Wgrywanie własnego certyfikatu SSL
Jak w DirectAdmin wgrać certyfikat SSL kupiony u zewnętrznej CA (Sectigo, DigiCert, GeoTrust). Format PEM, klucz prywatny, łańcuch CA, błędy importu.
Czasem Let's Encrypt nie wystarczy — bank wymaga EV (Extended Validation), klient chce certyfikat firmy z pieczątką, lub kupiłeś wieloletni cert. Wtedy wgrywasz go ręcznie. DirectAdmin akceptuje pliki w formacie PEM, składające się z certyfikatu, klucza prywatnego i łańcucha CA (chain).
Co zyskasz
- Wgrasz własny certyfikat SSL kupiony u Sectigo, DigiCert, GeoTrust, Comodo itp.
- Zrozumiesz format PEM i co składa się na komplet (cert + key + chain).
- Rozwiążesz typowe błędy importu (zły format, brak chain, niepasujący klucz).
Wymagania wstępne
- Certyfikat w formacie PEM (zwykle pliki
.crt,.pem,.cer). - Klucz prywatny (
.key) — zachowany podczas generowania CSR. - Łańcuch CA (
chain.pem,intermediate.crt) — pliki dostarczane przez CA. - Domena dodana na koncie + DNS skierowane na IQHost.
Wskazówka
Klucz prywatny musisz mieć od początku — nie da się go odzyskać z samego certyfikatu. Klucz powstaje gdy generujesz CSR (w DA lub własnym OpenSSL). Jeśli zgubisz klucz, musisz wygenerować nowy CSR i poprosić CA o reissue (zwykle darmowy).
Format PEM — anatomia
Plik PEM to tekstowy format z bloków -----BEGIN ... ----- i -----END ... -----. Typowe składniki:
-----BEGIN CERTIFICATE-----
MIIDazCCAlOgAwIBAgIRA...
-----END CERTIFICATE-----
Trzy elementy, które wgrywasz w DA:
- Certyfikat (Twój, kupiony) — jeden blok
BEGIN CERTIFICATEz Twoją domeną - Klucz prywatny — blok
BEGIN PRIVATE KEYlubBEGIN RSA PRIVATE KEY - CA chain — jeden lub więcej bloków
BEGIN CERTIFICATE(intermediate + root CA)
Krok 1: Otwórz Certyfikaty SSL
W DA: Zarządzanie kontami → Certyfikaty SSL.
Zaznacz drugą opcję: Wklej wstępnie wygenerowany certyfikat i klucz.
Krok 2: Wklej dane
Pojawią się dwa lub trzy pola tekstowe (zależnie od wersji DA):
- Klucz / Klucz prywatny — wklej cały blok klucza
- Certyfikat — wklej Twój cert
- CA Root Certificate — wklej łańcuch (intermediate + root)
W niektórych wersjach DA jest jedno wielkie pole — wklej wszystko razem, w kolejności: klucz, cert, chain.
Przykład wartości pola w wariancie „wszystko razem":
-----BEGIN PRIVATE KEY----- ...klucz prywatny... -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- ...Twój certyfikat... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ...intermediate CA... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ...root CA... -----END CERTIFICATE-----
Krok 3: Zapisz
Kliknij ZAPISZ. DA waliduje:
- Czy klucz pasuje do certyfikatu (matematycznie)
- Czy cert nie wygasł
- Czy zawiera Twoją domenę
- Czy chain jest kompletny (cert → intermediate → root)
Po pomyślnej walidacji cert jest instalowany w Apache/LiteSpeed. Restart serwera w tle.
::: callout ok Test: otwórz
https://mojafirma.plw incognito. Powinieneś zobaczyć HTTPS z Twoim certyfikatem (kliknij kłódkę → zobacz wystawcę).
Format wymagany przez DA
Jeśli dostałeś od CA pliki w innych formatach, konwertuj OpenSSL-em:
PFX/P12 → PEM
openssl pkcs12 -in cert.pfx -out cert.pem -nodes
Plik cert.pem ma już klucz + cert + chain w jednym.
DER (binarny) → PEM
openssl x509 -inform DER -in cert.cer -out cert.pem
Sprawdzenie klucza i certu (czy pasują)
openssl x509 -noout -modulus -in cert.crt | openssl md5
openssl rsa -noout -modulus -in cert.key | openssl md5
Oba MD5 muszą się zgadzać. Jeśli nie — klucz nie pasuje do cert (zły komplet).
Najczęstsze problemy
1. „Cert nie pasuje do klucza"
Zły komplet plików. Sprawdź MD5 (powyżej). Najczęstsze przyczyny:
- Wgenerowałeś dwa CSR, używasz klucza z pierwszego ale cert z drugiego
- CA wystawiło reissue ze swoim kluczem
- Pomyłka katalogów (cert dla domeny X, klucz dla Y)
Rozwiązanie: wygeneruj nowy CSR (z DA lub OpenSSL), poproś CA o reissue. Klucz zachowaj.
2. „CA chain niekompletny"
Komercyjne CA mają zwykle dwa intermediate certs między Twoim a root. Jeśli pominiesz jeden, niektóre przeglądarki/klienty nie zaakceptują.
Test: ssllabs.com/ssltest → wpisz domenę → sprawdź sekcję „Certification Paths". Wszystkie ścieżki powinny być Trusted.
Rozwiązanie: pobierz pełny chain od CA (link zwykle „CA bundle" w panelu) i wgraj go w pole CA Root.
3. „Wgrałem cert, ale strona nadal pokazuje stary"
- Restart przeglądarki (cache cert)
- Wymuś
Ctrl+F5 - Sprawdź z incognito
- Sprawdź z innej sieci (telefon na 4G)
- W ostateczności: czyszczenie cache OS-u (Windows:
certutil -urlcache * delete)
4. „Cert wygasł — co teraz?"
Wygasły cert = strona pokazuje błąd. Opcje:
- Wymień u CA — jeśli kupiłeś na rok, kup kolejny
- Przejdź na Let's Encrypt — darmowe, auto-odnawianie. Patrz Let's Encrypt.
- Wykorzystaj automatyczne ostrzeżenia — większość CA wysyła maile 30/7/1 dzień przed wygasaniem
5. „EV cert ma zieloną nazwę firmy w pasku adresu — czy to działa?"
Już nie. Od 2019-2020 Chrome i Firefox przestały pokazywać zielonego paska nawet dla EV. Teraz nawet wieloletnie certy EV wyglądają jak Let's Encrypt — kłódka i tyle. EV ma sens już tylko jako wewnętrzne wymaganie regulacyjne (banki, gov), nie marketing.
6. „CA dała mi .cer z BEGIN CERTIFICATE — co to?"
To już PEM, tylko z innym rozszerzeniem. Zmień na .pem lub po prostu wklej zawartość — DA przyjmie.
7. „Mogę wgrać wildcard kupiony od zewnętrznej CA?"
Tak. Wgrywasz tak samo jak zwykły. Cert pokryje wszystkie subdomeny.
Słowniczek
- PEM — Privacy Enhanced Mail, tekstowy format dla kluczy/certyfikatów (Base64 z markerami BEGIN/END).
- DER — Distinguished Encoding Rules, binarny format. Mniej popularny.
- PFX/P12 — PKCS#12, kontener binarny (cert + klucz + chain w jednym pliku, zaszyfrowane hasłem). Używany na Windows/IIS.
- CA chain / intermediate — pośrednie certyfikaty łączące Twój z głównym (root) CA.
- EV cert — Extended Validation, wymaga weryfikacji prawnej firmy. Drogi, dziś już bez wizualnej premii.
- DV cert — Domain Validation, najprostszy (Let's Encrypt to DV).
- OV cert — Organization Validation, między DV a EV.
Related
Feedback
Czy ten artykuł pomógł?