEST-----», не забывая о 5 тире в начале и в конце фразы.

Если вы правильно выполнили указанные инструкции, но ваш CSR все-таки не может быть распознан, возможно, в нем содержатся недопустимые символы. В таком случае обратитесь в нашу службу технической поддержки, написав по адресу support@globalsign.com, и ваша проблема будет рассмотрена.

Если вы продляете сертификат, убедитесь, что вы создаете CSR сертификата с использованием нового закрытого ключа, иначе ваш запрос будет недействителен.

 

 

6. Как утвердить свой запрос на получение сертификата доменного имени DomainSSL, если все адреса электронной почты для утверждения являются недействительными?

В такой ситуации можно поступить одним из следующих способов:

- Вы можете выбрать случайный адрес электронной почты, чтобы завершить подачу запрос, и затем отправить электронное сообщение по адресу vetting-emea@globalsign.com, в котором подать заявку на изменение адреса эл. почты. Такое изменение осуществляется при условии соблюдения некоторых условий, о которых вам сообщат.

- Вторым возможным решением является покупка доменного сертификата DomainSSL с Meta Tag. Этот продукт позволит компании GlobalSign убедиться в том, что вы контролируете домен, для которого вы хотите приобрести сертификат; для этого вам необходимо встроить метатег в код домашней страницы вашего веб-сайта. Если вы решили воспользоваться этим способом, вы можете следовать данным инструкциям:

  1. Выберите свой продукт DomainSSL и начните подачу заявки, заполнив требуемую информацию.
  2. meta tag
  3. Дойдя до страницы утверждения, поставьте галочку напротив пункта «Use Approver URL method» в нижней части страницы и нажмите «Continue».
  4. meta tag
  5. Завершите подачу запроса. Вы получите метатег, который вам будет необходимо вставить в раздел <head> </head> домашней страницы вашего веб-сайта. Этот же метатег вы получите по электронной почте.
  6. meta tag

  7. После вставки кода перейдите к своему запросу, нажав пункт «Order History/ Certificate Renewals» в меню слева на странице вашей учетной записи клиента GlobalSign. Затем нажмите кнопку «Edit» и перейдите к центральной части страницы в раздел «Approver URL details». Нажмите крестик, чтобы прокрутить выбор, а затем нажмите «Verify my Domain». Выберите проверку в http или https и укажите, содержит ли проверяемая страница www. Нажмите «Verify». Компания GlobalSign проверит, вставлен ли метатег, чтобы подтвердить, что вы контролируете домен. В случае неудачной проверки вам отобразится сообщение об ошибке. Проверьте, в правильном ли месте вставлен метатег, и повторите попытку.
  8. По завершении проверки на экране отобразится подтверждающее сообщение. Также вы получите электронное сообщение с подтверждением.
  9. Ваш сертификат будет выпущен в течение нескольких следующих минут.

 

 

Мне предоставили мой сертификат

 

7. Мой закрытый ключ был утерян — как я могу получить новый сертификат?

В этом случае новый сертификат не нужен. Вам нужно будет всего лишь повторно выпустить ваш сертификат, следуя инструкциям, приведенным в вопросе 9.

 

 

8. Мне не удается экспортировать мой сертификат.

Если вам не удается экспортировать свой сертификат, возможно, ваш закрытый ключ был утерян. Этот ключ хранится на вашем компьютере. Вы не можете перейти непосредственно к нему, и если вы его утеряли, то вам нужно будет повторно выпустить свой сертификат, если только вы предварительно не сделали копию закрытого ключа своего сертификата.

Чтобы повторно выпустить свой сертификат, см. вопрос 9.

 

 

9. Как повторно выпустить мой SSL-сертификат?

Если вы потеряли свой закрытый ключ или если из-за конфигурации вам не удается установить свой SSL-сертификат, вы можете повторно выпустить его бесплатно, следуя приведенным далее инструкциям. Компания GlobalSign предоставляет вам возможность выпускать ваш сертификат любое количество раз без дополнительной оплаты.

  1. Создайте новый CSR на основании нового закрытого ключа. Если вы выбрали пункт «Auto-CSR», то создавать новый CSR не нужно.
  2. Выполните вход в свою учетную запись клиента GlobalSign и нажмите «Order History/ Certificate Renewal» в разделе «SSL Certificate Management», в меню слева.
  3. Найдите сертификат для повторного выпуска и нажмите «Edit».
  4. Нажмите кнопку «Reissue Certificate» в верхней части страницы..
  5. Затем вы сможете указать, хотите ли вы перевыпустить свой сертификат вместе с CSR (I do not have a CSR, so I will use the AutoCSR delivery method (we generate the CSR for you) или со своим собственным CSR (Yes, I already have a CSR and will paste it into the input box below (default). Если вы выбрали пункт «Auto-CSR», вам нужно будет ввести уникальный пароль, состоящий из цифр и букв, который нужно будет запомнить. Если вы выбрали второй вариант, в текстовое поле вставьте ваш новый CSR. Нажмите «Continue».
  6. Проверьте правильность отображенной информации и нажмите «Continue».
  7. С этого момента ваш сертификат является повторно выпущенным под новым номером заказа. В течение нескольких минут после выдачи вы получите его по электронной почте. Если вы выбрали пункт «Auto-CSR», то для доступа к своему сертификату вам нужно будет выполнить вход в свою учетную запись.

 

 

10. Могу ли я использовать свой SSL-сертификат на новом сервере или компьютере?

Да, если имя компьютера остается прежним, то вам достаточно экспортировать ваш сертификат и импортировать его на новый сервер или компьютер. Обязательно экспортировать и импортировать сертификат и закрытый ключ вместе. Процесс экспорта может изменяться в зависимости от типа сервера. Подробные инструкции на английском языке доступны на этой странице. При наличии любых вопросов обращайтесь в службу технической поддержки GlobalSign по адресу support@globalsign.com.

 

 

11. Как я могу получить удостоверение безопасности сайта?

Посетите эту страницу, чтобы получить дополнительную информацию о печати безопасности сайта от GlobalSign.

 

 

12. Могу ли я изменить доменное имя в моем SSL-сертификате?

Изменить доменное имя вашего сертификата невозможно, иначе это приведет к тому, что сертификат станет недействительным. Если вам необходимо защитить новое доменное имя, вам нужно заказывать новый сертификат. Если у вас есть вопросы по данной теме, обратитесь в компанию GlobalSign.

 

 

13. Как я могу добавить поддомен к своему SSL-сертификату?

Выбор поддомена, который вы сможете добавить, будет зависеть от типа купленного вами сертификата. Для получения дополнительной информации о типе поддомена, который вы сможете добавить, посетите веб-страницу, соответствующую вашему сертификату: DomainSSL (DV), OrganizationSSL (OV) ou ExtendedSSL (EV).

  1. Выполните вход в свою учетную запись GlobalSign и найдите свой заказ в разделе «Order history/ certificate renewals» в меню слева.
  2. Найдя свой заказ, нажмите «Edit».
  3. Затем нажмите кнопку «Change SAN option» в верхней части страницы.
  4. добавить SAN
  5. Далее выберите тип и количество добавляемых поддоменов.

    - domain names: они соответствуют доменному имени, отличному от того, для которого был выпущен ваш сертификат. Таким образом, если ваш сертификат был выдан для www.odindomen.ru, вы можете добавить www.drugoydomen.ru к этому же сертификату.

    - subdomains: они соответствуют поддомену доменного имени, указанного в сертификате. Таким образом, если ваш сертификат был выдан для www.odindomen.ru, вы можете добавить scheta.odindomen.ru.

    - IP addresses: вы можете добавить несколько открытых IP-адресов к вашему сертификату, независимо от того, был ли он выдан для IP-адреса или для доменного имени. Такая возможность имеется только для сертификатов организаций OV SSL.

    - Internal Server names or Internal IP Addresses: вы можете добавить к вашему сертификату имя узла или внутреннего сервера. Такая возможность доступна только для сертификатов организаций и будет убрана 1 ноября 2015 г. Любые сертификаты, дата истечения срока действия которых приходится после 1 ноября 2015 г, не могут содержать имя внутреннего сервера.
  6. добавить SAN
  7. Проверьте информацию по вашему заказу и нажмите «Continue». На следующей странице в соответствующие поля введите один или несколько поддоменов, которые вы ходите добавить. Нажмите «Continue».
  8. Проверив правильность введенной информации, подтвердите вашу заявку.

Сроки выдачи вам обновленного сертификата будут зависеть от типа вашего сертификата и дополнительных проверок, необходимых для подтверждения вашего нового запроса. Чтобы узнать статус рассмотрения вашей заявки, обращайтесь по адресу vetting-emea@globalsign.com.

 

 

14. Сколько серверов я могу защитить с помощью одного SSL-сертификата?

SSL-сертификаты от компании GlobalSign позволяют защищать неограниченное количество веб-серверов. Абсолютно без дополнительных затрат вы можете защитить свой главный, второстепенный или резервный сервер, а также диспетчер нагрузки.

Чтобы установить свой сертификат на каждый сервер, нужно установить его на сервер, с которого вы подали свой CSR. Затем вам необходимо экспортировать SSL-сертификат и закрытый ключ в файл PFX или PKCS#12, после чего импортировать его на другие серверы, которые вы хотите защитить. Нажмите здесь, чтобы получить подробные инструкции об экспортировании вашего SSL-сертификата (на английском).

 

 

15. Имя SSL-сертификата недействительно или не соответствует имени веб-сайта.

Эта ошибка возникает, когда сертификат используется для доменного имени, отличного от того, для которого он был создан. Например, если сертификат заказан для www.domen.ru, он не будет работать для scheta.domen.ru.

Это уведомление безопасности может также отображаться, если вы не установили промежуточный сертификат и перезапустили ваш сервер.

 

 

Установка SSL-сертификата

 

16. Как узнать, правильно ли установлен мой сертификат?

Компания GlobalSign предоставляет в ваше распоряжение полнофункциональный бесплатный инструмент для проверки конфигурации вашего SSL-сертификата. Для получения этого инструмента посетите страницу https://sslcheck.globalsign.com/ru/

 

 

17. Как узнать, какой промежуточный сертификат соответствует моему SSL-сертификату?

Чтобы ваш сертификат мог работать на приложениях и веб-браузерах всех типов, вам необходимо установить промежуточный сертификат, соответствующий вашему серверу.

Чтобы найти промежуточный сертификат, подходящий для вашего типа сертификата, посетите страницу Промежуточные сертификаты.

 

 

18. Почему на моем веб-сайте не отображается значок замка, хотя мой SSL-сертификат установлен?

Это может быть связано с тем, что ссылка SSL-сертификата повреждена тегом <BASE> в разделе <head> веб-страницы. Проверьте, имеется ли в разделе <head> кода вашей веб-страницы элемент, похожий на <BASE href="http://www.domen.ru">.

Это приводит к тому, что все связанные ссылки перенаправляются на http, вместо того чтобы оставаться на https. Поэтому SSL-сессия не может осуществиться, и замок не отображается.

Вам нужно будет удалить указанный элемент из кода страницы и убедиться в отсутствии ссылок, использующих http:// на данной странице.

 

 

19. Сообщение об ошибке указывает на то, что на странице имеются как защищенные, так и незащищенные элементы.

Такое сообщение отображается, когда вы принудительно даете команду веб-серверу на загрузку содержимого со страницы http вместо https, когда вы находитесь в SSL-режиме. Убедитесь в вашем коде, что ни одна из ссылок не начинается с src="http://www.vashsait.ru/images/primer.gif"

Если вы найдете такую ссылку , вы должны сделать так, чтобы она стала относительной (src="/images/primer.gif") или абсолютной с помощью протокола https (src="https://www.vashsait.ru/images/primer.gif").