Jak zainstalować certyfikat SSL na domenie

Certyfikat SSL (Secure Sockets Layer / TLS) to kryptograficzne poświadczenie wydane przez zaufany Urząd Certyfikacji (CA), który uwierzytelnia tożsamość serwera i ustanawia zaszyfrowany kanał między serwerem a przeglądarką klienta. Po prawidłowej instalacji uaktualnia witrynę z http:// do https://, aktywuje kłódkę w przeglądarce i zapobiega przechwytywaniu przesyłanych danych przez ataki man-in-the-middle.

Jeśli chodzi o SEO, Google traktuje HTTPS jako potwierdzony sygnał rankingowy od 2014 roku. Dla użytkowników brakujący lub nieprawidłowo skonfigurowany certyfikat powoduje wyświetlanie ostrzeżeń bezpieczeństwa w przeglądarce, które niszczą współczynniki konwersji. Niezależnie od tego, czy zarządzasz pojedynczą stroną docelową, czy infrastrukturą wielu domen, prawidłowe skonfigurowanie SSL — i utrzymanie go w tym stanie — jest absolutnie konieczne.

Wymagania wstępne

Przed dotknięciem jakiegokolwiek pliku konfiguracyjnego upewnij się, że masz następujące elementy:

• Zarejestrowana nazwa domeny wskazująca na adres IP serwera z w pełni propagowanym DNS. Możesz zarejestrować lub przenieść domenę przez Rejestrację Domen.
• Pakiet certyfikatu SSL od CA. Zazwyczaj zawiera:

certificate.crt — Twój główny podpisany certyfikat
private.key — klucz prywatny wygenerowany wraz z CSR
ca_bundle.crt — pośredni łańcuch CA (czasami nazywany plikiem łańcucha)
Dostęp do serwera lub panelu sterowania — dane logowania do cPanel/Plesk lub dostęp SSH root/sudo do serwera.
Oprogramowanie serwera WWW — Apache lub Nginx, uruchomiony i skonfigurowany dla Twojej domeny.
Otwarty port 443 — sprawdź, czy zapora sieciowa zezwala na przychodzący ruch TCP na porcie 443 przed instalacją czegokolwiek.

Jeśli korzystasz ze środowiska VPS Hosting, będziesz mieć pełny dostęp root i możesz użyć dowolnej z trzech poniższych metod. Użytkownicy hostingu współdzielonego są zazwyczaj ograniczeni do metody cPanel.
Wybór odpowiedniego typu certyfikatu SSL
Nie wszystkie certyfikaty są równoważne. Wybranie niewłaściwego typu marnuje pieniądze lub pozostawia luki w pokryciu.



Typ certyfikatu
Poziom walidacji
Czas wydania
Kłódka w przeglądarce
Najlepszy dla








—
—
—
—
—








DV (Domain Validated)
Tylko kontrola domeny
Minuty
Tak
Blogi, środowiska deweloperskie, małe strony








OV (Organization Validated)
Domena + tożsamość organizacji
1–3 dni
Tak
Strony firmowe, platformy SaaS








EV (Extended Validation)
Pełna weryfikacja podmiotu prawnego
3–7 dni
Tak (nazwa organizacji w niektórych przeglądarkach)
E-commerce, bankowość, portale wysokiego zaufania








Wildcard (`*.domain.com`)
DV lub OV
Minuty–dni
Tak
Wdrożenia z wieloma subdomenami








Multi-Domain (SAN)
DV, OV lub EV
Różnie
Tak
Wiele odrębnych domen na jednym certyfikacie








Let’s Encrypt (bezpłatny DV)
Tylko kontrola domeny
Sekundy
Tak
Każda publicznie dostępna domena





W przypadku produkcyjnego e-commerce lub jakiejkolwiek witryny obsługującej dane kart płatniczych zdecydowanie zalecane są certyfikaty OV lub EV od komercyjnego CA. Certyfikaty Let’s Encrypt DV są w pełni zaufane i doskonałe w większości przypadków użycia, ale nie obejmują weryfikacji tożsamości organizacji.
Możesz zakupić certyfikaty komercyjne bezpośrednio przez Certyfikaty SSL, jeśli potrzebujesz pokrycia OV, EV lub Wildcard z dedykowanym wsparciem.
Metoda 1: Instalacja certyfikatu SSL przez cPanel
Graficzny interfejs cPanel to najszybsza ścieżka dla użytkowników zarządzanych planów lub planów Hostingu Współdzielonego. Jeśli preferujesz środowisko VPS zarządzane przez cPanel, VPS z cPanel daje ten sam interfejs z pełną kontrolą nad serwerem.
Krok 1: Zaloguj się do cPanel
Przejdź do adresu URL logowania cPanel:
https://yourdomain.com:2083
Uwierzytelnij się przy użyciu danych logowania do hostingu.
Krok 2: Przejdź do Menedżera SSL/TLS
W sekcji Bezpieczeństwo pulpitu nawigacyjnego cPanel kliknij SSL/TLS. Następnie wybierz Zarządzaj witrynami SSL pod nagłówkiem „Zainstaluj i zarządzaj SSL dla swojej witryny (HTTPS)”.
Krok 3: Wybierz domenę docelową
Użyj listy rozwijanej Domena, aby wybrać domenę, którą chcesz zabezpieczyć. Jeśli domena nie pojawia się na liście, sprawdź, czy jest dodana jako domena dodatkowa lub główna w cPanel.
Krok 4: Wklej komponenty certyfikatu
Otwórz każdy plik certyfikatu w edytorze zwykłego tekstu (nie Word) i wklej zawartość do odpowiednich pól:

Certyfikat (CRT): Zawartość certificate.crt

Krok 5: Zainstaluj i zweryfikuj

Kliknij Zainstaluj certyfikat. cPanel weryfikuje parę klucz-certyfikat przed zatwierdzeniem. Jeśli wystąpi niezgodność między kluczem prywatnym a kluczem publicznym certyfikatu, cPanel odrzuci instalację z wyraźnym komunikatem błędu — nie ignoruj go.

Po instalacji odwiedź https://yourdomain.com i potwierdź, że kłódka jest widoczna. Przetestuj również https://www.yourdomain.com, jeśli subdomena www jest używana.

Częsta pułapka cPanel: AutoSSL (wbudowana integracja Let’s Encrypt w cPanel) może nadpisać ręcznie zainstalowany certyfikat podczas następnego cyklu odnowienia. Jeśli zainstalowałeś certyfikat komercyjny, wyłącz AutoSSL dla tej domeny w cPanel > Status SSL/TLS, aby zapobiec niezamierzonemu zastąpieniu.

Metoda 2: Automatyczna instalacja z Let’s Encrypt i Certbot

Certbot jest referencyjnym klientem ACME dla Let’s Encrypt. Obsługuje generowanie CSR, walidację domeny, pobieranie certyfikatów, konfigurację serwera WWW i odnowienie — wszystko automatycznie. Jest to właściwe podejście dla każdego serwera Linux, którym zarządzasz bezpośrednio.

Krok 1: Połącz się z serwerem przez SSH

ssh username@your-server-ip

Krok 2: Zainstaluj Certbot

Debian / Ubuntu (Apache):

sudo apt update && sudo apt install -y certbot python3-certbot-apache

Debian / Ubuntu (Nginx):

sudo apt update && sudo apt install -y certbot python3-certbot-nginx

RHEL / AlmaLinux / Rocky Linux (Apache):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-apache

RHEL / AlmaLinux / Rocky Linux (Nginx):

sudo dnf install -y epel-release
sudo dnf install -y certbot python3-certbot-nginx

Krok 3: Uzyskaj i zainstaluj certyfikat

Dla Apache:

sudo certbot --apache -d yourdomain.com -d www.yourdomain.com

Dla Nginx:

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot domyślnie wykonuje wyzwanie HTTP-01: umieszcza tymczasowy plik w katalogu głównym witryny i prosi serwery Let’s Encrypt o pobranie go przez port 80. Oznacza to, że port 80 musi być otwarty, a DNS musi być poprawnie rozwiązany przed uruchomieniem polecenia.

Po wyświetleniu monitu wybierz opcję przekierowania całego ruchu HTTP na HTTPS. Powoduje to zapisanie stałego przekierowania 301 w konfiguracji serwera, co jest prawidłowym zachowaniem dla SEO i bezpieczeństwa.

Krok 4: Zweryfikuj automatyczne odnowienie

Certyfikaty Let’s Encrypt wygasają po 90 dniach. Certbot instaluje timer systemd (lub zadanie cron w starszych systemach), który próbuje odnowić certyfikat dwa razy dziennie, gdy certyfikat jest w ciągu 30 dni od wygaśnięcia. Przetestuj logikę odnowienia bez faktycznego odnawiania:

sudo certbot renew --dry-run

Pomyślne uruchomienie próbne potwierdza, że potok odnowienia działa. Sprawdź status timera za pomocą:

systemctl status certbot.timer

Przypadek brzegowy — wyzwanie DNS-01 dla certyfikatów wildcard: Wyzwanie HTTP-01 nie może walidować domen wildcard (*.yourdomain.com). W przypadku certyfikatów wildcard użyj wyzwania DNS-01, które wymaga utworzenia rekordu TXT _acme-challenge w strefie DNS:

sudo certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -d yourdomain.com

Postępuj zgodnie z monitami, aby dodać rekord TXT, poczekaj na propagację DNS, a następnie naciśnij Enter, aby zakończyć walidację.

Metoda 3: Ręczna instalacja SSL przez SSH (Apache i Nginx)

Ręczna instalacja daje precyzyjną kontrolę nad rozmieszczeniem certyfikatów, zestawami szyfrów i konfiguracją wirtualnych hostów. Jest to preferowane podejście dla serwerów produkcyjnych, gdzie musisz egzekwować określone polityki TLS.

Krok 1: Prześlij pliki certyfikatów na serwer

Użyj scp, aby przenieść pliki z lokalnej maszyny:

scp certificate.crt private.key ca_bundle.crt username@your-server-ip:/tmp/

Następnie przenieś je do bezpiecznego katalogu niedostępnego przez sieć:

sudo mkdir -p /etc/ssl/yourdomain
sudo mv /tmp/certificate.crt /etc/ssl/yourdomain/
sudo mv /tmp/private.key /etc/ssl/yourdomain/
sudo mv /tmp/ca_bundle.crt /etc/ssl/yourdomain/
sudo chmod 600 /etc/ssl/yourdomain/private.key
sudo chmod 644 /etc/ssl/yourdomain/certificate.crt /etc/ssl/yourdomain/ca_bundle.crt

Krytyczna uwaga dotycząca bezpieczeństwa: Klucz prywatny nigdy nie może być dostępny dla wszystkich użytkowników. Uprawnienie chmod 600 ogranicza dostęp wyłącznie do użytkownika root. W systemach, gdzie Apache lub Nginx działa jako użytkownik inny niż root (np. www-data), usługa nadal odczytuje klucz podczas uruchamiania, działając jako root przed zrzeczeniem się uprawnień — więc 600 należący do roota jest prawidłowy.

Krok 2a: Konfiguracja Apache

Edytuj konfigurację wirtualnego hosta dla swojej domeny:

sudo nano /etc/apache2/sites-available/yourdomain.com.conf

Dodaj lub zmodyfikuj blok wirtualnego hosta SSL:

<VirtualHost *:80>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    Redirect permanent / https://yourdomain.com/
</VirtualHost>

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/ca_bundle.crt

    # Modern TLS hardening
    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder     off
    SSLSessionTickets       off

    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    DocumentRoot /var/www/yourdomain
</VirtualHost>

Włącz moduł SSL i witrynę, a następnie uruchom ponownie Apache:

sudo a2enmod ssl headers
sudo a2ensite yourdomain.com.conf
sudo apache2ctl configtest
sudo systemctl restart apache2

Zawsze uruchamiaj apache2ctl configtest przed ponownym uruchomieniem. Błąd składni w pliku konfiguracyjnym spowoduje wyłączenie całego serwera WWW.

Krok 2b: Konfiguracja Nginx

Edytuj blok serwera swojej domeny:

sudo nano /etc/nginx/sites-available/yourdomain.com

Dodaj następującą konfigurację:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://yourdomain.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate      /etc/ssl/yourdomain/certificate.crt;
    ssl_certificate_key  /etc/ssl/yourdomain/private.key;
    ssl_trusted_certificate /etc/ssl/yourdomain/ca_bundle.crt;

    # Modern TLS hardening
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  1d;
    ssl_session_tickets  off;

    # OCSP Stapling
    ssl_stapling         on;
    ssl_stapling_verify  on;
    resolver             8.8.8.8 8.8.4.4 valid=300s;

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    root /var/www/yourdomain;
    index index.html index.php;
}

Włącz witrynę i przetestuj:

sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

Wyjaśnienie OCSP Stapling: Bez staplingowania przeglądarka musi kontaktować się z responderem OCSP CA podczas każdego uzgadniania TLS, aby sprawdzić, czy certyfikat nie został odwołany. Dodaje to opóźnienie i ujawnia dane przeglądania CA. Dzięki ssl_stapling on Nginx buforuje odpowiedź OCSP i dostarcza ją bezpośrednio do klienta, eliminując dodatkowe połączenie.

Wzmacnianie TLS: czego brakuje w oryginalnej konfiguracji

Certyfikat zainstalowany z domyślnymi ustawieniami jest bezpieczny, ale nie wzmocniony. Poniższa tabela podsumowuje dodatkowe dyrektywy, które odróżniają ocenę SSL Labs od A+:

Weryfikacja i testowanie instalacji SSL

Instalacja nie jest zakończona, dopóki nie zweryfikujesz wyniku z zewnętrznej perspektywy.

Weryfikacja w przeglądarce

Odwiedź https://yourdomain.com. Ikona kłódki potwierdza ważny, zaufany certyfikat. Kliknij kłódkę i sprawdź szczegóły certyfikatu: zweryfikuj, czy Nazwa pospolita lub Alternatywna nazwa podmiotu odpowiada Twojej domenie, i sprawdź datę wygaśnięcia.

Test serwera SSL Labs

Przejdź do SSL Labs i wprowadź swoją domenę. Raport ocenia konfigurację TLS od F do A+ i wskazuje konkretne problemy: słabe zestawy szyfrów, brakujące certyfikaty łańcucha, brak HSTS i obsługę protokołów. Ocena A+ wymaga HSTS z długim max-age i brakiem obsługi TLS 1.0 lub 1.1.

Weryfikacja z wiersza poleceń za pomocą OpenSSL

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com

Wyświetla pełny łańcuch certyfikatów, wynegocjowany zestaw szyfrów i wersję TLS. Szukaj Verify return code: 0 (ok) na końcu danych wyjściowych. Każdy niezerowy kod powrotu wskazuje problem z łańcuchem lub zaufaniem.

Aby bezpośrednio sprawdzić datę wygaśnięcia certyfikatu:

echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Sprawdzanie mieszanej zawartości

Po włączeniu HTTPS mieszana zawartość jest najczęstszym pozostałym problemem. Występuje, gdy strona HTTPS ładuje zasoby (obrazy, skrypty, arkusze stylów, ramki iframe) przez HTTP. Mieszana zawartość całkowicie blokuje aktywne zasoby (skrypty, ramki iframe) w nowoczesnych przeglądarkach i generuje ostrzeżenia w konsoli dla pasywnych zasobów (obrazów).

Napraw mieszaną zawartość przez:

1. Aktualizację wszystkich zakodowanych na stałe adresów URL http:// w CMS lub HTML do https:// lub relatywnych protokołowo //.
2. Dodanie nagłówka Content Security Policy z upgrade-insecure-requests jako tymczasowym rozwiązaniem ogólnym:

add_header Content-Security-Policy "upgrade-insecure-requests" always;

1. Użycie narzędzi deweloperskich przeglądarki (F12 > Konsola) do identyfikacji konkretnych problematycznych zasobów.

Odnowienie certyfikatu i zarządzanie cyklem życia

W przypadku certyfikatów komercyjnych zarządzanych ręcznie ustaw przypomnienie w kalendarzu 30 dni przed wygaśnięciem. Wygasły certyfikat jest gorszy niż brak certyfikatu — przeglądarki wyświetlają pełnoekranowy błąd blokujący, którego użytkownicy nie mogą łatwo ominąć.

Jeśli obsługujesz wiele domen lub aplikację o dużym ruchu na Serwerze Dedykowanym, rozważ wdrożenie scentralizowanego rozwiązania do zarządzania certyfikatami, takiego jak cert-manager (Kubernetes), Vault PKI lub certyfikat wildcard, aby zmniejszyć obciążenie związane z odnowieniem w subdomenach.

Macierz decyzyjna: którą metodę instalacji wybrać

Lista kontrolna kluczowych wniosków technicznych

• Potwierdź, że port 443 jest otwarty w zaporze sieciowej przed instalacją jakiegokolwiek certyfikatu.
• Zawsze weryfikuj, czy klucz prywatny odpowiada certyfikatowi przed instalacją: openssl x509 -noout -modulus -in certificate.crt | md5sum i openssl rsa -noout -modulus -in private.key | md5sum muszą generować identyczne skróty.
• Dołącz pełny pośredni łańcuch (ca_bundle.crt) — jego pominięcie powoduje błędy zaufania w przeglądarkach mobilnych, nawet gdy Chrome na komputerze wyświetla kłódkę.
• Ustaw chmod 600 na pliku klucza prywatnego; nigdy nie udostępniaj go w katalogu dostępnym przez sieć.
• Wyłącz TLS 1.0 i TLS 1.1 w konfiguracji serwera WWW — te protokoły są przestarzałe i podatne na ataki.
• Włącz HSTS z includeSubDomains dopiero po potwierdzeniu, że wszystkie subdomeny również obsługują HTTPS.
• Uruchom certbot renew --dry-run po początkowej konfiguracji Certbot, aby potwierdzić działanie potoku odnowienia.
• Testuj za pomocą SSL Labs po każdej instalacji lub zmianie konfiguracji.
• Sprawdź mieszaną zawartość natychmiast po przełączeniu na HTTPS — po cichu psuje funkcjonalność.
• W przypadku certyfikatów wildcard Let’s Encrypt używaj wyzwania DNS-01, a nie HTTP-01.

Często zadawane pytania

Jaka jest różnica między certyfikatem SSL a certyfikatem TLS?

SSL (Secure Sockets Layer) to starszy protokół, który został wycofany w 1999 roku. Jego następca, TLS (Transport Layer Security), jest tym, czego faktycznie używają wszystkie nowoczesne połączenia HTTPS. Termin „certyfikat SSL” utrzymuje się jako branżowy skrót, ale każdy certyfikat wydany dzisiaj działa przez TLS 1.2 lub TLS 1.3.

Dlaczego mój certyfikat SSL jest wyświetlany jako zaufany w Chrome, ale nie na urządzeniach Android?

Jest to prawie zawsze brakujący pośredni łańcuch certyfikatów. Chrome na komputerze ma agresywny mechanizm pobierania certyfikatów (pobieranie AIA), który może odtworzyć łańcuch nawet gdy jest nieobecny na serwerze. Systemowy magazyn Androida tego nie robi. Zawsze dołączaj plik łańcucha ca_bundle.crt w konfiguracji serwera.

Czy mogę zainstalować certyfikat SSL na domenie, która nie ma jeszcze strony internetowej?

Tak, ale tylko jeśli rekord DNS A domeny wskazuje na adres IP serwera. CA musi być w stanie dotrzeć do serwera, aby ukończyć walidację domeny. Jeśli DNS nie jest jeszcze propagowany, wyzwanie zakończy się niepowodzeniem.

Jak odnowić komercyjny certyfikat SSL bez przestoju?

Wygeneruj nowy CSR na serwerze, prześlij go do CA, otrzymaj nowy pakiet certyfikatów, zastąp pliki certyfikatów na serwerze i przeładuj serwer WWW (systemctl reload apache2 lub systemctl reload nginx). Przeładowanie stosuje nowy certyfikat bez przerywania istniejących połączeń, w przeciwieństwie do pełnego restartu.

Czy instalacja certyfikatu SSL automatycznie przekierowuje HTTP na HTTPS?

Nie. Instalacja certyfikatu tylko włącza HTTPS. Przekierowanie HTTP na HTTPS musi być skonfigurowane osobno w wirtualnym hoście lub bloku serwera. Wtyczki --apache i --nginx Certbot oferują automatyczną konfigurację tego przekierowania podczas instalacji. W przypadku instalacji ręcznych dodaj jawną dyrektywę Redirect permanent (Apache) lub return 301 (Nginx) w bloku serwera na porcie 80.