VPS HTTPS. Установка и настройка, подробно

Установка и настройка HTTPS для VPS включает несколько этапов, включая получение SSL-сертификата, его установку и настройку веб-сервера (например, Apache или Nginx). Приведем пошаговое руководство.

Шаг 1: Получение SSL-сертификата

Для HTTPS потребуется SSL-сертификат. Вы можете получить сертификат от сертификационного центра (например, Comodo, GlobalSign) или использовать бесплатный сертификат от Let’s Encrypt.

Пример: Получение бесплатного сертификата от Let’s Encrypt с Certbot

1. Установка Certbot:
   • На Ubuntu и Debian:

     sudo apt update
     sudo apt install certbot

   • На CentOS:

     sudo yum install epel-release
     sudo yum install certbot

2. Запуск Certbot для получения сертификата:
   • Если вы используете Nginx:

     sudo certbot --nginx -d example.com -d www.example.com

   • Если Apache:

     sudo certbot --apache -d example.com -d www.example.com

3. Certbot автоматически настроит веб-сервер и установит сертификат.
4. Проверка получения сертификата: Certbot выведет сообщение об успешной установке и настроит автообновление сертификата.

Шаг 2: Установка сертификата на сервере

Если вы приобрели сертификат, его нужно загрузить на сервер и установить.

Установка сертификата для Nginx:

1. Загрузите файлы сертификата на сервер (обычно они включают certificate.crt, private.key и, возможно, файл промежуточного сертификата ca_bundle.crt).
2. Настройте конфигурацию Nginx:
   • Откройте конфигурационный файл сайта (обычно в /etc/nginx/sites-available/):

     sudo nano /etc/nginx/sites-available/example.com

   • Настройте блок для HTTPS, добавив или изменив следующие параметры:

     server {
         listen 443 ssl;
         server_name example.com www.example.com;
     
         ssl_certificate /etc/ssl/certs/certificate.crt;
         ssl_certificate_key /etc/ssl/private/private.key;
         ssl_trusted_certificate /etc/ssl/certs/ca_bundle.crt;
     
         # Пример дополнительных параметров безопасности
         ssl_protocols TLSv1.2 TLSv1.3;
         ssl_ciphers HIGH:!aNULL:!MD5;
         ssl_prefer_server_ciphers on;
     
         root /var/www/example.com;
         index index.html index.php;
     }

3. Перенаправление HTTP на HTTPS:
   • Добавьте в конфигурацию блок для перенаправления HTTP-запросов на HTTPS:

     server {
         listen 80;
         server_name example.com www.example.com;
         return 301 https://$host$request_uri;
     }

4. Проверьте конфигурацию и перезапустите Nginx:

   sudo nginx -t
   sudo systemctl restart nginx

Установка сертификата для Apache:

1. Загрузите сертификаты и поместите их в директории /etc/ssl/certs и /etc/ssl/private.
2. Настройка конфигурационного файла:
   • Откройте конфигурационный файл сайта Apache (обычно в /etc/apache2/sites-available/):

     sudo nano /etc/apache2/sites-available/example.com.conf

   • Добавьте или измените блок для HTTPS:

     
         ServerName example.com
         ServerAlias www.example.com
     
         DocumentRoot /var/www/example.com
     
         SSLEngine on
         SSLCertificateFile /etc/ssl/certs/certificate.crt
         SSLCertificateKeyFile /etc/ssl/private/private.key
         SSLCertificateChainFile /etc/ssl/certs/ca_bundle.crt
     
         # Дополнительные параметры безопасности
         SSLProtocol All -SSLv2 -SSLv3
         SSLCipherSuite HIGH:!aNULL:!MD5
     

3. Перенаправление HTTP на HTTPS:
   • Внесите настройки для автоматического перенаправления:

     
         ServerName example.com
         ServerAlias www.example.com
         Redirect permanent / https://example.com/
     

4. Проверьте конфигурацию и перезапустите Apache:

   sudo apache2ctl configtest
   sudo systemctl restart apache2

Шаг 3: Проверка и автообновление SSL-сертификата

Проверка HTTPS

• Перейдите на сайт, используя HTTPS (например, https://example.com), и убедитесь, что соединение защищено. Вы можете использовать онлайн-инструменты, такие как SSL Labs SSL Test, для проверки правильности установки.

Автообновление Let’s Encrypt сертификатов

• Let’s Encrypt сертификаты действуют 90 дней, но Certbot автоматически добавляет задачу в cron для их обновления. Проверить автообновление можно командой:

  sudo certbot renew --dry-run

Дополнительные рекомендации

• HSTS (HTTP Strict Transport Security): Настройте HSTS, чтобы браузеры всегда использовали HTTPS при подключении к вашему сайту. В Nginx добавьте в блок HTTPS:

  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

• Обновляйте веб-сервер и Certbot для повышения безопасности и улучшенной поддержки TLS.

Следуя этим шагам, вы сможете настроить и защитить сайт на VPS с помощью HTTPS.