Hantera SSL-certifikat i din kontrollpanel

  • PUSHA

Möjligheten att köra sin webbapplikation under https-protokollet via ett SSL-certifikat har länge varit efterfrågad av våra kunder med webbutiker och liknande lösningar. Den senaste tiden har det också eskalerat p.g.a. Facebooks krav på https för insticksapplikationer.

Vi tog för ett antal månader sedan (i samband med att migreringen drog igång fullt ut) bort möjligheten att köpa SSL-tjänsten i vår äldre miljö, men redan då hade vi möjlighet att sälja tjänsten i vår nya miljö med mer manuell hantering. Nu är vi dock klara med hela implementationen i kontrollpanelen – och så här går beställningen till.

Ett SSL-cert med inkluderad privat ipv4-adress kostar för närvarande 1188 SEK/år ink. moms (99 kr/mån) och det certifikatet är Thawtes SSL123. Då vi köper in SSL-certifikaten via en underleverantör, är köpet bindande när inbetalning har skett. Det vill säga att man som kund endast kan ångra sin beställning tills dess att inbetalning sker, inte senare. Detta gör att det är extra viktigt att ni kontrollerar att allt är korrekt vid beställning (man kan t.ex. inte ändra hostnamnet certet är utfärdat till)

1. Välj host/domän
Först väljer ni om det är www.domän.se eller domän.se eller subdomän.domän.se som ska ha certifikatet. Vi säljer inte wildcard-certifikat ännu så det är bara ett bestämt värdnamn certet gäller för (domän.se, www.domän.se eller annan valfri subdomän – alltså inte både med och utan www eller flera subdomäner på samma certifikat).  Notera att webbplatsen måste ligga på våra servrar för att certifikatet ska gå att använda via kontrollpanelen. Vi kan alltså inte installera certifikatet mot andra leverantörer och deras tjänster.

I exemplet nedan har jag valt att köpa SSL-tjänsten för hostnamnet “www.bineroguider.se”. Adressen till min applikation under https kommer alltså att fungera fullt validerad på “https://www.bineroguider.se/” när allt är klart.

2. Skapa mailadress
Det andra som krävs är att ni sätter upp en vidarebefordring för en E-postadress under domänen. E-postadressen ska antingen heta hostmaster@domän.se, admin@domän.se eller webmaster@domän.se, och den ska vidarebefordra till en e-postadress ni har access till för ett senare steg. Det här kan ni enkelt göra under “E-post” > “Vidarebefordringar” inne i er kontrollpanel förutsatt att ni använder Binero som e-postleverantör.

mailforward

Skapa t.ex. en mailforward till din egna adress för enklast administrering

3. Beställ tjänst
När detta är gjort går ni till “Webbplats” -> “SSL Certifikat” och väljer där vilken webbplats certifikatet skall gälla för, klickar på “Lägg till certifikat”, därefter klickar ni i “Köp certifikat” och fyller i formuläret (På “Stat” och “Avdelning” kan ni sätta i “NA” om det inte känns relevant att fylla i). Kom ihåg att välja prefix om du ska ha certifikatet för “www” (om du inte vill ha www framför domänen/subdomänen så låter du det fältet vara).

Välj i “Bekräftelsebrev” den e-postadress du skapade i punkt 2 (hit kommer godkännandet av certet att skickas) och i E-postadress fyller ni i valfri adress (hit kommer certifikatet sedan skickas). Vi rekommenderar att ni fyller i e-postadressen ni skapade i punkt 2 även i detta fält för enklare administration.

Klicka sedan på “Köp certifikat”.

beställ

Beställ certifikatet genom att fylla i formuläret enligt ovan

4. Betala och validera
Ni får sedan en faktura via vald faktureringsmetod. När denna är betald, kommer certifikatet inom ca 30 minuter vara beställt och finnas synligt i er kontrollpanel. I det här skedet har det gått ut ett mail till adressen ni valde i punkt 2 där ni får bekräfta certifikatets utfärdande för domänen genom en länk.

Validera SSL-certet

Validera SSL-certifikatet på denna sida genom länken till URL:en i mailet

5. Certet skickas ut
När detta är gjort kommer själva certifikatet (Så snart Thawte har godkänt din ansökan) att skickas ut till e-postadressen ni valde i punkt 3 i fältet “E-postadress”. Certifikatet ligger inne i mailet, och det kan urskiljas med att det börjar med en rad som innehåller “BEGIN CERTIFICATE” och slutar med raden “END CERTIFICATE”.

SSL-certifikat

SSL-certifikatet skickas ut via e-post ifrån utfärdaren.


6. Installera certifikatet

Kopiera ut hela denna sektion (inklusive raderna med “BEGIN CERTIFICATE” och “END CERTIFICATE” och logga in i din kontrollpanel.
Om du nu går till SSL-sektionen och väljer webbplatsen du beställde certet för så finns nu en knapp som heter “Lägg till CRT”. När du klickar här får du upp en ruta där du ska klistra in hela certifikatet och välja att spara det.

Installera certifikatet

Klistra in certifikatet i textboxen och spara sedan.

7. Aktivera tjänsten
Certet är nu på plats, och det enda som kvarstår är att aktivera det. Detta görs genom att klicka på “Hantera” och sedan på “Aktivera” (det kan krävas en uppdatering av sidan för att aktiveringsknappen skall dyka upp).

Aktivera certifikatet

Klicka på "Aktivera" för att få en unik ip-adress och få certet aktiverat.

Det som då görs är att domänens A-record för vald host (t.ex. för www eller subdomän) kommer att pekas om mot ert nya privata IP, och https kommer fungera, validerat med SSLcertifikatet, på den domänen inom ca 1h. IP-adressen visas också i kolumnen där om du använder en extern tjänst för DNS och behöver peka om själv.

När certifikatet är aktiverat är IP-adressen också synlig i denna sektion

På samma sätt kan du här välja att avaktivera SSL-certifikatet för att ställa tillbaka domänen till tjänsten utan https (och få domänen tillbakapekad till det vanliga ip:t).

Frågor och svar

Hur vet jag att certifikatet är aktivt och fungerar?
Det kan du märka genom att testa att surfa till den valda hosten under https. Om du vill testa hela certifikatskedjan och inte litar på browserns varningssystem, har du två användbara länkar för detta här och här. Kom ihåg att det kan dröja någon timme från att certet aktiveras tills ompekningen i DNS slagit igenom och access över https är aktivt.

Vart hittar jag min “trusted” logotyp?
Om du vill lägga till ett bevis på din site över att den är uppsäkrad med ett Thawte certifikat så finns dessa att generera kod till HÄR

Hur skriver jag om alla besökare att komma till https?
Enklast så kan du skapa en .htaccess-fil i den katalog som omskrivningen skall göras i (vanligtvis public_html) och lägga följande kod:

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HTTPS} !=on
RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]

Ovan fungerar både på Windows och Linux hos oss. Normalt är headern endast “HTTPS” men när lastbalanseringen sänder vidare headers så blir detta “HTTP_HTTPS” på webbservernivå.

Hur hanteras förnyelse av certifikatet?
När det börjar bli dags för förnyelse av SSL-certet ett år senare så kommer du få en ny faktura och få gå igenom samma procedur som tidigare (från steg 4-7). Den enda skillnaden vid förnyelse från nyregistreringen är att när du får certifikatet utskickat via e-post, så går du in i din kontrollpanel och under SSL väljer du att deaktivera ditt nuvarande certifikat. När du gjort detta klickar du på “Visa” och klistrar in/laddar upp ditt nya certifikat och sparar. Därefter aktiverar du certifikatet igen. (det är bra att göra detta under så kort tid som möjligt eftersom DNS-inställningarna sparas om vid återaktiveringen – du skall dock kunna behålla samma IP om det inte drar ut på tiden)


Bäst i test två år i rad - Internetworld

Rekommenderas av InternetworldVi är prisade för vår goda support, höga funktionalitet och kontrollpanel.