Управлять cертификатами TLS (SSL) для CDN-ресурса

TLS(SSL)-сертификат — это уникальная цифровая подпись сайта. Сертификат нужен для защищенного соединения между клиентом и сервером (протокол HTTPS) при передаче конфиденциальной информации и проведении финансовых операций.

В Selectel используются сертификаты Let’s Encrypt® и персональные сертификаты.

Сравнение видов сертификатов

	Let’s Encrypt®	Персональный
Домены	Все домены CDN-ресурса	Персональные домены CDN-ресурса, которые указаны в сертификате
Управление	Нельзя управлять	Удалить сертификат
Обновление	Автоматически	Вручную

Сертификат Let’s Encrypt®

У CDN-ресурса может быть только один действующий Let’s Encrypt® сертификат

Cертификат Let's Encrypt® для доменов по умолчанию работает сразу после создания ресурса. Для персональных доменов нужно выпустить Let's Encrypt сертификат вручную.

Let’s Encrypt® сертификат нельзя удалить, только заменить на персональный сертификат.

Cертификат не нужно обновлять вручную — он автоматически перевыпускается за 30 дней до истечения срока действия.

Подробнее об ограничениях сертификатов Let’s Encrypt® в статье Rate Limits документации Let’s Encrypt®.

Выпустить Let’s Encrypt® сертификат

Убедитесь, что создали ресурс и добавили персональный домен.
В панели управления в верхнем меню нажмите Продукты и выберите CDN.
Перейдите в раздел Сертификаты для CDN-ресурсов.
В меню раздела нажмите Выпустить SSL-сертификат.
Выберите CDN-ресурс, для которого нужно выпустить сертификат.
Нажмите Выпустить.
Перейдите в раздел CDN-ресурсы.
Откройте страницу CDN-ресурса → вкладка Сертификаты.
Отметьте чекбокс Раздача по HTTPS через CNAME.
В поле Сертификат выберите сертификат, который выпустили на шаге 6.
Нажмите Применить. Во время применения настроек ресурс будет находиться в статусе PROCESSING. В это время применение других настроек недоступно. Настройки применятся, когда ресурс перейдет в статус ACTIVE.

Персональный сертификат

Если у вас есть свой TLS(SSL)-сертификат, вы можете загрузить его в качестве персонального сертификата.

В сертификате должны быть указаны персональные домены ресурса, через которые нужно раздавать контент по HTTPS.

У ресурса может быть активен только один сертификат TLS(SSL). Через домены, которые не указаны в персональном сертификате, контент будет раздаваться только по HTTP.

Если вы удалите персональный сертификат, для ресурса нужно будет выпустить Let’s Encrypt® сертификат.

Загрузить персональный сертификат

Убедитесь, что создали ресурс и добавили персональный домен к ресурсу.
В панели управления в верхнем меню нажмите Продукты и выберите CDN.
Перейдите в раздел Сертификаты для CDN-ресурсов.
В меню раздела нажмите Загрузить собственный сертификат.
Укажите имя сертификата. Оно будет использоваться только в панели управления.
Добавьте сертификат для домена. Он должен начинаться с -----BEGIN CERTIFICATE----- и заканчиваться -----END CERTIFICATE-----.

Если нужно добавить несколько сертификатов, убедитесь, что все сертификаты (основной сертификат для домена, промежуточные и корневой) создают полную цепочку. Значение Issuer основного сертификата должно совпадать со значением Subject первого промежуточного сертификата, значение Issuer первого промежуточного сертификата — с Subject второго промежуточного и так далее.
Добавьте приватный ключ. Он должен начинаться с -----BEGIN PRIVATE KEY----- и заканчиваться -----END PRIVATE KEY-----.
Нажмите Загрузить.
Перейдите в раздел CDN-ресурсы.
Откройте страницу CDN-ресурса → вкладка Сертификаты.
Отметьте чекбокс Раздача по HTTPS через CNAME.
В поле Сертификат выберите сертификат, который загрузили на шаге 8.
Нажмите Применить. Во время применения настроек ресурс будет находиться в статусе PROCESSING. В это время применение других настроек недоступно. Настройки применятся, когда ресурс перейдет в статус ACTIVE.

Информацию о сертификате можно посмотреть в панели управления: в верхнем меню нажмите Продукты и выберите CDN → CDN-ресурсы → страница ресурса → вкладка Сертификаты.