Хранилище сертификатов содержит SSL-сертификаты, доступные для вашего аккаунта, и позволяет устанавливать их на конкретные домены и сервисы.

Перед началом работы с сертификатамиПеред началом работы с сертификатами

Чтобы начать использовать SSL-шифрование на домене или сервисе, необходимо выполнить два шага:

1. Добавление сертификата в Хранилище сертификатов

   В разделе Хранилище сертификатов личного кабинета вы можете добавить сертификат в систему, сгенерировав его с помощью сервиса Let's Encrypt или загрузив готовые файлы из другого источника. Эти же действия можно выполнить с помощью методов Qrator API. Добавленный сертификат не начинает использоваться автоматически, но становится доступным для установки на любой из доменов и сервисов аккаунта, см. следующий шаг.

2. Установка сертификата для домена или сервиса

   Установка сертификата означает настройку соответствия между сертификатом и конкретным доменным именем, для которого будет использоваться этот сертификат. Установку можно выполнить в разделе Хранилище сертификатов, в разделе SSL для домена или сервиса, а также с помощью методов Qrator API.

   При установке сертификата вы указываете, для каких доменных имён он будет использоваться. Также вы можете выбрать опцию Хост по умолчанию. Сертификат, установленный с такой опцией, будет использован в случаях, когда пользователь делает запрос к доменному имени, для которого другой сертификат не назначен. Каждый домен или сервис, для которого установлены сертификаты, должен иметь один сертификат с опцией Хост по умолчанию.

Посмотреть список сертификатовПосмотреть список сертификатов

Сертификаты, добавленные в Хранилище сертификатов, отображаются в таблице Активные сертификаты. Доступны следующие столбцы:

• ID — уникальный числовой идентификатор сертификата в системе Qrator Labs.
• Истекает — конец периода действия сертификата. Если период действия уже закончился, это поле выделяется цветом.
• Тип — происхождение сертификата: Загруженный или Let's Encrypt.
• Subject — доменные имена, для которых действителен сертификат, а также ссылка для просмотра краткой информации о сертификате.

Если сертификат установлен на одном или нескольких ресурсах (доменах или сервисах), то для него будет показана дополнительная информация:

• Ресурсы — ссылки на раздел SSL для управления установленными сертификатами для доменов или сервисов. Ссылки в разных строчках ведут на настройки разных доменов или сервисов.
• Имя хоста — информация о том, для каких доменных имён используется этот сертификат. Каждая строчка может быть конкретным доменным именем или строкой default hostname, см. Перед началом работы с сертификатами.

Над таблицей присутствуют поля фильтров, с помощью которых вы можете находить сертификаты, содержащие нужные значения в полях Subject, Имя хоста и Ресурсы.

Посмотреть информацию о сертификатеПосмотреть информацию о сертификате

Выпустить сертификат Let's EncryptВыпустить сертификат Let's Encrypt

Qrator Labs позволяет выпустить новый сертификат для вашего доменного имени непосредственно из личного кабинета благодаря интеграции с сервисом Let's Encrypt.

1. Убедитесь, что нужное доменное имя уже добавлено в настройках сервиса, для которого оно будет использовано. В противном случае Qrator Labs не сможет подтвердить управление доменным именем во время проверки Let's Encrypt.

   • Для обратного HTTP-прокси: в A-записи зоны DNS для доменного имени укажите Qrator IP, а само доменное имя добавьте в список апстримов.
   • Для Qrator.CDN: создайте CNAME-запись в DNS для доменного имени в соответствии с инструкциями при подключении, а само доменное имя добавьте в список хостнеймов как имя без сертификата.
   • Для подключения по BGP: настройте BGP-пиринг с сетью Qrator Labs и включите сервис в личном кабинете.

2. Перейдите в раздел Хранилище сертификатов и нажмите кнопку Добавить сертификат.

   На открывшейся странице выберите вкладку Использовать Let's Encrypt. Нажмите кнопку Далее.

3. Укажите информацию для прохождения проверки HTTP-01 challenge для Let's Encrypt:

   • выберите домен или сервис на вашем аккаунте, на котором уже настроена работа обратного HTTP-прокси Qrator Labs или работа по BGP,
   • введите одно или несколько доменных имён, для которых должен быть выпущен сертификат.

   Обратный прокси на стороне Qrator Labs автоматически выполнит необходимые требования для прохождения проверки. Дополнительная настройка с вашей стороны для этого не требуется.

   Нажмите кнопку Создать сертификат.

4. Дождитесь завершения проверки запроса сервером Let's Encrypt. Если процесс занимает долгое время, вы можете закрыть вкладку и вернуться к процессу позже, см. Посмотреть или удалить незавершённые операции.

   Если проверка завершится ошибкой, вы увидите сообщение с описанием ошибки. При необходимости свяжитесь с технической поддержкой Qrator Labs для выяснения причины проблемы.

5. Перед добавлением сертификата в Хранилище сертификатов вы увидите экран подтверждения, на котором сможете ознакомиться с детальной информацией о добавляемом сертификате.

   Информация о цепочке:

   • Not valid before, Not valid after — начало и конец периода действия сертификата.
   • Длина цепочки — количество сертификатов в цепочке, не считая конечного сертификата.

   Информация о каждом публичном ключе:

   • Subject — сведения об области применимости сертификата.
   • Not valid before, Not valid after — начало и конец периода действия ключа.
   • SHA-1, SHA-256 — отпечатки открытого ключа.

   Чтобы завершить операцию, нажмите кнопку Добавить в хранилище сертификатов.

   Обратите внимание, что добавление сертификата не означает его автоматическую установку и использование, см. подробности в разделе Перед началом работы с сертификатами.

Загрузить сертификатЗагрузить сертификат

Воспользуйтесь этим способом добавления, если вы уже сгенерировали SSL-сертификат с помощью какого-либо сервиса или самостоятельно.

1. Перейдите в раздел Хранилище сертификатов и нажмите кнопку Добавить сертификат.

   На открывшейся странице будет автоматически выбрана вкладка Загрузить сертификат.

2. Укажите файлы, которые вы хотите загрузить. Для этого кликните по значку и выберите файлы в системном диалоге или просто перетащите их на страницу.

   Список файлов, выбранных для загрузки, будет показан в специальном диалоге подтверждения. В этом диалоге вы можете:

   • нажать ссылку Удалить, чтобы отменить загрузку конкретного файл, выбранного по ошибке,
   • нажать ссылку Удалить все, чтобы очистить список файлов,
   • нажать ссылку , чтобы выбрать дополнительные файлы.

   Убедитесь, что предоставляемый вами набор файлов содержит как публичные ключи или цепочки их публичных ключей, так и соответствующие им приватные ключи.

   Поддерживаются сертификаты X.509 в формате PEM. В качестве контейнерных форматов поддерживаются pem, cer, crt, der, p7b, p7c, p12. Весь набор файлов или его часть может быть загружена в виде архива в одном из форматов: tar, tar.gz, tar.bz2, zip, 7z.

3. Нажмите кнопку Загрузить и дождитесь завершения обработки файлов. Если процесс занимает долгое время, вы можете закрыть вкладку и вернуться к процессу позже, см. Посмотреть или удалить незавершённые операции.

4. Если предоставленный набор файлов содержит несколько сертификатов или несколько возможных цепочек для одного сертификата, то вы увидите информацию обо всех доступных вариантах. (Если набор файлов содержит только один сертификат и одну цепочку, то этот шаг автоматически пропускается.)

   

   Выберите нужный сертификат и цепочку с помощью ссылок Предыдущий и Далее.

   Нажмите кнопку Установить, чтобы перейти к следующему шагу.

5. Перед добавлением сертификата в Хранилище сертификатов вы увидите экран подтверждения, на котором сможете ознакомиться с детальной информацией о добавляемом сертификате.

   Информация о цепочке:

   • Not valid before, Not valid after — начало и конец периода действия сертификата.
   • Длина цепочки — количество сертификатов в цепочке, не считая конечного сертификата.
   • Self-signed — является ли сертификат самоподписанным.
   • Trusted CA — содержит ли цепочка сертификат, подписанный доверенным удостоверяющим центром.

   Информация о каждом публичном ключе:

   • Subject — сведения об области применимости сертификата.
   • Not valid before, Not valid after — начало и конец периода действия ключа.
   • SHA-1, SHA-256 — отпечатки открытого ключа.

   Чтобы завершить операцию, нажмите кнопку Добавить в хранилище сертификатов.

   Обратите внимание, что добавление сертификата не означает его автоматическую установку и использование, см. подробности в разделе Перед началом работы с сертификатами.

   Примечание

   Если загруженный набор файлов содержит несколько сертификатов, то после добавления вы можете закрыть диалог и вернуться к предыдущему шагу, чтобы добавить в Хранилище сертификатов ещё один сертификат из набора.

Посмотреть или удалить незавершённые операцииПосмотреть или удалить незавершённые операции

Существуют два вида незавершённых операций по добавлению сертификата:

• Заявки в обработке

  Когда для заявки на добавление сертификата была запущена, но ещё не завершилась проверка на сервере Let's Encrypt или обработка на сервере Qrator Labs, эта заявка отображается на вкладке В обработке. Если в вашем аккаунте нет заявок с таким статусом, вкладка не отображается.

• Обработанные заявки

  Когда автоматическая проверка уже завершена, эта заявка отображается на вкладке Обработаны. Если в вашем аккаунте нет заявок с таким статусом, вкладка не отображается.

Чтобы перейти к незавершённой операции:

1. Перейдите в раздел Хранилище сертификатов. Откройте вкладку В обработке или Обработаны.

2. Кликните по нужной операции.

   После этого вы сможете продолжить добавление сертификата с того же места, на котором запапустилась проверка на сервере Let's Encrypt или обработка на сервере Qrator Labs.

Чтобы отменить операцию:

1. Перейдите в раздел Хранилище сертификатов. Откройте вкладку В обработке или Обработаны.

2. Найдите операцию, которую вы хотите отменить, и кликните рядом с ней.

3. В диалоге подтверждения нажмите Удалить.

Установить сертификат для домена или сервисаУстановить сертификат для домена или сервиса

Как описано в разделе Перед началом работы с сертификатами, для установки необходим сертификат, уже добавленный в Хранилище сертификатов.

Чтобы установить сертификат:

1. Перейдите в раздел Хранилище сертификатов.

2. Найдите строку с нужным сертификатом и кликните на неё.

3. Нажмите кнопку Установить сертификат.

4. В появившемся диалоге выберите Ресурс — домен или сервис на вашем аккаунте, для которого вы хотите установить сертификат.

   Нажмите Далее.

5. Укажите, для каких доменных имён должен использоваться этот сертификат.

   • Если сертификат должен использоваться для одного или нескольких конкретных доменных имён, введите их в текстовое поле. После каждого доменного имени нажимайте клавишу Enter или Пробел или вводите запятую.

   • Если сертификат должен использоваться в ситуациях, когда пользователь ещё не указал требуемое доменное имя или указал доменное имя, для которого не настроен никакой другой сертификат, отметьте опцию Использовать данный сертификат по умолчанию для любого доменного имени.

   Нажмите кнопку Установить.

   Важно

   Обратите внимание, что если на домене или сервисе установлен хотя бы один сертификат для какого-либо доменного имени, то на этом домене или сервисе также обязательно должен быть установлен сертификат по умолчанию.

Включить или выключить автообновлениеВключить или выключить автообновление

Для сертификатов Let's Encrypt, выпущенных через личный кабинет, Qrator Labs может выполнять автоматическое обновление, см. Автоматический выпуск сертификатов. По умолчанию эта функция включена для каждого такого сертификата.

Чтобы отключить эту функцию или включить её заново:

1. Перейдите в раздел Хранилище сертификатов.

2. Найдите строку с нужным сертификатом типа Let's Encrypt и кликните на неё.

3. Рядом с полем Автообновление сертификата нажмите кнопку Выключить автообновление или Включить автообновление. В появившемся диалоге подтвердите выбранное действие.

Спрятать приватный ключ сертификатаСпрятать приватный ключ сертификата

По умолчанию любой пользователь вашего аккаунта, входящий в группу с политикой Раздел 'Хранилище Сертификатов', может посмотреть полную информацию о любом сертификате, в том числе его приватный ключ. В зависимости от состава вашей команды, это может быть нежелательно с точки зрения безопасности, поэтому Qrator Labs позволяет навсегда спрятать содержимое приватного ключа конкретного сертификата из личного кабинета, не повлияв на работоспособность сертификата.

Чтобы спрятать содержимое приватного ключа из личного кабинета:

1. Перейдите в раздел Хранилище сертификатов.

2. Найдите строку с нужным сертификатом и кликните на неё.

3. Рядом с полем Private key нажмите кнопку Защитить приватный ключ. В появившемся диалоге подтвердите выбранное действие.

Удалить сертификатУдалить сертификат

1. Перейдите в раздел Хранилище сертификатов.

2. Найдите строку с сертификатом, который вы хотите удалить, и кликните на неё.

3. В верхней части открывшейся страницы нажмите кнопку Удалить.

   Если сертификат установлен на доменах или сервисах, появится сообщение о том, что удаление сертификата невозможно. В этом случае перейдите к настройкам соответствующих доменов или сервисов и отключите сертификат, после чего начните удаление заново.

4. В появившемся диалоге подтвердите действие, нажав кнопку Удалить.