Як отримати та використовувати доменний SSL сертифікат

У сучасній веб-розробці забезпечення HTTPS для вашого сайту (тобто захист через SSL/TLS сертифікат) стає дедалі важливішим, навіть у локальному середовищі розробки. ServBay пропонує зручний інтерфейс для керування та застосування SSL сертифікатів, що допоможе імітувати продакшн-середовище, тестувати функції безпеки та забезпечити комфортну розробку локальних проектів.

У цій інструкції ви дізнаєтесь, як отримати, призначити та керувати SSL/TLS сертифікатами в середовищі ServBay.

Що таке доменний SSL/TLS сертифікат

SSL/TLS сертифікат — це цифровий сертифікат, який підтверджує справжність сервера та шифрує передачу даних між клієнтом (наприклад, браузером) і сервером. Після встановлення SSL сертифіката адреса сайту змінюється з http:// на https://, а в адресному рядку з’являється значок замка, що свідчить про захищене та зашифроване з’єднання.

Навіщо використовувати HTTPS у локальній розробці?

• Імітація продакшн-середовища: Більшість сучасних серверів вимагають HTTPS. Включивши HTTPS локально, ви зможете більш точно відтворити реальне середовище та мінімізувати несподівані проблеми при розгортанні.
• Тестування функцій безпеки: Деякі можливості сучасних браузерів (наприклад, Service Workers, Web Authentication, Geolocation API тощо) працюють лише у захищеному оточенні (HTTPS). Локальний HTTPS робить їх тестування більш зручним.
• Попередження змішаного вмісту: Якщо ваш сайт працює через HTTPS, але завантажує ресурси (зображення, скрипти, CSS) через HTTP, браузер попереджатиме про змішаний вміст. Локальний HTTPS допоможе швидко знайти та виправити такі ситуації.
• HTTP/2 і QUIC: Для використання цих сучасних протоколів, зазвичай, потрібне HTTPS-з’єднання.

Як отримати SSL сертифікат через ServBay

ServBay підтримує два основні способи отримання SSL сертифікатів: через вбудований центр сертифікації (CA) для локальної довіри та за допомогою ACME (наприклад, Let's Encrypt) для публічно довірених сертифікатів.

Передумови

• Встановлений і запущений ServBay.
• Створено й налаштовано сайт у ServBay, для якого потрібен SSL сертифікат.
• Для отримання публічно довіреного сертифіката через ACME потрібна підтримка DNS-підтвердження.

Крок: Перейдіть до панелі керування SSL сертифікатами

У боковому меню застосунку ServBay натисніть "SSL Certificates", щоб увійти в панель керування сертифікатами.

Варіант 1: Видача локально довіреного сертифіката через ServBay CA

ServBay CA — це власний центр сертифікації. Сертифікати, видані через ServBay CA, довіряються лише на пристроях, де додано довіру до ServBay CA. Це ідеально підходить для локальної розробки, оскільки довіреність можна легко налаштувати на власних пристроях.

1. Натисніть “додати”: На сторінці "SSL Certificates" тисніть кнопку "+" у верхньому правому кутку.
2. Заповніть дані сертифіката: На сторінці "Request Certificate":
   • Common Name (Загальна назва): Опишіть сертифікат, щоб його легко можна було ідентифікувати. Наприклад, ServBay Demo Website Cert.
   • Usage Purpose (Призначення): Вкажіть призначення сертифіката, зазвичай TLS/SSL.
   • Request Method (Метод запиту): Оберіть ServBay CA.
   • Issuer (Центр видачі): Оберіть ServBay User CA. ServBay надає CA користувача для видачі локальних сертифікатів.
   • Algorithm (Алгоритм): Вкажіть алгоритм шифрування. Рекомендовано більш сучасний і продуктивний ECC. Для сумісності зі старими системами можна обрати RSA.
   • Key Length (Довжина ключа): Вкажіть розмір ключа. Для ECC рекомендується 384, для RSA — 2048 або 4096. Чим більший розмір, тим вища безпека, але більше навантаження на обчислення.
   • Domain (Домен): [Важливо] Вкажіть список доменів, які треба захистити, вони додадуться до поля Subject Alternative Names (SANs) сертифіката. Для локальної розробки використовуйте, наприклад, домени .servbay.demo (servbay.demo, myproject.servbay.demo) або інші, налаштовані у файлі hosts/ServBay. Підтримуються wildcard-домени, наприклад, *.servbay.demo. Перелічуйте через кому.
3. Натисніть "Request": Переконайтеся, що дані вірні, і натисніть кнопку "Request" внизу сторінки.

ServBay миттєво видасть сертифікат через ServBay User CA та додасть його до списку.

（Приклад заявки на сертифікат через ServBay CA）

Як довірити ServBay User CA?

Щоб браузер і програми довіряли сертифікатам, виданим ServBay CA, необхідно встановити й довіряти кореневому сертифікату ServBay User CA у системі. Зазвичай ServBay встановлює і довіряє цьому CA при встановленні додатку. Також це можна зробити в налаштуваннях ServBay. Після довіри до ServBay CA, сертифікати для .servbay.demo та інших локальних доменів не викликатимуть попередження про недовіру на вашому пристрої.

Варіант 2: Отримання публічно довіреного сертифіката через ACME (Let's Encrypt)

ACME (Automated Certificate Management Environment) — це протокол автоматичного отримання SSL сертифікатів, який використовується провайдерами на кшталт Let's Encrypt. Сертифікати, видані через ACME, визнаються всіма основними браузерами та пристроями.

1. Натисніть “додати”: На сторінці "SSL Certificates" тисніть кнопку "+" у верхньому правому кутку.
2. Заповніть дані сертифіката: На сторінці "Request Certificate":
   • Common Name (Загальна назва): Опишіть сертифікат.
   • Usage Purpose (Призначення): Виберіть TLS/SSL.
   • Request Method (Метод запиту): Виберіть ACME.
   • Issuer (Центр видачі): Виберіть Let's Encrypt, ZeroSSL або Google Trust Services (через ServBay).
   • Algorithm (Алгоритм): Рекомендовано вибрати ECC.
   • Key Length (Довжина ключа): Вкажіть розмір ключа.
   • Domain (Домен): [Важливо] Введіть публічний домен (у вас має бути право керувати цим доменом). ServBay підтвердить домен через ACME. Перелічуйте через кому — підтримуються wildcard-домени (зазвичай така заявка потребує DNS-підтвердження).
   • Email (Електронна пошта): Введіть дійсну адресу — використовуватиметься для важливих сповіщень ACME (наприклад, про закінчення терміну дії сертифіката).
   • DNS Provider (DNS провайдер): Оберіть провайдера DNS для автоматичного додавання записів і перевірки прав на домен.
3. Натисніть "Request": Перевірте й надішліть заявку.

ServBay розпочне ACME-процедуру, взаємодіючи з обраним CA для підтвердження домену та отримання сертифіката. Процес може займати певний час — залежить від способу верифікації та мережі. Після успіху сертифікат з’явиться у списку.

Автоматичне продовження ACME-сертифікатів:

Термін дії таких сертифікатів зазвичай короткий (наприклад, Let’s Encrypt — 90 днів). ServBay автоматично подовжує їх, тому вам не потрібно втручатися вручну.

Призначення сертифіката сайту

Після отримання SSL сертифіката його треба "прив'язати" до конкретного сайту в ServBay для активації HTTPS-доступу.

1. Зайдіть у керування сайтами: В меню ServBay натисніть "Websites" для перегляду списку сайтів.
2. Редагуйте потрібний сайт: Виберіть проект, де потрібно активувати SSL, і натисніть на нього.
3. Налаштуйте SSL: Знайдіть відповідний розділ налаштувань HTTPS/SSL.
4. Увімкніть HTTPS і виберіть сертифікат: Активуйте HTTPS та виберіть потрібний сертифікат із випадаючого списку (при виборі ACME). У списку відображаються загальна назва та домени сертифіката.
5. Збережіть налаштування.

Після збереження ServBay автоматично перезавантажить налаштування веб-сервера (Caddy, Apache або Nginx), щоб новий сертифікат набув чинності. Тепер ваш сайт доступний за https://your-domain.

Керування сертифікатами

У панелі "SSL Certificates" можна керувати всіма наявними сертифікатами.

Продовження сертифіката

• Сертифікати ServBay CA: Термін дії таких сертифікатів зазвичай тривалий (800 днів). Перед закінченням терміну у списку знайдіть сертифікат і натисніть на кнопку продовження (зазвичай значок оновлення). Кожна пролонгація додає 800 днів від поточної дати.
• ACME-сертифікати: ServBay здійснює їх автоматичне продовження, ручне втручання не потрібне.

Експорт сертифіката

Експортуйте сертифікат у випадку, якщо потрібно використовувати його на інших пристроях чи сервісах (наприклад, якщо інший пристрій також довіряє ServBay CA).

1. Відкрийте панель керування SSL сертифікатами.
2. Знайдіть потрібний сертифікат.
3. Натисніть експорт: Клікніть на іконку експорту (зазвичай це стрілка-вправо ➡️).
4. Оберіть директорію для експорту: Вкажіть де зберегти ZIP-файл.
5. Розповсюдьте сертифікат: Архів зазвичай містить сертифікат (.crt або .cer), приватний ключ (.key) і ланцюжок CA. Розповсюджуйте й встановлюйте їх за потреби.

Видалення сертифіката

Якщо сертифікат більше не потрібен, його можна видалити.

1. Відкрийте панель керування SSL сертифікатами.
2. Знайдіть сертифікат для видалення.
3. Натисніть “видалити”: Клікніть на іконку смітника.
4. Підтвердіть дію: Погодьтеся із попередженням у діалоговому вікні. Увага: Видалення незворотне. Якщо сертифікат використовується на сайті, оберіть для нього інший сертифікат або вимкніть HTTPS, інакше сайт стане недоступний.

Часті запитання (FAQ)

Q: Чому браузер не довіряє сертифікатам, виданим через ServBay CA?

A: Сертифікати ServBay CA типовим чином не визнаються операційною системою чи браузером. Додайте довіру до кореневого сертифіката ServBay User CA на машині розробника. Див. налаштування ServBay або офіційну документацію щодо встановлення.

Q: Заявка на сертифікат ACME (Let's Encrypt) не спрацювала. Що робити?

A: Причина зазвичай у невдалій верифікації домену.

• Якщо використовуєте перевірку dns-01, перевірте, чи TXT-запис доданий вірно і повністю оновився (оновлення DNS може займати час). Деталі помилок шукайте в логах ServBay.

Q: Чи можна отримати один сертифікат для кількох доменів у ServBay?

A: Так, у полі "Domain" під час заявки можна ввести декілька доменів через кому. Буде створено сертифікат з усіма вказаними SANs.

Q: Які веб-сервери підтримує ServBay? Чи універсальна конфігурація сертифікатів?

A: ServBay підтримує Caddy, Apache і Nginx. Інтерфейс керування сертифікатами єдиний — отримані сертифікати можна застосовувати до всіх керованих через ServBay сайтів із підтримкою SSL, а налаштування веб-серверів виконується автоматично.

Висновок

ServBay пропонує потужний і простий у використанні інструментарій для керування SSL сертифікатами в локальних середовищах розробки. Ви легко можете створити довірені сертифікати для локальних доменів за допомогою ServBay CA, організувати зручну розробку та тестування із підтримкою HTTPS. Інтеграція з ACME дозволяє прямо у ServBay отримувати й оновлювати публічно довірені сертифікати від Let's Encrypt, ZeroSSL, Google Trust Services. Це — сучасний і безпечний підхід для веб-розробника.

Якщо виникають питання щодо отримання чи використання сертифікатів, звертайтесь до офіційної документації та спільноти ServBay для отримання додаткової підтримки.