Jak aktivovat SSL certifikát a zapnout HTTPS

SSL certifikát šifruje komunikaci mezi webem a jeho návštěvníky. Zabraňuje odposlechu přenášených dat (hesel, formulářů, platebních údajů), ověřuje, že návštěvník komunikuje se skutečným serverem, a chrání integritu dat během přenosu. Weby s aktivním certifikátem používají protokol HTTPS — v prohlížeči to poznáte podle ikony v adresním řádku a adresy začínající na https://.

Na webhostingu u Váš Hosting se SSL certifikát od Let’s Encrypt aktivuje automaticky. Na VPS ho aktivujete ve VPS Centru — celý postup zabere přibližně 5–10 minut. Certifikát od Let’s Encrypt má platnost 90 dní a obnovuje se automaticky, takže se o prodloužení nemusíte starat.

Tento článek vás provede aktivací na webhostingu i na VPS, nastavením přesměrování z HTTP na HTTPS a řešením nejčastějších problémů. Pokud vás zajímá podrobnější vysvětlení toho, jak SSL a TLS fungují a jaké typy certifikátů existují, podívejte se na náš slovníkový článek o SSL certifikátech.

Rychlý přehled pro pokročilé

Tato část slouží pro zkušené uživatele, kteří si chtějí pouze ověřit postup a nepotřebují číst celý článek. Všem ostatním doporučujeme pokračovat další sekcí.

1. Webhosting — v Zákaznickém portálu v Domény → [doména] → Detail → Nastavení klikněte na Aktivovat Https certifikát. Prodloužení je automatické.
2. VPS Centrum V3 — v detailu domény → panel SSL certifikáty (vpravo) → + Přidat → vyberte typ certifikátu a subdomény → Vystavit SSL certifikát.
3. VPS Centrum V2 — v detailu domény → Nastavení → zapněte certifikát tlačítkem Nastavit.
4. Přesměrování HTTP → HTTPS — přes .htaccess (pravidlo RewriteRule s R=301) nebo přes konfiguraci webserveru ve VPS Centru.
5. Ověření — v prohlížeči (ikona v adresním řádku), přes httpstatus.io nebo podle ikony zámečku u domény ve VPS Centru.

Co je dobré vědět předem

Na aktivaci SSL certifikátu a nastavení přesměrování si vyhraďte přibližně 5–10 minut. Generování certifikátu po aktivaci může trvat až 30 minut.

Co budete potřebovat

• Přístup do Zákaznického portálu (webhosting) nebo VPS Centra (VPS). Pokud si nejste jisti, které rozhraní používáte, přečtěte si článek Rozdíly mezi VPS Centrem a Zákaznickým portálem.
• DNS záznamy směřující na váš server — záznam typu A (a případně AAAA) musí obsahovat IP adresu vašeho serveru, jinak se certifikát nepodaří vygenerovat. Návod najdete v článku DNS záznamy: Jak je spravovat a k čemu slouží.

Aktivace SSL na webhostingu

Na webhostingu u Váš Hosting je k dispozici bezplatný certifikát od Let’s Encrypt. Aktivujete ho jedním kliknutím v Zákaznickém portálu. Po první aktivaci se certifikát prodlužuje automaticky — o obnovu se nemusíte starat.

1. Přihlaste se do Zákaznického portálu a přejděte do Domény → [vyberte doménu] → Detail.
2. V sekci Nastavení najdete řádek Https certifikát. Klikněte na tlačítko Aktivovat Https certifikát.

Po kliknutí se certifikát začne generovat. Vystavení může trvat až 30 minut. Jakmile bude certifikát aktivní, stav se v detailu domény změní na „Aktivní“.

Pokud se certifikát nepodaří vygenerovat, podívejte se do sekce Řešení problémů na konci článku — najdete tam nejčastější příčiny a jejich řešení.

Aktivace SSL ve VPS Centru

Na VPS si certifikát aktivujete sami přes VPS Centrum. Postup se mírně liší podle verze VPS Centra.

VPS Centrum V3

Prvním krokem je přihlášení se do VPS Centra a pak jít do detailu domény, kde chcete certifikát vystavit.

Následně se můžete podívat na status certifikátu v pravém horním rohu. Zde je vidět, že není vystaven, můžeme tedy kliknout na přidat +

Následně se před vám zobrazí toto okno

Pokud víte, že na doménách budete pracovat i se spoustou subdomén tak si můžete nastavit možnost automatického vystavovaní pro nově zjištěné subdomény.

A nakonec už jen v samotné poli Subdomény vypíšete všechny Subdomény na které chcete, aby se certifikát vztahoval. V našem případě nám stačí pouze hlavní doména www

Na závěr vygenerujete certifikát kliknutím na Vystavit SSL certifikát

Poté se začne generovat samotný certifikát, to vám potvrdí i samotné VPS Centrum v pravém horním rohu.

Potvrzení, že se certifikát v pořádku vystavil nakonec uvidíte i v samotném detailu domény

Automatické vystavení přes Cloudflare API V3

Pokud vaše doména používá Cloudflare (DNS přesměrované na Cloudflare), standardní vystavení certifikátu přes VPS Centrum neprojde — DNS validace z naší strany nemůže proběhnout. Automatické vystavení přes Cloudflare API, které je k dispozici ve VPS Centru V2 (viz níže), ve V3 zatím není dostupné. V tom případě je potřeba SSL certifikát vyřešit přímo na straně Cloudflare (Cloudflare poskytuje vlastní certifikáty pro domény na svých DNS).

VPS Centrum V2

1. Přihlaste se do VPS Centra a v pravém panelu vyberte doménu.
2. V pravém menu klikněte na Nastavení a certifikát zapněte tlačítkem Nastavit.

Wildcard certifikát

Při vystavování certifikátu ve VPS Centru (viz dialog Https nastavení výše) můžete místo standardního certifikátu zvolit variantu Wildcard DNS certifikát. Ten zabezpečuje celou doménu včetně všech subdomén najednou — například záznam pro *.example.cz pokryje libovolnou subdoménu pod example.cz.

Wildcard se hodí, pokud provozujete větší počet subdomén a nechcete pro každou vystavovat certifikát zvlášť, nebo pokud plánujete subdomény přidávat průběžně. Podrobnější informace o typech certifikátů najdete v článku Jaké druhy HTTPS certifikátů nabízíme.

Automatické vystavení přes Cloudflare API V2

Používáte-li na své doméně Cloudflare (tedy máte DNS záznamy nastavené u Cloudflare), nabízíme vám možnost vystavit SSL certifikát automaticky právě přes tuto službu.

Prvním krokem je jít do nastavení domény

Pak stačí kliknout na základní nastavení viz. níže

Pak zadáte svůj e-mail a API klíč k účtu na Cloudflare. My následně certifikát vygenerujeme automatizovaně a zajistíme, že bude platný jak na straně Cloudflare, tak i na vašem VPS.

Vlastní certifikát

Třetí varianta v dialogu Https nastavení je Vlastní certifikát — použijete ho, pokud potřebujete certifikát od jiné certifikační autority, například kvůli regulatorním požadavkům nebo rozšířenému ověření (EV certifikát s názvem organizace). Podrobný postup nasazení vlastního certifikátu najdete v článku Jak nasadit vlastní SSL certifikát.

Přesměrování HTTP na HTTPS

Po aktivaci certifikátu web funguje na adrese s https://. Návštěvníci ale mohou přijít i přes starou adresu s http:// — z vyhledávače, záložky nebo externího odkazu. Proto je důležité nastavit přesměrování veškerého provozu z HTTP na HTTPS.

Přesměrování přes soubor .htaccess

Nejčastější způsob je přidání přesměrovacího pravidla do souboru .htaccess v kořenovém adresáři webu (/www/hosting/DOMENA/www/).

Do souboru .htaccess přidejte následující pravidlo:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{HTTP:X-Forwarded-Proto} !=https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,QSA,NE,R=301]

Pravidlo funguje takto: první podmínka ověří, že požadavek přichází přes nezabezpečený protokol HTTP. Druhá podmínka zajišťuje správné chování ve výchozím kombinovaném režimu webserveru (Apache – Performance), kdy požadavek prochází přes Nginx a informace o protokolu se předává v hlavičce. Pokud obě podmínky platí, požadavek se trvale přesměruje (kód 301) na HTTPS verzi stejné adresy.

Soubor .htaccess upravíte přes FTP — návod pro připojení na FTP najdete v článku Jak se připojit na FTP. Na webhostingu a ve VPS Centru V3 můžete využít i webový Správce souborů.

Přesměrování přes VPS Centrum

Pokud nechcete upravovat .htaccess ručně, ve VPS Centru můžete přesměrování aktivovat přímo v konfiguraci webserveru. V detailu domény → Upravit Apache konfiguraci otevřete konfiguraci webserveru:

• Apache — přesměrování je předpřipravené v konfiguraci. Stačí ho odkomentovat nebo přidat direktivu Redirect v bloku VirtualHost.
• Nginx — přesměrování aktivujete odkomentováním příslušného řádku (odstraněním znaku # na začátku řádku).

Poznámka pro uživatele WordPressu

Pokud provozujete WordPress, po aktivaci certifikátu je potřeba nastavit přesměrování i přímo ve WordPressu — změnit URL v administraci a aktivovat SSL přes .htaccess nebo plugin. Kompletní postup včetně screenshotů najdete v našem návodu pro úvodní nastavení WordPressu — sekce Aktivujte si SSL certifikát.

Ověření funkčnosti

Po aktivaci certifikátu a nastavení přesměrování ověřte, že vše funguje správně.

V prohlížeči — otevřete web na adrese s https://. V adresním řádku by se měla zobrazit ikona zabezpečeného připojení (nahradila původní zámeček). Po kliknutí na ni uvidíte informaci „Připojení je zabezpečené“. Pokud se místo toho zobrazí varování „Nezabezpečeno“, podívejte se do sekce Řešení problémů níže.

Přes online nástroj — zadejte adresu webu na httpstatus.io. Nástroj ověří, zda certifikát funguje a zda přesměrování z HTTP na HTTPS probíhá správně (měli byste vidět kód přesměrování 301 a cílovou adresu s https://).

Ve VPS Centru — v Přehledu domén se u domény s aktivním Let’s Encrypt certifikátem zobrazuje badge LE ve sloupci Služby. V detailu domény pak panel SSL certifikáty ukazuje typ certifikátu, datum platnosti a stav automatického obnovení.

Řešení problémů

Web se zobrazuje jako „Nezabezpečeno“ i po aktivaci certifikátu

Příčina: Nejčastěji chybí přesměrování z HTTP na HTTPS. Certifikát je sice aktivní, ale web stále odpovídá i na nezabezpečené adrese.

Řešení: Nastavte přesměrování přes .htaccess nebo konfiguraci webserveru. Po úpravě vymažte cache prohlížeče nebo otevřete web v anonymním okně.

Certifikát se nepodařilo vygenerovat

Příčina: DNS záznam typu A nebo AAAA nesměřuje na IP adresu vašeho serveru, nebo doména zatím nemá propagované DNS záznamy. Totéž platí i pro subdomény — každá subdoména, pro kterou chcete certifikát vystavit, musí mít vlastní A záznam (případně i AAAA záznam pokud existuje) směřující na správný server.

Řešení: Ověřte DNS záznamy — na webhostingu v Zákaznickém portálu v sekci Domény → [doména] → DNS, na VPS ve VPS Centru v detailu domény → DNS. Záznam A u hlavní domény i u všech subdomén musí obsahovat IP adresu vašeho serveru. Po opravě počkejte na propagaci DNS (může trvat až 24 hodin) a poté certifikát vystavte znovu.

Prohlížeč hlásí varování o smíšeném obsahu (mixed content)

Příčina: Web běží na HTTPS, ale některé jeho součásti (obrázky, skripty, CSS soubory) se stále načítají přes nezabezpečené HTTP.

Řešení: Otevřete vývojářské nástroje prohlížeče (klávesa F12 → záložka Console). V konzoli uvidíte konkrétní URL zdrojů, které problém způsobují. Změňte jejich adresy z http:// na https://. U WordPressu nainstalujte plugin Really Simple SSL, který mixed content opraví automaticky.

Chyba ERR_SSL_PROTOCOL_ERROR nebo SSL_ERROR_RX_RECORD_TOO_LONG

Příčina: Web na portu 443 neodpovídá přes HTTPS — certifikát není správně nainstalovaný, nebo webserver neposlouchá na HTTPS portu.

Řešení: Ve VPS Centru ověřte, že certifikát je skutečně vystavený (ikona zámečku v seznamu domén). Zkontrolujte konfiguraci webserveru v detailu domény → Upravit Apache Konfiguraci. Pokud problém přetrvává, restartujte webserver přes VPS Centrum → Služby → Apache (nebo Nginx) → Restart.

Certifikát fungoval, ale přestal — chyba NET::ERR_CERT_DATE_INVALID

Příčina: Certifikát od Let’s Encrypt má platnost 90 dní a obnovuje se automaticky. Pokud se automatická obnova nezdařila (například kvůli změně DNS záznamů nebo nedostupnosti serveru), certifikát vyprší.

Řešení: Ve VPS Centru vystavte certifikát znovu — stejným postupem jako při první aktivaci (viz Krok 2). Ověřte, že DNS záznamy stále směřují na správný server.

Web na testovací (alternativní) URL nemá certifikát

Příčina: Testovací URL ve formátu DOMENA.HOSTNAME.vas-server.cz slouží pouze pro vývoj. Na tuto adresu se certifikát nevystavuje.

Řešení: Pro zabezpečený přístup používejte skutečnou doménu. Pokud potřebujete web otestovat ještě před nasměrováním domény, můžete si upravit soubor hosts na svém počítači — podrobnosti najdete v článku Jak zobrazit web před změnou v DNS.

Pokud problém přetrvává i po vyzkoušení výše uvedených řešení, kontaktujte naši podporu — rádi vám pomůžeme.

---