טכנולוגיה • מחשבים • אבטחת מידע • סייבר

התקנת תעודת SSL על ממשק DirectAdmin

מהי תעודת SSL?

תעודת SSL היא תעודה אשר מצפינה את הסשן של המשתמש בין הדפדפן לשרת, כך שצד שלישי לא יוכל להאזין למה שקורה בין הדפדפן לשרת, וכל המידע יועבר באופן מוצפן לשרת ויפוענח ע"י השרת.
תעודת SSL הכרחית בעיקר עבור אתרים אשר מכילים מידע רגיש, אך בשנים האחרונות גוגל נותנת עדיפות לאתרים בעלי תעודת SSL בפרמטר הקידום באינטרנט.

 

 

שלב #1 – יצירת בקשה לתעודה – CSR


לאחר שקיבלנו את פרטי ההתחברות לממשק ה-Directadmin יש לגשת ל-SSL Certificates (תחת הפסקה Avanced Features).

 

לאחר שניגשנו אל SSL Certificates יש לסמן את הסימון השני בטבלה ואת הסימון Create A Certificate Request על מנת לייצר בקשה חדשה.

לאחר שלחצנו יש ברשותינו מספר שדות שצריך למלא, חשוב למלא אותם כמו שצריך.

בשדה – 2 Letter Country Code יש להזין את קוד המדינה, במקרה הנוכחי הזנתי IL (ניתן לראות רשימת קודים של מדינות על ידיי לחיצה כאן).
בשדה – State/Province יש להזין את מחוז \ מדינה, כאן הזנתי Israel.
בשדה – City יש להזין את העיר שרשומה תחת הדומיין.
בשדה – Company יש להזין את שם הארגון של הדומיין.
בשדה – Company Division יש להזין את שם המחלקה.
בשדה – Common Name יש להזין את שם הדומיין כפי שנרצה שיופיע כאשר נגלוש אליו (יש לשים לב האם אנחנו רוצים עם WWW או בלי WWW).
בשדה – Email יש להזין את כתובת המייל שאלייה תישלח התעודה לאחר ההזמנה. (יש לוודא כי התיבה מקבלת מיילים, שלא יקרה מצב שרכשנו תעודה והתיבה לא תקבל מיילים).
בשדה – Key Size (bits) – יש לבחור את גודל המפתח שנרצה (אני אישית ממילץ להשאיר את זה על 4096).
בשדה – Certificate Type נבחר את סוג ההצפנה שנרצה עבור התעודה. (המלצה אישית תשאירו את זה על SHA256).

לאחר שמילנו את הכל, הבקשה שלנו אמורה להיראות כך:

כעת יש ללחוץ על Save.

כעת עברנו למסך אחר שמציג לנו למעשה את הבקשה של התעודה שלנו, את הבקשה למעשה אנו מספקים לספק ה-SSL שלנו.

 

הבקשה למעשה צריכה להיראות דומה לזו שציינתי.

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
(דוגמא לבקשת CSR)

שלב #2 – בדיקת רשומות ה-Zone של הדומיין.


כחלק מהליך הרכישה של התעודה, יש צורך בתיבת מייל שתהיה תחת שם המתחם אליו נרצה לייצר תעודה, דוגמאות המייל צריכות להיות [email protected] או [email protected]

על מנת לוודא כי יש תיבת מייל ראשית יש לוודא כי רשומות ה-MX מפנות לאחסון שעליו נרצה להתקין את הדומיין , על מנת לוודא זאת, נשתמש בכלי של גוגל Dig DNS Lookup.

בשדה – Name נזין את הדומיין שלנו, ונבחר ב-MX.

אנו רואים שהדומיין waf.co.il מפנה לרשומת ה-MX תחת הכתובת mailgateway.waf.co.il, כך שזה נראה תקין ונוכל להמשיך לשלב הבא.

לאחר מכן יש להיכנס לתיבת המייל של [email protected] (בהתאם לשם המתחם), ויש לשלוח לתיבה הזו מייל מג'ימייל, על מנת לראות שהיא מקבלת את המייל ששלחתם.

 

למייל הזה בעצם נקבל קישור לאישור ההזמנה של התעודה, ללא הקישור לא נוכל להמשיך לשלב הבא.

שלב #3 – הזמנת תעודת ה-SSL.


לאחר שנכנסו לספק ה-SSL שלנו (ראו רשימה מפורטת כאן של ספקי תעודות SSL). יש להזין את ה-CSR שיצרנו עבור הדומיין שלנו.

 

נלחץ על Continue, ולאחר מכן נקבל את המסך הבא:

הספק כעת פענח את הבקשת CSR שלנו ומציג לנו את הפרטים שהזנו בעת יצירת הבקשה של ה-CSR.

נוודא כי הפרטים שהזנו ל-CSR הם אכן נכונים, נוודא כי האלוגריתם ההצפנה תואם למה שהזנו (SHA256).

ב-Hashing Algorithm נבחר ב-SHA-256 with RSA and SHA-256 root.

וכעת נלחץ על Continue.

 

כעת עליינו להזין את פרטי הזיהוי של הארגון ואת פרטי הצד הטכני של הארגון (במידה ואתם אדם פרטי הזינו את הפרטים האישיים שלכם).

 

כעת נלחץ על Continue.

כעת אמור להופיע לנו מייל לבחירה אליו ישלח קישור ההזמנה של התעודה, יש לבחור במייל [email protected] (או במייל אחר שמוצג – יש לוודא כי יש תיבה קיימת למייל).

 

ולאחר שבחרנו ההזמנה הסתיימה ויגיע קישור למייל לאישור ההזמנה.

 

 

לאחר שהזמנו הקישור צריך להגיע למייל, ניכנס אל הקישור:

 

כעת ניכנס אל הקישור שקיבלנו מספק תעודות ה-SSL שלנו, הקישור אמור להציג לנו דף לאישור ההזמנה ששלחנו, ראה דוגמא:

כעת נלחץ על Approve לאישור ההזמנה, התעודה צריכה להגיע למייל שהזנו בעת יצירת ה-CSR.

שלב #3 – הטמעת תעודת SSL.


לאחר שרכשנו את התעודה, ביצענו את האישור, והכל עבר חלק, קיבלנו למייל שציינו ב-CSR את התעודה, ההודעה צריכה להיראות כך:

דוגמא לצורה שהתעודה צריכה להיראות:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

בתמונה שציינת סימנתי בחץ כחול את הקישור עבור ה-CA של התעודה, ללא ה-CA התעודה לא תעבוד.

יש להיכנס לקישור ולשמור את ה-CA שמצויין בקישור, ה-CA צריך להיראות דומה לדוגמא הבאה:

את ה-CA נשמור בצד, תיכף נשתמש בו.

 

כעת נוודא כי התעודת SSL תואמת למפתח הפרטי (Private Key), באמצעות האתר SSLShopper ולהיכנס ל-Certificate Key Matcher ובשדה "Enter your Certificate:" יש להזין את התעודה שקיבלנו מספק ה-SSL שלנו.

בשדה "Enter your Private Key:" נזין את המפתח הפרטי שהשרת יצר לנו בעת ההנפקה של ה-CSR, את המפתח נמצא תחת SSL Certificates בסימון "Paste a pre-generated certificate and key" בממשק ה-DirectAdmin.

 

(המפתח הפרטי והתעודה תואמות – ראו את הסימון של החץ)

כעת יש להדביק את התעודה שקיבלנו מספק ה-SSL בממשק ה-DirectAdmin תחת המפתח הפרטי, תחת הסימון "Paste a pre-generated certificate and key".

לאחר מכן נלחץ על Save אנו אמורים לקבל הודעה שמראה כי המפתח הפרטי והתעודה נשמרו (במידה ולא ככל הנאה התעודה איננה תאומת למפתח הפרטי).

שלב #4 – הטמעת CA Root.


חלק נוסף שקיים בתעודות SSL היא תעודת CA ROOT, שהיא למעשה תעודה נוספת שמתקינים על גבי השרת על מנת להשלים את שאר התעודות יחדיו והתוצאה המתקבלת – אתר מאובטח עם מנעול ירוק.

ה-CA כפי שציינתי מגיע ביחד עם התעודה, לרוב תחת קישור, להלן דוגמא:

ללא ה-CA ROOT סביר להניח שהתעודה לא תעבוד באופן חלק בכל מקום, יכול להיות שהיא תוצג במחשב כמו שצריך עם מנעול ירוק, ובמכשירים ניידים פתאום היא תציג שגיאה, לכן חייב להוסיף את כל החלקים של התעודה על מנת שהיא תפעל באופן תקין וטוב.

 

כעת יש להיכנס שוב ל-SSL Certificates ולאחר מכן יש לבחור ב-"Click Here to paste a CA Root Certificate".

 

בחלון שקיבלנו יש לסמן למעלה את הסימון "Use a CA Cert" ומתחתיו יש להדביק את ה-CA שקיבלנו מספק ה-SSL, ונדביק בו את ה-CA שהעתקנו מהקישור.

התוצאה הסופית צריכה להיראות כך:

 

כעת נלחץ על Save, וסיימנו להתקין את התעודת SSL, כעת האתר אמור לעבוד באמצעות https.

 

ניגש אל האתר, על מנת לוודא את תקינות התעודה ואת תאריך התפוגה שלה.

 

כעת אנו רואים שהתעודה תקינה ועובדת, אנו רואים את תאריך התפוגה שלה, ורואים כי התעודה מאומתת.

 

שלב #5 – טיפול ב-Mixed Content.


לאחר ההתקנה של התעודה, ישנם מצבים שאנו עלולים לראות כי הדף עדיין לא מאובטח במלואו, הסיבה לכן היא שיש באתר קישורים ללא HTTPS , והתוכן הוא למעשה לא מוצפן בקישורים הללו.

מה עליי לעשות?

יש לשנות את כל הקישורים באתר מ-HTTP ל-HTTPS, כולל קבצי CSS וקבצי JAVASCRIPT, במידה ויש CDN של קבצי CSS או קבצי JS יש לשנות את הבקשה מHTTP לHTTPS, ולאחר מכן יש לגלוש שוב לאתר על מנת לוודא כי המנעול אכן בצבע ירוק.

 

במידה וישנם שאלות אשמח לענות 🙂

אהבת את הפוסט? אשמח אם תשתף אותו!

שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב twitter
שיתוף ב email
שיתוף ב whatsapp
שיתוף ב telegram

תוכן שאולי יעניין אותך..

Windows

סקריפט לניקוי קבצים זמניים ב-Windows 10

קבצים זמניים הם קבצים אשר נוצרים בעת הרצה של תוכנה או הפעלה של מערכת ההפעלה, לצורך תפקוד של תוכנה שפועלת ברקע. התוכנה למעשה יוצרת את

תגובה אחת

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *