• Главная
  • SSL
  • Установка SSL сертификата Cloudflare на сайте uCoz
Установка SSL сертификата Cloudflare на сайте uCoz

Установка SSL сертификата Cloudflare на сайте uCoz

Наверное вы уже наслышаны от многих авторов, что сертификат от Cloudflare никак нельзя подключить на сайте uCoz? Но этой информацией владеют те специалисты которые не до конца проверили все возможности клоудфларе, я же вам могу уже окончательно говорить, что SSL сертификат от клоудфларе можно подключить на свой сайт который создан в "Юкоз". В материале ниже я подробно объясню как это реализовать.

Регистрация в Cloudflare

  1. Ранее я уже описал процедуру регистрации сайта в Клоудфларе, если вы с этим еще не знакомы, прочтите от корки и до корки материал - Подключаем Cloudflare для сайта на uCoz
  2. Лишь после того как выполните регистрацию которая доступна по ссылке в пункте 1, тогда приступайте к описанному ниже.

Процесс получения сертификата Клоудфларе для сайта uCoz

После успешного добавления сайта, перейдите в вкладку SSL/TLS, далее ничего не меняем в блоке "Your SSL/TLS encryption mode is Full", там все пусть так и остается как там сейчас настроено по умолчанию на пункте "Full".

Перейдите в пункт "Origin Server" и нажмите по кнопке "Create Certificate":

Откроется новое окно "Origin Certificate Installation", ничего не меняем (без самодеятельности, не создавайте себе лишние проблемы):

и жмем кнопку "Next".

После этого будет сгенерирован сертификат для домена:

приватный ключ:

Установка SSL от Cloudflare на сайте uCoz

Половина дела сделана, далее нам нужно перейти в панель управления сайта uCoz в вкладку Безопасность - Настройка SSL которая доступна по адресу ваш-сайт/panel/?a=ssl нужно отметить пункт "Подключить HTTPS":

Далее настраиваем правильно сертификат и приступаем к установке:

  1. В первое поле вставляем приватный ключ Private key который нам выдал клоудфларе, копируем полностью с комментариями вида(-----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----).
  2. В второе поле ставим сертификат конкретно для домена Origin Certificate, копируем полностью все содержимое с комментариями вида (-----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----).
  3. В третье поле вставляем CloudFlare Origin CA — RSA Root сертификат:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Актуальный "CloudFlare Origin CA — RSA Root сертификат" всегда можно найти на странице сайта здесь или здесь. Если вставили содержимое сертификатов в 3 поля как показано на скриншоте выше, жмите кнопку "Сохранить".

Если все правильно вставили в поля для ключа и сертификатов, увидите пример как на изображении выше.

Получение сертификата когда у вас есть свой CSR и приватный ключ

Рекомендация в данном случае следующая, как описано в материале /free-ssl-for-the-site  читаем пункт 3 и пользуемся сервисом https://ssl.com.ua/online-CSR-generator для генерации своего CSR и приватного ключа вручную без помощи CloudFlare.

После как сгенерируете свой CSR, перейдите снова в админку CloudFlare  и выберите пункт SSL/TLS -  "Origin Server" и жмем кнопку "Create Certificate", далее отмечаем пункт "I have my own private key and CSR" (проще говоря, говорим для CloudFlare, что у нас есть свой готовый CSR и мы хотим воспользоваться им):

вставляем свой CSR который сгенерировали на сайте https://ssl.com.ua/online-CSR-generator и жмем кнопку "NEXT" и получим готовый "Origin Certificate", сертификат для нашего домена. Приватный ключ вам CloudFlare не предоставит так как вы его получили на сайте где генерировали CSR, его используйте при прикреплении сертификата. CloudFlare Origin CA — RSA Root тот же что и описывалось уже выше, он актуальный, вставляйте в третье поле.

Проверяем работу SSL сертификата CloudFlare Origin на сайте uCoz

После проверяем работу сайта по прикрепленному сертификату:

   

как видим браузеры нормально воспринимают прикрепленный сертификат. 

Возможные проблемы после прикрепления сертификата

После прикрепления сертификата Google Chrome может выдавать ошибку мол "Подключение не защищено", но для хрома это нормально, ему нужно время минут 15-20, чтобы обработать информацию по прикрепленному сертификату и обновить все это в кеше. Если вы откроете сайт свой в режиме "Инкогнито", то увидите, что там уже все хорошо.

Для примера мой блог сейчас работает на сертификате CloudFlare Origin, как видите все хорошо.

С личных наблюдений по работе сертификата Origin, могу судить следующее, при получении со стороны клоудфларе сразу же и сертификата и приватного ключа, могут быть проблемы с восприятием сертификата со стороны браузеров Mozilla Firefox, EDGE и IE.

Для этих браузеров нужно подождать дольше чтобы сертификат корректно заработал, может потребовать времени от 1-2 часов максимально.

Срок регистрации сертификата CloudFlare для сайта uCoz

Вы при получении сертификата выбираете срок регистрации на 15 лет, при прикреплении в панели управления вам так же пишет вроде как на 15 лет, но в действительности если на главной странице сайта нажать по иконке замочка и посмотреть подробности по сертификату, там пишет, что сертификат у вас на 1 год.

В результате имеем следующее, получили мы Origin Certificate в реальности на 15 лет если вы отмечали 15 лет, далее вставляли Root сертификат (Origin CA — RSA Root ), вот именно он выдается сроком на 1 год. Вы могли запутаться почему так, но это все объясняется тем, что сам клоудфларе генерирует сертификат CA — RSA Root лишь сроком на 1 год не более. По истечению этого срока нам придется данный файл заново копировать повторно с страниц здесь или здесь и прикреплять заново сертификат в панели управления сайтом.

Важно чтобы вы себе где-то сохранили файл приватного ключа и CSR. Сертификат домена вы всегда можете подсмотреть в панели управления CloudFlare, напротив созданного сертификата просто нажать на кнопку "Download". Сертификат Origin CA — RSA Root можно получить по ссылках выше.

Важно!

  • При необходимости редактирования записей домена, вам придется их добавлять или изменять с админки CloudFlare. В этом ничего сложного нет, перейти в вкладку DNS и добавить нужную запись. Пример на изображении выше.
  • Чтобы сертификат работал стабильно и случайно не отвалился у вас на сайте, вы не должны удалять свой сайт с клоудфларе и DNS нельзя изменять на другие. Если решите удалить сайт с клоудфларе, тогда на сайте у вас SSL перестанет работать.
  • Так же важно помнить, что после добавления сайта в клоудфларе, наш сайт по сути работает по A-записи. С одной стороны это небольшой минус, если вдруг для сервера на котором расположен ваш сайт сменят айпи, тогда ваш сайт перестанет работать так как на клоудфларе указан старый IP. Обычно IP меняется у сервера когда на него проходят длительные DDoS атаки. Происходит это очень редко и по истечению атаки старый айпи для сервера возвращают и домен снова должен подыматься (работать) и SSL не отвалится.

Полезные материалы по прочим сертификатам для CloudFlare можно найти по ссылке https://support.cloudflare.com/hc/en-us/articles/115000479507

Лицензия: CC BY-SA 4.0

Автор: Юрий Герук

Похожие материалы:
Помогла ли вам статья?
Да Нет
Статья оказалась полезной для 0 человек
avatar
Здравствуйте, благодарю за информацию! Установил сертификат, все прекрасно работает, только браузеры почему то показывают что срок его только на 3 месяца, скриншот тут не могу выложить. Хотя в панели управления в Юкоз до 2035 года написано. Я думал он на год действителен, или я чего то не так сделал? Ключ брал здесь ssl.com.ua/online-CSR-generator.
Автор: О каком сайте речь, ссылку уточните. Может вы немного напутали порядок подключения файлов ключей.
avatar
А как так могло получится?) Ключ брал с генератора ссылка выше, сертификат с CloudFlare. И сейчас что лучше сделать, открепить и прикрепить с CloudFlare сертификат по новой? И можно ли сейчас открепить и прикрепить новый, или нет? Может надо было и ключ взять с CloudFlare, тогда на год был бы?
В панели Юкоза запись о сертификате такая:
Информация о сертификате ?
Издатель: CloudFlare
Срок действия: 2035-02-14 17:53
Автор: Сейчас ничего не делать, ждать! Должна обновиться информация по сертификату если он действительно у вас прикреплен от клоуда, а не от letsencrypt.
avatar
Сайт mati-matrona.ru
Автор: Как вижу у вас сертификат зарегистрирован на letsencrypt, там дольше чем на 3 мес не выдают сертификаты, а то, что подключили клоуд, он будет лишь проксировать сертификат, а срок действия будет всего на 3 мес.
avatar
Ясно, благодарю!
avatar
Все сделал в точности как описано в статье, но при переходе на сайт все равно - показывает что Подключение не защищено и сайт может быть опасен, и так уже 2 суток!
Автор: О каком сайте речь? Уточняйте сразу ссылку на сайт.
avatar
Сделал все строго как написано в статье, промежуточный сертификат взял вот от сюда support.cloudflare.com/hc/en-us/articles/115000479507 . Сам сертификат брал из спойлера под названием ▶ Cloudflare Origin CA — RSA Root! ps - Если не затруднит укажите пожалуйста что я сделал не так (((
Автор: Причину уже не выясним так как вы установили другой сертификат. Увы, но моментально ответить я не мог и вы поспешили установить другой SSL.
avatar
Здравствуйте. Сделал все как написано, но даже спустя 4 часа в хроме и других браузерах выдает ошибку "Подключение не защищено"
Удалял и делал все с самого начала, ничего не меняется. Сайт ligagkh.ru
avatar
Увы, но чтобы подключить сертификат CloudFlare нужно соблюдать всю очередность действий как описано, если не соблюдается, тогда возникают проблемы. Подключается сертификат не слишком быстро так как от момента установки до того когда сертификат заработает требуется от 2 часов и более. Если вам важен быстрый результат, тогда лучше искать другие альтернативы или покупать сертификат платно.
avatar
Прикольно один домен подключил, а вот со своим есть проблемы, попробую позже, удалил домен www является приоритетным, может в нем прикол был из-за настроек, C imena.ua проблем нет а вот с domain.ucoz.com как-то своеобразно (((
avatar
При необходимости можно бесплатные подключить как пример /free-ssl-for-the-site
1-10 11-17