به منظور نصب گواهینامه SSL برای یک وب سایت در کنترل پنل دایرکت ادمین لازم است قبل از تهیه گواهینامه نکات زیر را بررسی بفرمایید:
1- نوع گواهینامه مورد نصب در این راهنما معمولا غیر رایگان و از نوع تجاری یا Commercial SSL می باشد و به گواهینامه های Self Sign یا خود ساز در این راهنما اشاره ای نشده.
2- منظور از این راهنما نصب گواهینامه امنیتی SSL برای یک وب سایت است و نه خود کنترل پنل دایرکت ادمین.
3- برای نصب گواهینامه و داشتن یک وب سایت به صورت https یا نیاز به یک آدرس IP اختصاصی برای سایت وجود دارد و یا لازم است در صورت امکان قابلیت SNI توسط مدیر فعال شود.
قابلیت SNI در آدرس usr/local/directadmin/conf/directadmin.conf/ و با تغییر مقدار زیر از 0 به 1 فعال می شود:
enable_ssl_sni=1قابلیت SNI در آدرس usr/local/directadmin/conf/directadmin.conf/ و با تغییر مقدار زیر از 0 به 1 فعال می شود:
4- لازم است در صورتی که وب سایت در اکانت admin اصلی ایجاد شده به اکانت reseller منتقل شود و مستقیم در پنل ادمین نباشد.
5- فعال سازی دسترسی به SSL از طریق پنل ریسلر
5- فعال سازی دسترسی به SSL از طریق پنل ریسلر
6- تمام موارد بالا باید قبل از ایجاد فایل CSR انجام شده باشد و در صورتی که هر یک از موارد بالا بعد از ایجاد CSR ایجاد شده باشد لازم است فایل درخواست گواهینامه یا CSR مجدداٌ ایجاد شود.
نسخه مورد استفاده کنترل پنل دایرکت ادمین در زمان ایجاد این مقاله 1.51.4 بوده.
روند شروع نصب گواهینامه SSL:
در اکانت کاربر قسمت SSL Certificates را انتخاب نمایید:
در صورتی که در این قسمت با خطای SSL in currently disable for this domain. you can enable it here مواجه شدید مطابق تصویر بعد آن را فعال نمایید:
روی لینک here در خطا کلیک کنید و آن را فعال نمایید:
برای رفع این مشکل اگر امکان اختصاص آدرس IP به سایت را دارید از مدیرسرور این درخواست را داشته باشید در غیر اینصورت enable_ssl_sni=0 را با یک ویرایشگر مثل vi با سطح دسترسی root تغییر دهید به 1:
در صورتی که این خط در فایل وجود نداشت آن را اضافه نمایید.
در صورتی که این خط در فایل وجود نداشت آن را اضافه نمایید.
پس از انجام موارد بالا نوبت ساخت فایل CSR یا اصطلاحا فایل درخواست گواهینامه می باشد.
در بخش کاربر قسمت Advanced Features> SSL Certificates را انتخاب نمایید و در صفحه جدید گزینه Create A Certificate Request را انتخاب و مطابق تصویر اطلاعات دامنه و شرکت را وارد نمایید:
درفایل CSR اطلاعات مهمی همچون نام وب سایت و نام شرکت برای مرکز صدور گواهینامه ایجاد می شود که شامل موارد زیر است:
در بخش 2 Letter Country Code مخفف نام کشور IR را وارد نمایید مگر اینکه مالکیت سایت در کشور دیگری باشد.
در قسمت Statr/Provience استان یا ایالت را وارد نمایید.
در بخش City نام شهر را وارد نمایید.
در بخش company نام شرکت را وارد نمایید.
در بخش 2 Letter Country Code مخفف نام کشور IR را وارد نمایید مگر اینکه مالکیت سایت در کشور دیگری باشد.
در قسمت Statr/Provience استان یا ایالت را وارد نمایید.
در بخش City نام شهر را وارد نمایید.
در بخش company نام شرکت را وارد نمایید.
در بخش company division بخش یا واحد مربوط با SSL در شرکت را وارد نمایید به عنوان مثال اگر در سازمان شما بخش IT مسئول آن است آن را وارد نمایید.
در بخش common name نام وب سایت را به همراه www وارد نمایید مگر اینکه نخواهید www در سایت نمایش داده شود.
نکته: مقادیر وارد شده بعدا از ارسال فایل csr و دریافت گواهینامه قابل تغییر نیست.
در بخش E-mail حتما آدرس ایمیلی که مرکز صدور از شما خواسته را وارد نمایید. معمولا مراکز صدور گواهینامه آدرسهای مشخصی مثل webmaster یا admin را برای این بخش درخواست می نمایند و فایل گواهینامه به این آدرس ارسال می شود و استفاده از آدرس ایمیل خارج از نام دامنه مثل یاهو باعث رد درخواست خواهد شد.
در بخش keySize مقدار 2048 را انتخاب نمایید.
در بخش Certificate Type گزینه SHA256 را انتخاب نمایید.
در انتهای صفحه دکمه Svae را بزنید تا در صفحه جدید پیغام زیر را مشاهده نمایید:
در بخش common name نام وب سایت را به همراه www وارد نمایید مگر اینکه نخواهید www در سایت نمایش داده شود.
نکته: مقادیر وارد شده بعدا از ارسال فایل csr و دریافت گواهینامه قابل تغییر نیست.
در بخش E-mail حتما آدرس ایمیلی که مرکز صدور از شما خواسته را وارد نمایید. معمولا مراکز صدور گواهینامه آدرسهای مشخصی مثل webmaster یا admin را برای این بخش درخواست می نمایند و فایل گواهینامه به این آدرس ارسال می شود و استفاده از آدرس ایمیل خارج از نام دامنه مثل یاهو باعث رد درخواست خواهد شد.
در بخش keySize مقدار 2048 را انتخاب نمایید.
در بخش Certificate Type گزینه SHA256 را انتخاب نمایید.
در انتهای صفحه دکمه Svae را بزنید تا در صفحه جدید پیغام زیر را مشاهده نمایید:
SSL Certificate Request
Here is your SSL Certificate Request. You will send this text to a Certificate Authority and they will give you a Signed Certificate. To use it, paste the Signed Certificate on the next line after
"-----END RSA PRIVATE KEY-----" on the previous page and click "Save".
بعد از پیغام بالا یک متن بلند ملاحظه می کنید:
متن را ازابتدای -----BEGIN CERTIFICATE REQUEST----- تا انتهای -----END CERTIFICATE REQUEST----- انتخاب و کپی کنید.
مقادیر کپی شده در واقع csr مورد نظر شماست آن را بدون هیچگونه تغییر حتی یک کاراکتر یا خط در یک فایل txt ذخیره نمایید و برای صادر کننده گواهینامه ارسال نمایید.
Here is your SSL Certificate Request. You will send this text to a Certificate Authority and they will give you a Signed Certificate. To use it, paste the Signed Certificate on the next line after
"-----END RSA PRIVATE KEY-----" on the previous page and click "Save".
بعد از پیغام بالا یک متن بلند ملاحظه می کنید:
متن را ازابتدای -----BEGIN CERTIFICATE REQUEST----- تا انتهای -----END CERTIFICATE REQUEST----- انتخاب و کپی کنید.
مقادیر کپی شده در واقع csr مورد نظر شماست آن را بدون هیچگونه تغییر حتی یک کاراکتر یا خط در یک فایل txt ذخیره نمایید و برای صادر کننده گواهینامه ارسال نمایید.
دوباره به صفحه مراجعه کنید و این بار در بخش Paste a pre-generated certificate and key دو بخش پست سر هم مشاهده خواهید نمود:
-----BEGIN RSA PRIVATE KEY-----
xyz
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
xyz
-----END CERTIFICATE-----
نکته مهم: بخش بالایی فایل یا کلید خصوص private key را به هیچ عنوان تغییر ندهید و دست نخورده باقی بگذارید منظور از بخش بالایی قسمتی است که با این عبارت شروع شده: -----BEGIN RSA PRIVATE KEY-----
و تا -----END RSA PRIVATE KEY----- ادامه دارد.پیشنهاد می شود قبل از هر گونه تغییر ابتدا کل موارد خصوصا کلید خصوصی از ابتدا تا انتها را در یک فایل با نام private key یا هر نام دیگری با فرمت txt به عنوان بکاپ ذخیره نموده و سپس ادامه دهید.
هر مرکز صدور یا CA به جز فایل Certificate یا گواهینامه SSL به کاربران یک یا چند فایل root یا Intermediate Chain نیز ارائه میکند که در کنترل پنل دایرکت ادمین در صورتی که این فایل را وارد نکنید در مرورگرهای فایرفاکس و برخی دیگر سایت با خطا باز خواهد شد، جهت جلوگیری از بروز این خطا بعد از ذخیره گواهینامه مجددا به همین صفحه مراجعه و لینک پایین صفحه Click here to paste a CA Root Certificate را کلیک می کنیم:
-----BEGIN RSA PRIVATE KEY-----
xyz
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
xyz
-----END CERTIFICATE-----
نکته مهم: بخش بالایی فایل یا کلید خصوص private key را به هیچ عنوان تغییر ندهید و دست نخورده باقی بگذارید منظور از بخش بالایی قسمتی است که با این عبارت شروع شده: -----BEGIN RSA PRIVATE KEY-----
و تا -----END RSA PRIVATE KEY----- ادامه دارد.پیشنهاد می شود قبل از هر گونه تغییر ابتدا کل موارد خصوصا کلید خصوصی از ابتدا تا انتها را در یک فایل با نام private key یا هر نام دیگری با فرمت txt به عنوان بکاپ ذخیره نموده و سپس ادامه دهید.
در ادامه فایل گواهینامه که از مرکز دریافت کرده اید را دریک ویرایشگر باز و محتویات آن را در بخش پایینی صفحه جایگزین قبلی نمایید. مجدد یادآوری می شود بخش اول فایل که Private key یا کلید خصوصی است را تغییر ندهید و گواهینامه را در ادامه آن و در پایین جایگزین قبلی نموده و save را کلیک کنید.
هر مرکز صدور یا CA به جز فایل Certificate یا گواهینامه SSL به کاربران یک یا چند فایل root یا Intermediate Chain نیز ارائه میکند که در کنترل پنل دایرکت ادمین در صورتی که این فایل را وارد نکنید در مرورگرهای فایرفاکس و برخی دیگر سایت با خطا باز خواهد شد، جهت جلوگیری از بروز این خطا بعد از ذخیره گواهینامه مجددا به همین صفحه مراجعه و لینک پایین صفحه Click here to paste a CA Root Certificate را کلیک می کنیم:
در صفحه جدید مطابق تصویر محتویات فایل را به صفحه منتقل و دقت کنید حتما تیک گزینه Use a CA cert را انتخاب کرده باشید:
نکته: در صورتی که بیش از یک فایل root به شما ارئه شده همه مواردی که به عنوان root یا chain در اختیار دارید در همین محل و پشت سر هم کپی کنید.
تا اینجا بخش اصلی کار تمام شده و تنظیمات کوچکی باقیمانده. و اگر آدرس سایت را به صورت https وارد نمایید ممکن است صفحه خالی نمایش داده شود زیرا وب سرور برای دسترسی به SSL از پوشه جدید به نام private_html به جای public_html برای دسترسی به SSL استفاده می کند. جهت رفع این مشکل در سطح کاربر وارد بخش Domain Setup شده و دامنه را انتخاب و گزینه زیر را انتخاب و ذخیره نمایید:
Use a symbolic link from private_html to public_html - allows for same data in http and https
در اینجا تنظیمات مربوط به بخش کاربر تمام شده و سایت باید بدون مشکل فعال شود در صورتی که برای استفاده از وب سایت به صورت https و SSL خطا وجود دارد لازم است در بخش ادمین صحت گواهینامه و فایلهای ارسالی بررسی شود:
در بخش admin در بخش Extra Feautures> Custom HTTPD Configurations را انتخاب نمایید و در لیست دامنه ها وب سایت مورد نظر را انتخاب نمایید.
این قسمت دسترسی به فایل httpd.conf را فراهم می نماید. ما در این بخش مسیر فایلهای گواهینامه را بررسی می کنیم این سه خط به ترتیب:
/usr/local/directadmin/data/users/username/domains/domain.com.cert
/usr/local/directadmin/data/users/username/domains/domain.com.key
/usr/local/directadmin/data/users/username/domains/domain.com.cacert
معمولا وجود خط اول و صحت محتوای آن در مسیر با فایل گواهینامه مطابقت داده می شود.
نکته: در صورتی که بیش از یک فایل root به شما ارئه شده همه مواردی که به عنوان root یا chain در اختیار دارید در همین محل و پشت سر هم کپی کنید.
تا اینجا بخش اصلی کار تمام شده و تنظیمات کوچکی باقیمانده. و اگر آدرس سایت را به صورت https وارد نمایید ممکن است صفحه خالی نمایش داده شود زیرا وب سرور برای دسترسی به SSL از پوشه جدید به نام private_html به جای public_html برای دسترسی به SSL استفاده می کند. جهت رفع این مشکل در سطح کاربر وارد بخش Domain Setup شده و دامنه را انتخاب و گزینه زیر را انتخاب و ذخیره نمایید:
Use a symbolic link from private_html to public_html - allows for same data in http and https
در اینجا تنظیمات مربوط به بخش کاربر تمام شده و سایت باید بدون مشکل فعال شود در صورتی که برای استفاده از وب سایت به صورت https و SSL خطا وجود دارد لازم است در بخش ادمین صحت گواهینامه و فایلهای ارسالی بررسی شود:
در بخش admin در بخش Extra Feautures> Custom HTTPD Configurations را انتخاب نمایید و در لیست دامنه ها وب سایت مورد نظر را انتخاب نمایید.
این قسمت دسترسی به فایل httpd.conf را فراهم می نماید. ما در این بخش مسیر فایلهای گواهینامه را بررسی می کنیم این سه خط به ترتیب:
/usr/local/directadmin/data/users/username/domains/domain.com.cert
/usr/local/directadmin/data/users/username/domains/domain.com.key
/usr/local/directadmin/data/users/username/domains/domain.com.cacert
معمولا وجود خط اول و صحت محتوای آن در مسیر با فایل گواهینامه مطابقت داده می شود.
