Информационные технологии для экспертов
В данной статье я хочу изложить свой практический опыт перевода сайта на CMS Bitrix с HTTP на HTTPS. Весь процесс, включая покупку сертификата и его установку, занимает 20 минут. Это если не торопиться. Ручное изменение конфигурационных файлов web-сервера не потребуется, нужно будет только изменить некоторые конфигурационные файлы самого сайта.
Рекомендую для начала сделать резервную копию вашего виртуального сервера (а не одного лишь сайта) со всеми его папками и файлами. На случай, если внесете изменения в какие-нибудь конфигурационные файлы и забудете, где это сделали. Тогда будет просто восстановить систему из копии и начать сначала, как это сделал я.
Если вы не в полной мере знаете что такое HTTPS, SSL, то об этом много исчерпывающей информации в Интернете и ее можно без труда найти.
Приступим тогда к самому процессу перехода, который можно разделить на 3 этапа:
2. Установка сертификата на хостинг, где находится ваш сайт
3. Настройка и корректировка параметров сайта для работы в HTTPS
Характеристики хостинга, на который будут устанавливаться сертификаты:
- выделенный виртуальный сервер
- операционная система CentOS Linux 7.7
- Bitrix VM 7.4.3
Опять же, о видах сертификатов и о том, где их можно приобрести полно информации в интернете. Здесь скажу лишь, что стоимость сертификата может составлять от нескольких сотен рублей до нескольких десятков тысяч и зависит от того, какие данные и какой их объем сертификат подтверждает. Для частного сайта физического лица достаточно самого простого сертификата, подтверждающего доменное имя. Можно найти и бесплатные сертификаты, но нужно внимательно смотреть на условия их применения. Например, бесплатные сертификаты могут иметь крайне ограниченный срок действия (90 дней).
В данном случае был приобретен сертификат AlphaSSL для одного домена на 1 год за 900 руб. Процесс покупки занял около 10 минут и в результате были получены следующие файлы:
а) Сертификат собственно сайта.
б) Корневой сертификат центра, выпустившего сертификат сайта и говорящий о том, что сертификату сайта можно доверять.
в) Один промежуточный сертификат.
г) Приватный ключ.
Все сертификаты должны быть в PEM-кодировке. В ней они находились изначально. Если сертификаты в другой кодировке, то есть множество сервисов конвертирования, в т.ч. команды в Linux. Также, помимо файлов сам код сертификатов был прислан на e-mail. Так что возможностей для сбора итогового сертификата было достаточно.
Помимо сертификатов и ключа были и другие файлы (файл с запросом на создание сертификата), которые для установки не потребуются.Предварительно можно проверить соответствие сертификата сайта приватному ключу. Для проверки есть команда Linux, которой я не пользовался и которую не подскажу. Но я воспользовался on-line-сервисом https://www.sslshopper.com/certificate-key-matcher.html В одно из полей для ввода необходимо вставить содержимое файла приватного ключа, а в другое – содержимое файла сертификата сайта. Соответствовать приватному ключу должен только сертификат сайта. Промежуточные и корневой сертификат не должны совпадать с приватным ключом и проверять их не нужно. Как правило, сертификат сайта соответствует приватному ключу. Но в Сети можно найти проблемы несоответствия. Поэтому такая проверка проводится лишь с целью удостовериться.
Далее, необходимо собрать файлы сертификатов в один. Так советуют на многих ресурсах в Интернете. Но в данном случае для установки потребуются три файла:
1. Файл с приватным ключом. Он уже есть. Его можно лишь назвать, как-то более просто, например prvkey.key. Чтобы в дальнейшем было легче его указать при подключении и уменьшить вероятность ошибки, при наборе имени.
2. Отдельный файл с сертификатом сайта. Его можно назвать cert.crt
3. Файл с цепочкой сертификатов, где на первом месте находится промежуточный сертификат, а в самом конце – корневой. Это единственный файл, содержащий несколько сертификатов. Его можно обозвать как chain.crt. А содержимое должно выглядеть так:
Не должно быть лишних строк или пробелов.
Названия файлов не принципиальны, лишь бы вам было понятно, что они в себе несут и, чтобы вам было удобнее их подключить. В операционной системе Windows можно легко просмотреть свойства всех этих сертификатов, например срок их действия, если возникнет такая необходимость.
Когда у нас есть необходимые файлы, то можно приступить к их установке.
- Необходимо вызвать виртуальную консоль в браузере для доступа к командной строке операционной системы. Так же можно использовать специальные программы для удаленного управления серверами по SSH-протоколу (например Putty).
- При первом запуске виртуальной машины будет предложено поменять пароли суперпользователя root и пользователя bitrix. Поменяйте.
- После смены паролей необходимо авторизоваться под пользователем root.
- После авторизации необходимо создать пул управления сервером с помощью меню 1. Create Management pool of server. Если вы его не создавали раньше. А для BitrixVM версии 7.x+ создание пула является обязательным. Мастер создания пула откроет все необходимые порты в CentOS для корректной работы сервисов продуктов «1С-Битрикс». Более подробно о создании пула и других операциях в BitrixVM смотрите в разделе ссылки внизу текста. После создания пула в основном меню добавятся новые пункты в главном меню.
- Выбираем 8. Manage pool web servers
- Затем 3. Configure certificates.
Названия и нумерация пунктов меню могут варьироваться, в зависимости от версии Bitrix VM. Но суть остается одна.
- Далее 2. Configure own certificate. Конфигурирование собственного сертификата. Что касается пункта 1. Установки сертификата Let’s Encrypt, то это установка сертификата центра сертификации Let’s Encrypt. Сертификаты имеют ряд ограничений, но бесплатны.
Итак, после выбора установки собственного сертификата, система запросит имя сайта, для которого мы будет устанавливать сертификат. В Bitrix VM наш сайт проходит под именем default. Наберем его. После чего система последовательно будет запрашивать приватный ключ, сертификат сайта и цепочку сертификатов (промежуточный и корневой в одном файле). И, самое время их скопировать туда, где им самое место. Путь, куда я скопировал все три файла, вы можете видеть на скриншоте внизу, где я указал пути с файлами по запросу системы. Можно указать и другой путь, система сама скопирует оттуда сертификаты в папку /etc/nginx/ssl/
На запрос подтвердить установку, нажимаем ‘Y’.
После подтверждения, система нам скажет, что создана задача на установку, отобразит ее номер, статус и пр. И попросит нажать Enter для выхода.
- после установки сертификата в таблице можно увидеть, что наши сертификаты и ключ действительно установлены. Но не установлено использование протокола HTTPS, что можно видеть в таблице (Под ‘S’ стоит ‘N’). Уже сразу после установки сертификата и ключа можно проверить доступность сайта по HTTPS, набрав в адресной строке браузер адрес сайта, но принудительно указав протокол HTTPS:
- Если установка прошла успешно, то можно будет увидеть картину, как на скриншоте выше. Осталось только переключить доступ к сайту по HTTPS, выполнив последовательность действий, как на скриншотах ниже. Напомню, что номера и названия пунктов могут отличаться от тех, что на скриншотах, в зависимости от версии Битрикс-Окружения.
В конечном итоге, нужно выйти на настройки HTTPS.
- указываем имя сайта в Битрикс-Окружении и подтверждаем отключение протокола HTTP.
- после чего можно увидеть, что протокол HTTPS включен.
Вот и всё! Основные работы выполнены. Остается подправить конфигурационные файлы самого сайта.
После установки сертификатов и переход на протокол HTTPS сайт автоматически стал открываться в HTTPS, что означало, что Битрикс-Окружение автоматически установило редирект. Однако попытка загрузить на тестирование карту сайта в Яндекс-Вебмастер закончилась ошибкой загрузки и пришлось подправить файл .htaccess. Вот его строки (в части редиректа) после изменения:
Была изменена только третья строчка: http изменил на https. Карта сайта (а также любые другие файлы) стала загружаться.
Для чего нужно установить редирект? Страницы вашего сайта проиндексированы с протоколом http. Пользователи, найдя нужную информацию попробуют перейти на найденную страницу вашего сайта и получат ошибку 404. Чтобы этого не произошло, нужно поставить перенаправление в .htaccess с http на https. В данном случае такого редиректа нет. А есть только редирект с mysite.ru на www.mysite.ru (теперь уже и с https). Повторюсь, что после установки сертификата и https была проведена проверка доступности страниц сайта по протоколу https. Страницы были доступны. Только не загружались файлы.
В Интернете можно найти много вариантов конфигурации редиректа в .htaccess. В данном случае работает тот вариант, который я описал выше. Какой подойдет вам, нужно искать опытным путем.
Также необходимо:
- исправить протокол в файле robots.txt http на https, скрипт генерации карты сайта и саму карту сайта.https://www.reg.ru/support/ssl-sertifikaty/ - SSL - сертификаты.
https://dev.1c-bitrix.ru/learning/course/?COURSE_ID=37&LESSON_ID=8813&LESSON_PATH=3908.8809.8813 - запуск виртуальной машины BitrixVM.
https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=37&CHAPTER_ID=08817 - создание пула серверов.
https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=37&LESSON_ID=11453 - установка сертификата, выпущенного авторизованным центром сертификации.
https://dev.1c-bitrix.ru/learning/course/?COURSE_ID=37&LESSON_ID=8855 - настройка HTTPS на сайте.
https://www.sslshopper.com/certificate-key-matcher.html - проверка соответствия приватного ключа сертификату сайта.
Благодарю за внимание! Пишите ваши вопросы и замечания в разделе "Комментарии", предварительно авторизовавшись.
В связи с меняющейся обстановкой во всем мире, изменения коснулись и выдачи сертификатов. В частности, мне пришлось ждать получения сертификата для своего сайта с 26.04.2022 г. по 21.05.2022 г. Техподдержка сервиса, где я заказывал сертификат, дала следующее разъяснение:
Здравствуйте!
Заказанный вами SSL-сертификат сейчас проходит проверку на фишинг.
Центр сертификации GlobalSign принял решение проводить проверку на фишинг для всех SSL-сертификатов, заказанных для доменов в зоне .RU / .РФ / .SU / .BY. В связи с этим время выпуска сертификата может занимать около 20 дней.
Процесс проверки, как правило, проходит без вашего участия. Будет проверен контент сайта, не содержит ли он нелегальных платежных форм или форм для сбора денежных средств, а также не является ли экстремистским. В случае затруднения проверки, центр сертификации свяжется с вами по контактному email.
ssl >>>
ID материала: 12463 / Дата публикации: 08.04.2020 / Просмотров: 411
Смена пароля у пользователя Линукс >>>
ID материала: 13458 / Дата публикации: 28.02.2022 / Просмотров: 787
- смена пароля текущего пользователя
- смена пароля у любого другого пользователя
- смена пароля путем генерации нового хэша из нового пароля и подстановкой его в /etc/shadow в Астра Линукс (1.6)
ID материала: 12528 / Дата публикации: 11.06.2021 / Просмотров: 2754
Корзина не предназначена для покупки товаров, поскольку сайт не занимается продажами.
Функция корзины заключается всборе компьютерных комплектующих в собственную базу (требуется регистрация на сайте) и сравнении их между собой.
Сбор компьютерных комплектующих в собственную базу: Эта фанкция необходима для виртуальной сборки компьютера. Требуется регистрация на сайте.
Сравнение комплектующих: Можно сравнить только комплектующие следующих групп: 1. Жёсткие диски. 2. Твердотельные диски. 3. Оперативная память. 4. Видеокарты. 5. Центральные процессоры. 6. Материнские платы.
