Wdrażanie certyfikatu SSL na stronie internetowej to kluczowy krok w kierunku zapewnienia poufności danych przesyłanych między przeglądarką a serwerem. Dzięki niemu każdy formularz, logowanie czy transakcja finansowa odbywa się w bezpiecznym środowisku. W poniższym artykule omówimy kompletny proces — od wyboru certyfikatu, przez generowanie żądania, po testowanie i odnowienie. Zwrócimy uwagę na najlepsze praktyki i możliwe problemy, jakie mogą wystąpić podczas instalacji.
Wybór właściwego certyfikatu SSL
Pierwszym krokiem jest wybór odpowiedniego typu certyfikatu. Na rynku dostępne są różne rodzaje, zróżnicowane pod względem zakresu uwiarygodnienia i ceny. Warto poznać ich podstawowe cechy:
- DV (Domain Validation) – prosty proces weryfikacji kontroli nad domeną, szybki do uzyskania, najtańszy.
- OV (Organization Validation) – dodatkowa weryfikacja organizacji, widoczne dane firmy w certyfikacie.
- EV (Extended Validation) – najwyższy poziom zaufania, zielony pasek adresu i nazwa firmy wyświetlane w przeglądarce.
- Wildcard – chroni wszystkie poddomeny w danej domenie (np. *.przyklad.pl).
- Multi-Domain (SAN) – obsługuje wiele różnych domen w jednym certyfikacie.
Wybierając rozwiązanie, weź pod uwagę liczbę chronionych subdomen i wymagania dotyczące wizerunku firmy. Dla prostych stron wystarczy DV, a dla e-commerce i platform korporacyjnych lepsze będą OV lub EV.
Generowanie żądania CSR i zakup certyfikatu
Aby uzyskać certyfikat, należy najpierw wygenerować CSR (Certificate Signing Request). Proces wygląda podobnie na większości serwerów:
1. Tworzenie pary kluczy
- Na serwerze uruchom komendę openssl:
openssl genrsa -out private.key 2048 - Zadbać o odpowiednie prawa dostępu:
chmod 600 private.key
2. Generowanie CSR
- Wpisz:
openssl req -new -key private.key -out request.csr- Podaj dane: kraj, województwo, miasto, nazwa organizacji, domena, adres e-mail.
Następnie wyślij plik request.csr do wybranej instytucji certyfikującej (CA). Po pozytywnej weryfikacji otrzymasz plik z certyfikatem.
Konfiguracja certyfikatu na serwerze
Instalacja zależy od używanego oprogramowania. Poniżej przykłady dla dwóch popularnych środowisk:
Apache
- Skopiuj pliki do katalogu, np.:
/etc/ssl/certs/ssl.crt, /etc/ssl/private/private.key - Edytuj wirtualny host:
- Uruchom ponownie Apache:
systemctl restart apache2
ServerName twojadomena.pl
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl.crt
SSLCertificateKeyFile /etc/ssl/private/private.key
SSLCertificateChainFile /etc/ssl/certs/chain.crt
Nginx
- Zsztuczkuj plik zawierający certyfikat i łańcuch:
- W konfiguracji serwera:
- Restart usług:
systemctl reload nginx
cat ssl.crt chain.crt > fullchain.pem
server {
listen 443 ssl;
server_name twojadomena.pl;
ssl_certificate /etc/nginx/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/private.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
}
Pamiętaj o dopisaniu odpowiednich rekordów DNS (np. CAA), które pozwolą CA na wydanie certyfikatu. Zalecane jest także włączenie HSTS i HTTP/2.
Testowanie działania i odnowienie certyfikatu
Po instalacji ważne jest dokonanie weryfikacji poprawności:
- Użyj narzędzia SSL Labs (Qualys) do analizy konfiguracji.
- Sprawdź odpowiedź serwera przez:
openssl s_client -connect twojadomena.pl:443 - Skontroluj daty ważności certyfikatu i łańcuch zaufania.
Certyfikaty z reguły mają termin ważności 90 lub 365 dni. Warto zautomatyzować proces odnowienia. Dla Let’s Encrypt stosuj Certbot, wykonując:
certbot renew --quiet
Dla komercyjnych CA skonfiguruj przypomnienia w kalendarzu lub skrypty monitorujące. Zabezpiecz klucz prywatny i regularnie twórz jego kopie zapasowe.
Poprawne wdrożenie SSL to gwarancja, że użytkownicy zobaczą ikonę kłódki w pasku przeglądarki, a przesyłane dane będą chronione przed podsłuchem, co podnosi zaufanie i pozycjonowanie strony w wyszukiwarkach.
