Как перенести SSL-сертификат на другой хостинг: подробное руководство

Переезд сайта на новый хостинг – всегда стресс. В суматохе переноса файлов и баз данных легко забыть про SSL-сертификат. Но именно он отвечает за безопасность соединения и доверие посетителей. Если после смены хостинга браузер начнет показывать предупреждение «Небезопасно», клиенты могут уйти, а позиции в поиске – упасть. В этой статье мы расскажем, как правильно и безболезненно перенести SSL-сертификат на другой хостинг. Вы получите четкий план действий: от поиска файлов до финальной проверки. Подойдет и для ручного управления сервером (Apache/Nginx), и для популярных панелей вроде cPanel или ISPmanager.

Содержание:

1. Можно ли перенести SSL-сертификат на другой сервер?
2. Подготовка к переносу: что нужно найти на старом хостинге
3. Где искать файлы в разных окружениях
4. Универсальный способ: перенос через PFX-контейнер
5. Способ 1: Перенос для Apache и Nginx (ручное управление)
6. Способ 2: Перенос для хостинг-панелей (cPanel / ISPmanager)
7. Особенности переноса сертификатов Let‘s Encrypt
8. Проверка и завершающие действия

Можно ли перенести SSL-сертификат на другой сервер?

Короткий ответ: да, можно. SSL-сертификат привязан к доменному имени, а не к IP-адресу или конкретному серверу. Поэтому при смене хостинга вы имеете полное право использовать тот же сертификат. Главное условие – у вас должен быть доступ к файлам закрытого ключа (.key) и самого сертификата (.crt или .pem). Без ключа сертификат бесполезен: его нельзя просто скачать заново, не перевыпуская.

Если сертификат выпущен одним из удостоверяющих центров (например, GlobalSign, DigiCert или российским центром), лицензия остается действительной до окончания срока. При переносе перевыпуск не требуется – достаточно скопировать файлы. Это справедливо и для бесплатных сертификатов Let’s Encrypt, хотя для них есть нюансы, которые мы рассмотрим отдельно.

Подготовка к переносу: что нужно найти на старом хостинге

Прежде чем приступить к переносу, нужно собрать исходные материалы. Вам понадобятся три компонента:

• Закрытый ключ (private key) – файл с расширением .key, выглядит как набор букв и цифр, начинается с -----BEGIN PRIVATE KEY-----. Это самый важный элемент: без него сертификат не восстановить.
• Сертификат (certificate) – файл .crt или .pem, начинается с -----BEGIN CERTIFICATE-----. Содержит информацию о домене и владельце.
• Цепочка промежуточных сертификатов (CA bundle) – обычно файл .ca-bundle или набор промежуточных сертификатов, которые связывают ваш сертификат с корневым. Без них браузеры могут не доверять сертификату.

Иногда цепочка уже объединена с основным сертификатом (в одном файле), тогда отдельный файл не нужен. Но лучше проверить.

Где искать файлы в разных окружениях

Расположение файлов зависит от того, как настроен сервер. Вот основные сценарии.

Если вы управляете сервером через SSH (Linux, Apache/Nginx):

Пути к файлам прописаны в конфигурации веб-сервера. Чтобы их найти, выполните команду:

• Для Apache: apache2ctl -S или httpd -S. В выводе ищите строки SSLCertificateFile и SSLCertificateKeyFile.
• Для Nginx: nginx -T (покажет полный конфиг) или grep по папке /etc/nginx/. Директивы ssl_certificate и ssl_certificate_key укажут пути.

Обычно файлы лежат в /etc/ssl/, /etc/pki/tls/ или в подпапках внутри /etc/letsencrypt/live/ваш_домен/.

Если вы пользуетесь хостинг-панелью (cPanel, ISPmanager, DirectAdmin):

Ищите раздел SSL/TLS или SSL Certificates. В cPanel, например, это раздел SSL/TLS → Manage SSL sites. Там можно увидеть установленные сертификаты и скачать их в виде текста. Обычно панель показывает сертификат, ключ и цепочку по отдельности, и вы можете скопировать их в буфер обмена.

Тип файла	Расширение	Назначение
Приватный ключ	.key	Секретная часть, подтверждает владение
Сертификат	.crt, .pem	Открытая часть, содержит данные о домене
Цепочка	.ca-bundle, .intermediate	Промежуточные сертификаты для доверия

Убедитесь, что у вас есть копии всех трех элементов. Если чего-то не хватает, свяжитесь с поддержкой старого хостинга – они могут предоставить архив.

Универсальный способ: перенос через PFX-контейнер

Формат PFX (или PKCS#12) позволяет упаковать ключ, сертификат и цепочку в один зашифрованный файл. Это удобно, если вы переносите сертификат между разными операционными системами (например, с Linux на Windows) или просто хотите сохранить все в компактном виде.

Создание PFX на старом сервере

Если у вас есть доступ к командной строке, используйте OpenSSL. Перейдите в папку с файлами сертификата и выполните:

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile CA_bundle.crt

• private.key – ваш закрытый ключ.
• certificate.crt – основной сертификат.
• CA_bundle.crt – файл с промежуточными сертификатами (если есть).
• certificate.pfx – имя выходного файла.

Система попросит придумать пароль для защиты PFX. Обязательно запомните его – он понадобится при импорте. Готовый PFX-файл скачайте на свой компьютер через SCP или FTP.

Распаковка PFX на новом сервере

На новом хостинге возможны два пути:

1. Если новый сервер – Linux и нужны отдельные файлы. Извлеките ключ и сертификат обратно командами:

openssl pkcs12 -in certificate.pfx -nocerts -out private.key -nodes

openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.crt

2. Если новый сервер – Windows (IIS). Просто импортируйте PFX-файл через оснастку MMC (Управление компьютером → Службы и приложения → Сертификаты) или через панель IIS. При импорте укажите пароль, заданный при создании.

Этот метод подходит для любых ситуаций и минимизирует риск потерять отдельные файлы.

Способ 1: Перенос для Apache и Nginx (ручное управление)

Для тех, кто привык работать через SSH и предпочитает полный контроль, подойдет классический способ – копирование файлов и правка конфигурации.

Копирование файлов на новый сервер

Сначала нужно передать файлы .key, .crt и .ca-bundle на новую машину. Есть несколько вариантов.

Через SCP (Mac/Linux). Если вы копируете с локального компьютера:

scp /путь/к/файлу.key пользователь@новый_сервер:/путь/на/сервере/

Если файлы остались на старом сервере, можно скопировать напрямую между серверами, но проще сначала скачать их к себе, а потом загрузить на новый хостинг.

Через WinSCP (Windows). Запустите WinSCP, подключитесь к новому серверу по SFTP и просто перетащите файлы в нужную папку (например, /etc/ssl/private/ для ключей и /etc/ssl/certs/ для сертификатов). Убедитесь, что у ключа правильные права доступа (обычно 600 или 640).

Через Rsync (между серверами). Если оба сервера доступны по SSH, можно синхронизировать папки напрямую:

rsync -avz /etc/letsencrypt/live/ваш_домен/ пользователь@новый_сервер:/etc/letsencrypt/live/ваш_домен/

Этот способ удобен для массового переноса, но требует аккуратности с путями.

Подключение сертификата в конфигурации веб-сервера

После того как файлы оказались на новом сервере, нужно «подсказать» веб-серверу, где они лежат.

Для Apache. Отредактируйте виртуальный хост (обычно в /etc/apache2/sites-available/ваш-сайт.conf или /etc/httpd/conf.d/). Добавьте или измените следующие строки внутри <VirtualHost *:443>:

Проверьте синтаксис: apachectl configtest. Если все хорошо, перезагрузите Apache: systemctl reload apache2 (или httpd).

Для Nginx. В файле конфигурации сайта (например, /etc/nginx/sites-available/ваш-сайт) в секции server для 443 порта пропишите:

Проверьте конфигурацию: nginx -t. Если ошибок нет, перезагрузите Nginx: systemctl reload nginx.

После перезагрузки сайт должен открываться по HTTPS с корректным сертификатом.

Способ 2: Перенос для хостинг-панелей (cPanel / ISPmanager)

Владельцам виртуального хостинга с панелью управления не нужно лезть в консоль. Все делается через веб-интерфейс.

На старом хостинге (экспорт). Зайдите в cPanel, найдите раздел SSL/TLS → Manage SSL sites. Напротив нужного домена нажмите кнопку, позволяющую просмотреть сертификат (обычно это иконка глаза или ссылка). Откроется текстовое поле с сертификатом, ключом и цепочкой. Скопируйте их содержимое по отдельности в текстовый файл на своем компьютере. Будьте внимательны: копируйте вместе с тегами -----BEGIN... и -----END....

На новом хостинге (импорт). Зайдите в cPanel нового аккаунта, перейдите в тот же раздел SSL/TLS → Install and Manage SSL for your site (HTTPS). Выберите домен из выпадающего списка. Вставьте скопированный сертификат в поле Certificate, ключ – в поле Private Key, цепочку – в поле Certificate Authority Bundle (если есть отдельное поле). Нажмите Install. Панель проверит соответствие ключа и сертификата и, если все верно, активирует HTTPS.

В ISPmanager или DirectAdmin логика похожа: ищите раздел «Сертификаты SSL», там обычно есть кнопка «Добавить» или «Установить», где можно вставить данные вручную.

Особенности переноса сертификатов Let‘s Encrypt

Let‘s Encrypt выдает бесплатные сертификаты сроком на 90 дней, и процесс их получения автоматизирован через клиента Certbot. При переносе сайта можно поступить двумя способами.

Способ А: скопировать папку с сертификатами. Папка /etc/letsencrypt/live/ваш_домен/ содержит симлинки на актуальные файлы. Вы можете скопировать всю структуру /etc/letsencrypt/ на новый сервер. Сертификаты будут работать, но автоматическое обновление (через cron или systemd-таймер) на новом месте, скорее всего, не сработает из-за несовпадения путей или конфигурации. Вам придется перенастроить Certbot.

Способ Б (рекомендуемый): выпустить новый сертификат на новом сервере. Это проще и надежнее. Установите Certbot, выполните команду для вашего веб-сервера:

certbot --apache   # для Apache

certbot --nginx    # для Nginx

Certbot автоматически проверит владение доменом (через DNS или файлы на сервере), выпустит новый сертификат и настроит автообновление. Это займет меньше времени, чем возня с копированием старых файлов. При этом старый сертификат можно просто отключить – он все равно скоро истечет.

Если вы переносите сайт до истечения старого сертификата и хотите избежать перерыва, выпустите новый сразу после переезда. Браузеры без проблем примут новый сертификат от того же домена.

Проверка и завершающие действия

После установки сертификата на новом хостинге нужно убедиться, что все работает правильно, и аккуратно завершить переезд.

1. Проверьте работу HTTPS. Откройте сайт в браузере по протоколу https://. Рядом с адресной строкой должен появиться зеленый замочек. Щелкните по нему и посмотрите информацию о сертификате: там должны быть правильные даты и имя домена.
2. Протестируйте цепочку сертификатов. Используйте онлайн-инструменты, например SSL Labs (SSL Server Test). Введите домен и дождитесь отчета. Обратите внимание на отсутствие ошибок и полную цепочку доверия.
3. Переключите DNS. Если вы еще не перенаправляли домен на новый хостинг, сделайте это сейчас. Помните, что изменения DNS распространяются не мгновенно. Чтобы проверить работу сайта на новом сервере до переключения, можно отредактировать файл hosts на своем компьютере, указав там новый IP-адрес.

Удалите сертификат со старого хостинга. После того как DNS обновился и сайт работает на новом месте, старый сертификат можно отключить или удалить. Это освободит лицензию (для платных сертификатов это не критично, но порядок на сервере не помешает).