ビデオチュートリアルを再生

The SSL It! extension offers a single interface for keeping your websites secured with SSL/TLS certificates from the trusted certificate authorities (CAs) Let's Encrypt and DigiCert (Symantec, GeoTrust, and RapidSSL brands) or with any other SSL/TLS certificate of your choice. Using the extension, you can also do the following:

  • HTTP から HTTPS へのリダイレクト経由でウェブサイト訪問者のセキュリティを強化する。
  • 安全でない HTTP 接続経由のウェブサイトアクセスをブラウザが拒否するようにして、ウェブサイト訪問者を保護する。
  • ウェブサイト訪問者のプライバシーを保護し、OCSP Stapling でウェブサイトのパフォーマンスを向上する。
  • プロトコルと Mozilla で生成された暗号を使用して、SSL/TLS 証明書によって暗号化した接続のセキュリティを強化する。

SSL It! の利用を開始する

Take into account the following:

  • The SSL It! extension is installed by default.
  • SSL It! の全機能を活用するには、最新バージョンの DigiCert SSL と Let's Encrypt 拡張もインストールする必要があります。

To manage an SSL/TLS certificate of a domain, go to Websites & Domains > your domain. You can see the current security status of the domain under "SSL/TLS Certificates":

image status

SSL/TLS 証明書でウェブサイトを保護する

With the SSL It! extension, you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

Let’s Encrypt の SSL/TLS 証明書でウェブサイトを保護するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。

  2. Under "More options", click Install:

    image install_button

  3. 緊急時の通知とキーの紛失時の復元に使用するメールアドレスを指定します。

  4. メインドメインに加えて保護したいものを選択します。

    • Secure the main domain name. Secure only the main domain. If you want to secure only the webmail, you can clear the checkbox.
    • Secure the wildcard domain (including www and webmail). Secure the www subdomain and/or domain aliases, and the webmail.
    • Include a "www" subdomain for the domain and each selected alias. Secure the www subdomain and/or domain aliases.
    • Secure webmail on this domain. Secure the webmail.
    • Assign the certificate to mail domain. Secure the mail with the IMAP, POP, or SMTP protocol. If you have the www subdomain and/or domain aliases, select the Include a "www" subdomain for the domain and each selected alias checkbox.
  5. [無料で取得]をクリックします。

Let’s Encrypt の SSL/TLS 証明書が発行され、自動でインストールされます。

注釈: If you secure a domain with an SSL/TLS certificate from Let’s Encrypt and then add new domains, subdomains, domain aliases, or webmail to the subscription, you can have SSL It! automatically secure them by reissuing the SSL/TLS certificate from Let’s Encrypt. To do so, go to Websites & Domains > your domain > SSL/TLS Certificates and turn on the Keep websites secured option.

有料の SSL/TLS 証明書を取得するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。

  2. To get the list of available certificates, click Get Certificates:

    image Get_Certificates_Button

  3. Select the SSL/TLS certificate you want to buy and click the Buy button in the certificate’s form. .. note:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the **Recommended**, **Wildcard**, and
        **For organization use** filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  5. Сlose the pop-up window.

  6. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  7. 支払いが処理されたら、[必要なデータを入力]をクリックします。

    image payment received

  8. Fill in the required contact information, and then click OK.

Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。

注釈: 一部の SSL/TLS 証明書(EV 証明書など)では、ユーザによる追加のアクションが必要です。CA が申請書を確認できるように、電話またはメールに応答し、必要書類を提出する必要があります。

SSL/TLS 証明書がインストールされると、[ウェブサイトとドメイン > ドメイン > [SSL/TLS 証明書]画面に、インストールされた SSL/TLS 証明書に関する情報(名前、認証局、メールアドレスなど)、保護されているコンポーネント、その他のオプション([http から https へのリダイレクト]、[HSTS]など)が表示されます。

Securing Websites via CLI

You can also secure websites with wildcard SSL/TLS certificates via the CLI. Execute the following CLI commands:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

and then

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

The first command creates a wildcard certificate order, while the second one completes the order and issues the certificate.

SSL/TLS 証明書をアップロードする

You may want to upload an SSL/TLS certificate in the following cases:

  • You already have a certificate that you want to use to secure your domain.
  • SSL It! 経由で取得できない証明書をインストールしたい。

SSL/TLS 証明書をアップロードするには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[アップロード]をクリックします。

    image upload

  2. アップロードする SSL/TLS 証明書の .pem ファイルを見つけて[開く]をクリックします。

ドメインに SSL/TLS 証明書が自動的にインストールされます。

インストールされた SSL/TLS 証明書を更新する

ウェブサイトを継続的に保護するためには、インストールされた SSL/TLS 証明書をタイムリーに更新する必要があります。SSL It! 拡張がこれをサポートします。

SSL It! は Let’s Encrypt と DigiCert の無料 SSL/TLS 証明書を有効期限の 30 日前までに更新します。

image renew

SSL It! cannot automatically renew paid SSL/TLS certificates. However, you can do the following:

  • 手動で再発行する。
  • 期限が切れた SSL/TLS 証明書から無料の Let’s Encrypt 証明書への切り替えを SSL It! に自動で実行させる。

有料の SSL/TLS 証明書を再発行するには:

  1. [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。

  2. [証明書を再発行]をクリックすると、Plesk オンラインストアに自動でリダイレクトされます。

  3. In the Plesk Online Store pop-up window, fill in your address, payment information, and then buy the certificate.

  4. Сlose the pop-up window.

  5. Wait until Plesk updates the payment status or update it manually by clicking Reload. Plesk automatically updates the payment status once per hour.

    image waiting payment

  6. 支払いが処理されたら、[必要なデータを入力]をクリックします。

    image payment received

  7. Fill in the required contact information, and then click OK.

Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。

期限が切れた SSL/TLS 証明書を Let’s Encrypt 無料証明書に自動で切り替えるには:

  1. [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
  2. Turn on Keep websites secured.

Now when your paid SSL/TLS certificate expires, SSL It! automatically issues a free SSL/TLS certificate from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. It usually happens no later than one hour after the SSL/TLS certificate expires.

SSL/TLS 証明書の割当を解除する

  1. [ウェブサイトとドメイン] > SSL/TLS 証明書の割当を解除するドメイン > [SSL/TLS 証明書]に進みます。
  2. Click Unassign Certificate, and then click OK.

ウェブサイトおよび暗号化されたサーバ接続のセキュリティを強化する

信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護するだけでは、全方位的な保護としては十分ではありません。SSL は複雑なテクノロジーで、さまざまな機能(鍵暗号化アルゴリズム、セキュアな暗号、HSTS など)を備えており、以下のメリットがあります。

  • ウェブサイト訪問者のセキュリティを強化する。
  • ウェブサイトパフォーマンスを向上する。
  • 全サーバの暗号化された接続のセキュリティを強化する。

これらの機能を有効にすると、ウェブサイトの検索エンジンランキングが向上します。

  • Redirect from http to https sets up a permanent, SEO-safe 301 redirect from the insecure HTTP to the secure HTTPS version of the website and/or webmail.
  • HSTS prohibits web browsers from accessing the website via insecure HTTP connections.
  • OSCP makes the web server request the status of the website's certificate (can be good, revoked, or unknown) from the CA instead of the visitor's browser.
  • TLS versions and ciphers by Mozilla harden connections secured with SSL/TLS certificates (website, mail, Plesk, and so on).

ご用心: Before turning these features on, make sure that your website can be accessed via HTTPS without any issues. Otherwise, visitors may have trouble accessing your website.

注釈: 既にウェブサーバで HSTS または OCSP Stapling を手動セットアップした場合はSSL It! で HSTS または OCSP Stapling をオンにする前にこれらのカスタマイズを削除してください。

ウェブサイトおよび暗号化されたサーバ接続のセキュリティを強化するには:

  1. 信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護します。

  2. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。

  3. If you have upgraded to Plesk Obsidian from earlier Plesk versions, turn on Redirect from http to https. The redirect will be also applied for webmail by default. On clean Plesk Obsidian installations, the redirect for the domain and webmail is already turned on by default.

    注釈: If your webmail is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.

  4. Enable HSTS.

    注釈: If your SSL/TLS certificate expires earlier than the Max-age period but you still want to use HSTS, we recommend that you turn on "Keep websites secured". Then when the SSL/TLS certificate expires, SSL It! will automatically issue a free one from Let’s Encrypt to secure domains, subdomains, domain aliases, and webmail belonging to the subscription. The website will be continuously secured and HSTS will continue working.

  5. Turn on OCSP Stapling.

  6. Enable TLS versions and ciphers by Mozilla.

ウェブサイトとサーバの SSL セキュリティを強化したら、ウェブサイトの SSL セキュリティを評価できます。

注釈: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has already been secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

To see details on using SSL It! via the CLI, run the plesk ext sslit --help command.

Enabling HSTS

  1. HSTS をオンにします。
  2. Make sure that the SSL/TLS certificate that secures your website will be valid during the Max-age period. Do the same for subdomains and the webmail subdomain.

警告: If the SSL/TLS certificate expires earlier than the Max-age period and HSTS is turned on, visitors won't be able to access your website.

  1. If your subdomains are not secured with valid SSL/TLS certificates or you do not have any subdomains, clear the Include subdomains checkbox.
  2. If your webmail subdomain is not secured with a valid SSL/TLS certificate or you do not have any webmail, clear the Include webmail checkbox.
  3. [HSTS を有効にする]をクリックします。

Enabling TLS Versions and Сiphers by Mozilla

  1. Go to Extensions > the My Extensions tab > click Open next to SSL It!
  2. Under TLS versions and ciphers by Mozilla, turn on the toggle.
  3. Keep Intermediate (recommended), and then click Enable & Sync.
  4. To stay current, click Sync now once every few months.

既知の問題と制約事項

  • OCSP Stapling が機能するのは、nginx と Apache を利用しているか nginx のみを利用しているウェブサイトです。Apache のみを利用している場合、[OCSP Stapling]をオンにする必要はありません。
  • 完全な信頼チェーンが確立していない場合、一部のベンダーの SSL/TLS 証明書(DigiCert の無料証明書など)では OCSP Stapling が機能しません。証明書が OCSP Stapling に対応しているかどうかを確認するには、SSL 構成で SSL Labs Test を実行します。
  • 現在、Mozilla の TLS バージョンと暗号の自動同期はサポートされていません。

ウェブサイトの SSL セキュリティを評価する

Google などの人気検索エンジンでは、SSL 保護レベルが高いウェブサイトがより上位にランクされます。SSL It! 拡張では、人気のテストサービス Qualys SSL Labs を使用して以下を行えます。

  • ウェブサイトの SSL 保護の強度をチェックする
  • 改善点を確認する
  • 最高スコアの「A+」を獲得する(必要に応じて SSL 保護を強化した後で)

ウェブサイトの SSL セキュリティを評価するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
  2. Click Run SSL Labs Test.

新しいタブに Qualys SSL Labs のウェブサイトが開き、テストが自動的に開始されます。テストが終了すると、成績が表示されます。これには数分かかる可能性があります。

信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護し、SSL It! のセキュリティ強化機能をすべてオンにすると、「A+」を獲得できる可能性が高くなります。

SSL It! の提供する SSL/TLS 証明書のリストをカスタマイズする

デフォルトで、ドメインを SSL/TLS 証明書で保護するために SSL It! にアクセスすると、インストール対象として各種 CA の SSL/TLS 証明書が 4 つ表示されますが、実際にはそれ以外にもあります。

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the SSL It! interface:

  1. Go to Extensions > My Extensions tab > click Open next to SSL It!.
  2. Next to SSL/TLS Certificates, click Configure.
  3. Select the desired SSL/TLS certificates, and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

Customize the list of SSL/TLS certificates available for installation in SSL It! via the CLI:

  1. Connect to the Plesk server via SSH.

  2. Get the full list of available SSL/TLS certificates by running the following command:

    plesk ext sslit --product -list
    
  3. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image product list

  4. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  5. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

注釈: If you are a vendor of SSL/TLS certificates and you want them to be integrated and sold in SSL It!, contact us by the email: plesk-extensions@plesk.com. We will tell you how to get started with writing your own extension to integrate the SSL/TLS certificates and guide you until they will be available for purchase in SSL It!.

SSL It! enhanced probability of certificates' issue

SSL It! has a default feature that significantly decreases a number of cases when Let’s Encrypt SSL/TLS certificates cannot be issued because of incompatible domain configurations.

When you get an SSL/TLS certificate from Let’s Encrypt, its servers need to validate that you control the domain names in the certificate. To do so, Let’s Encrypt uses so-called “challenges”: Let’s Encrypt gives a token file that Plesk places to http://<your_domain>/.well-known/acme-challenge/<token>. We call this directory the common challenge directory. The certificate issue will fail if this directory is not accessible. It may happen because of the following configurations:

When installed, SSL It! ensures that the common challenge directory is supported and accessible even if certain incompatible configurations are detected. The feature “common challenge directory support” is enabled by default in Plesk for Linux and Windows.

If necessary, you can turn off the feature via the CLI by running the following command:

plesk ext sslit --common-challenge-dir –disable.

However, we recommend that you keep the common challenge directory support on.

If you have updated to SSL It! 1.4.0 from earlier versions, the common challenge directory support will be turned on automatically unless the use-common-challenge-dir setting was disabled in panel.ini. If the option was disabled, you need to turn on the support manually by running the following command:

plesk ext sslit --common-challenge-dir –enable.

Starting with SSL It! 1.4.0 the use-common-challenge-dir setting is deprecated.