Beveiliging van communicatie en data is erg belangrijk voor de veiligheid van je diensten. Je wilt immers niet dat de communicatie tussen bezoekers en jouw website(s) door kwaadwillenden ingezien kan worden. Daarom is het uitermate belangrijk om gevoelige informatie zoals klantgegevens en betalingsgegevens via 'https'-verkeer te versleutelen. Om dit te doen, installeer je een SSL-certificaat op jouw VPS.
- Voer de stappen in dit artikel uit als gebruiker met root-rechten.
- Wij gaan er bij de stappen in dit artikel van uit dat je onze tutorial series gebruikt voor de configuratie van DirectAdmin op je VPS.
- Je bent vrij te kiezen voor een eigen certificaat (bijvoorbeeld een Sectigo-certificaat via TransIP) of een gratis Let's Encrypt-certificaat. De belangrijkste verschillen zitten hem vooral in de garantie die je krijgt. Qua beveiliging is er geen wezenlijk verschil tussen een betaald of gratis certificaat.
- DirectAdmin heeft standaard al SNI ingeschakeld, waardoor je meerdere SSL-certificaten op 1 IP kunt installeren.
- Mocht je van een CAA-record gebruik maken in jouw DNS-instellingen, zorg er dan voor dat je "comodo.com" (voor Sectigo SSL-certificaten) of "letsencrypt.org" wel in een dergelijk record hebt opgenomen.
Je Sectigo-certificaat downloaden
Als je gebruik maakt van een eigen Sectigo-certificaat via TransIP, dan moet je deze eerst downloaden voor je verder gaat met de volgende paragrafen. Het is van groot belang hiervoor dat je de (juiste) passphrase voor het Sectigo SSL-certificaat hebt bewaard, want zonder kun je de 'private key' niet ontsleutelen.
Mocht je de passphrase niet (meer) bezitten, dan zul je eerst een heruitgifte moeten aanvragen van jouw certificaat. Hoe je dit doet, lees je in het artikel 'Een Sectigo SSL-certificaat installeren'. Scroll hier naar 'Ik ben mijn passphrase kwijtgeraakt' om te lezen hoe je de passphrase opnieuw bemachtigd.
Mocht je het certificaat al gedownload hebben en / of een extern SSL-certificaat willen gebruiken, dan kun je direct door naar de volgende paragrafen. De volgende stappen voer je uit in het TransIP-controlepaneel:
Stap 1
Ga in het controlepaneel naar 'Domein & Hosting' en klik op de domeinnaam (niet selecteren) welke het SSL-certificaat heeft.
Stap 2
Scrol aan de rechterkant naar het kopje 'SSL-certificaten' en klik op beheren achter de naam van het SSL-certificaat. 
Stap 3
In het overzicht klik je nu op 'Downloaden'.
Stap 4
Voer nu de passphrase in van jouw SSL-certificaat en klik op 'Ontsleutelen'.
Wanneer je voor 'Versleuteld downloaden' kiest, dan is de private key nog versleuteld. Deze kun je eventueel zelf via 'OpenSSL' ontsleutelen. Eventueel vind je hier een handleiding over het ontsleutelen van een private key via OpenSSL.
Stap 5
Open het zip-bestand dat je zojuist hebt gedownload. Hier zie je een viertal bestanden in terug:
- cabundle.crt (de root- en intermediate certificaten)
- certificate.crt (het SSL-certificaat zelf)
- certificate.key (de private key van het certificaat)
- certificate.p7b (het SSL-certificaat in PKCS#7-formaat, deze heb je in de meeste gevallen niet nodig)
Stap 6
De eerste drie bestanden heb je nodig voor de installatie van het SSL-certificaat, dus je pakt nu deze bestanden uit in een map naar keuze (zolang je deze uiteraard maar onthoud). De meeste besturingssystemen kunnen standaard een .zip-bestand al uitpakken, maar uiteraard kun je ook een los programma zoals 7zip, Winrar of Winzip gebruiken.
Je server beveiligen met een SSL-certificaat
Voor je server wordt standaard een self-signed certificaat gebruikt dat niet overeenkomt met de hostname van je server. Dit is de reden waarom je een foutmelding krijgt wanneer je via HTTPS probeert in te loggen op je DirectAdmin-server.
In dit onderdeel laten we zien hoe je een (betaald) eigen- of (gratis) Let's Encrypt/ZeroSSL-SSL-certificaat gebruikt om je server te beveiligen.
- Het server-certificaat wordt gebruikt voor de DirectAdmin-webinterface, Apache, Nginx, LiteSpeed, OpenLiteSpeed, Exim, Dovecot, PureFTPd en ProFTPD.
- Je bent vrij in je keuze of je een eigen- of Let's Encrypt-certificaat gebruikt (maar niet beide tegelijk). Voor de beveiliging van je server volstaan beide opties. Een voordeel van Let's Encrypt is dat de certificaten automatisch vernieuwd worden.
- Als je een eigen certificaat gebruikt, moet deze overeenkomen met de hostname van je server. Je kunt de hostname aanpassen als administrator onder ‘Server Manager’ > ‘Administrator Settings’ > ’Server Settings'.
Stap 1
Log in op DirectAdmin met een admin-account en klik op:
- Let's Encrypt: ‘Server Manager’ > ‘Server TLS Certificate’ > ‘Acme Settings'.
- Eigen certificaat: ‘Server Manager’ > ‘Server TLS Certificate’ > ‘Change Certificate’.
Stap 2
Klik hieronder op het element voor Let's Encrypt of een eigen certificaat afhankelijk van welke van de twee je wil installeren.
Let's Encrypt/ZeroSSL
- Vink ‘Enable ACME’ aan om automatisch een certificaat te kunnen genereren.
- Pas desgewenst het e-mailadres aan waar een bevestiging van het genereren van het certificaat naar wordt verstuurd.
- Pas de ‘ACME Provider’ aan naar Let's Encrypt (dit is op moment van schrijven de huidige ‘Server default’) of ZeroSSL (eveneens gratis).
- Je hostname wordt automatisch beveiligd, dus in principe hoef je niets op te geven onder ‘Additional Domains’.
- Laat de optie ‘External DNS Configuration’ leeg.
- Klik tot slot op ‘Submit’.
Je krijgt een bevestigingsvenster te zien zoals hieronder. Vink de optie ‘Issue a new TLS certificate immediately’ aan en klik op ‘confirm’ om verder te gaan en vervolgens rechts bovenaan op ‘Back’ om terug te keren naar de vorige pagina.
Extern/Sectigo-certificaat
- Open eerst het private key bestand (certificate.key) van je eigen certificaat met jouw favoriete teksteditor en kopieer alle inhoud (dus ook het stuk -----BEGIN PRIVATE KEY----- & -----END PRIVATE KEY-----) in het veld onder ‘Key’.
- Open vervolgens het certificaat (certificate.crt) met jouw favoriete teksteditor en kopieer wederom alle inhoud (dus ook het stuk -----BEGIN CERTIFICATE----- & -----END CERTIFICATE-----) en plak deze direct onder de inhoud van het veld ‘Certificate’.
- Klik tot slot op ‘Submit’ rechts onderaan om je wijzigingen op te slaan.
Stap 3
Je keert nu terug naar het ‘Server TLS Certificate’-overzicht. We raden aan om hier de optie ‘DirectAdmin Panel over HTTPS’ in te schakelen via de ‘turn on’-knop.
Je bent nu klaar met het installeren van een SSL-certificaat voor je DirectAdmin-installatie!
Je domein beveiligen met een SSL-certificaat
Voor SSL is een private_html folder aanwezig. DirectAdmin maakt hier echter standaard een symbolic link van. Hierdoor kun je je bestanden in de public_html folder blijven plaatsen zonder dat dat de werking van je SSL-verbinding beïnvloed.
In de stappen hieronder laten we zien hoe je een eigen (e.g. Sectigo), Let's Encrypt-, of ZeroSSL-certificaat aan je domein toevoegt.
Stap 1
Je domeinen worden automatisch met ondersteuning voor SSL toegevoegd in DirectAdmin. We raden om veiligheidsredenen aan om daarnaast de optie om HTTP-verkeer naar HTTPS te redirecten in te schakelen. Heb je deze optie al ingeschakeld of wil je hem overslaan? Ga dan naar stap 3.
Log in als de gebruiker onder wiens naam het domein gehost wordt en klik achtereenvolgens op ‘Account Manager’ > ‘Domain Setup’ > de naam van je domein.
Stap 2
Vink de optie ‘Force SSL with https redirect’ in en klik op ‘modify’.
Stap 3
Klik op de instructie hieronder specifiek voor het type certificaat dat je wil installeren.
Let's Encrypt-/ZeroSSL-certificaat
Log in als user en klik onder het kopje 'Account Manager' (1) op 'SSL Certificates' (2) en vervolgens op ‘Get automatic certificate from ACME provider’ (3).
Je krijgt nu een aantal opties te zien. Selecteer desgewenst Let's Encrypt of ZeroSSL als ACME-provider (4), pas de overige opties naar wens aan. Standaard worden je domeinnaam en het www-subdomein beveiligt. Je kunt onder ‘Certificate Entries’ (5) aanvullende subdomeinen selecteren. Klik tot slot op ‘save’ (6).
Je certificaat is nu gekoppeld en wordt automatisch vernieuwd. Krijg je een foutmelding zoals ‘No domains pointing to this server to generate the certificate for’? Controleer dan de DNS-instellingen van je domein.
Je bent nu klaar met het koppelen van een Let's Encrypt-/ZeroSSL-certificaat.
Eigen SSL-certificaat (e.g. Sectigo)
Log in als user en klik onder het kopje 'Account Manager' op 'SSL Certificates'. Selecteer vervolgens ‘Paste a pre-generated certificate and key’. Optioneel kun je bovenaan rechts op de pagina op de naam van je domein klikken en een ander domein selecteren.
Stap 4
Deze en de volgende stap zijn enkel van toepassing op de installatie van een eigen certifcaat, bijvoorbeeld van Sectigo. De installatie van een Let's Encrypt-/ZeroSSL-certificaat is in de vorige stap afgerond.
- Open eerst het private key bestand (certificate.key) van je eigen certificaat met jouw favoriete teksteditor en kopieer alle inhoud (dus ook het stuk -----BEGIN PRIVATE KEY----- & -----END PRIVATE KEY-----) in het veld onder ‘Key’.
- Open vervolgens het certificaat (certificate.crt) met jouw favoriete teksteditor en kopieer wederom alle inhoud (dus ook het stuk -----BEGIN CERTIFICATE----- & -----END CERTIFICATE-----) en plak deze direct onder de inhoud van het veld ‘Certificate’.
-
Optioneel: we raden om veiligheidsredenen aan de optie ‘Force SSL with https redirect’ in te schakelen en op de ‘Save’-knop ernaast te klikken: Hiermee voorkom je dat bezoekers nog onbeveiligd via HTTP kunnen verbinden.
- Klik tot slot op ‘Save’ rechts onderaan om je wijzigingen op te slaan.
Je krijgt nu een bevestiging te zien zoals hieronder. Wanneer je eerder al een Let's Encrypt certificaat gebruikte voor je je eigen certificaat koppelde, krijg je daar een waarschuwing over. In de volgende stap laten we zien hoe je de vernieuwing van Let's Encrypt uitschakelt. Deze stap is optioneel: als je de melding ‘the previous Let’s Encrypt config is still set to renew etc' niet ziet, ben je klaar met dit onderdeel.
Stap 5 - optioneel
Om Let's Encrypt eventueel uit te schakelen, klik je opnieuw onder het kopje 'Account Manager' op 'SSL Certificates' en selecteer je deze keer ‘Acme Settings’.
Schakel nu de optie ‘Enable ACME’ uit, scroll naar onderen en klik rechts onderaan op ‘Submit’. Let's Encrypt is nu uitgeschakeld!
Daarmee is een gedegen SSL-beveiliging van je VPS opgezet. Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.