Получение бесплатного валидного SSL сертификата

1 комментарий

Предположим, у нас есть свой маленький, но очень нужный веб-сервер. Даже не предположим, а есть. А какой же веб-сервер без SSL? Правильно, Веб-сервер без SSL – пиво на ветер.

Для наших скромных целей, SSL сертификат, на самом деле, можно получить бесплатно, не оплачивая многабаксов за ненужные нам опции.

Приступим.Поискав в Интернете, нашел, где можно поиметь бесплатный сертификат для веб-майл-серверов. www.startssl.com – ресурс хоть и буржуйский, но значительная часть присутствует на русском, что сильно увеличивает его полезность для большинства админов.

Как показала практика, есть и русская техподдержка.

Вот что они пишут про бесплатные сертификаты: «StartSSL™ Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Тем не менее информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена.»

Этого нам хватит для обеспечения безопасного использования наших многострадальных серверов.

Регистрация.

Скажу сразу, пользоваться лучше Фаерфоксом, ибо Опера как-то неадекватно воспринимает скрипты на сайте и в процессе получения сертификата могут появиться проблемы.

Для начала регистрации (как самый простой, пошаговый вариант), нажимаем на иконку с ключами (справа в углу, квадратная такая) или переходим по ссылке https://www.startssl.com/?app=11&action=true , затем нажимаем жирную зеленую кнопку внизу «Express Lane». В Мозилле, при нажатии на эту самую квадратную кнопку, происходит автоматический редирект на страницу авторизации (https://auth.startssl.com/, она нам понадобится позже), что приводит к ошибке «ssl_error_handshake_failure_alert». Оно и понятно – сертификата-то у нас пока нет, авторизовываться пока не с чем.

Кстати, когда закончим регистрацию, из всех логинопаролей у нас будет только пароль к ключам и, собственно, сами ключи, коими и будем себя удостоверять. Надеюсь, не надо напоминать, что пароль лучше не забывать и ключи лучше не стоит пролюбить 😉

Вводим информацию для регистрации. Для тех, кто не силен в заморских диалектах, перевожу то, что написано под звездочками.

* Не допускаются почтовые ящики следующих поставщиков: qq.com; freemail.com; rambler.ru; mailnull.com; laposte.fr; yopmail.com

** Не видите государств/регионов? Убедитесь, что JavaScript включен.

** Ваши государство/регион отсутствуют? Пожалуйста, помогите улучшить! Отправить нам полный список.

Я вводил все на английском. Не забудьте, что янки по-другому подходят к процессу именования улиц на почтовых конвертах – они пишут (например) «Bolshaya sadovaya str.» вместо нашего, правильного и незыблемого «Улица Большая садовая», поэтому внимательно.

К тому же, нас в хинте, которое появляется над полем, где надо писать адрес, предупреждают, что не надо там писать адрес бизнеса (не что иное, как рабочий адрес) – хотят работать с физлицами. Пожалуйста, мне не жалко – написал им домашний адрес, жду писем восьмым кеглем на мелованной бумаге.

И важно – E-mail надо вводить валидный, туда будут приходить письма. И это мыло будет использоваться для валидации ключей.

Для проверки вводил лабуду вместо имени (остальное верно указал) – мне пришло письмо с кодом, не успел я его ввести, как страница закрылась и пришло следующее письмо:

«Это электронное почтовое сообщение было создано управления персоналомStartCom’s:

Благодарим вас за регистрацию с StartSSL. Кажется, что вы не предоставилиполный личные данные при регистрации. Однако наши условия требуют от наших абонентов раскрывать частный адрес проживания.

Пожалуйста, ответьте на это сообщение и отправmnt нам ваши личные данные, включая Ваше полное официальное наименование, почтовый адрес места жительства с номером дома и телефон.»

Далее нажимаем «Continue» и соглашаемся, что все, что мы ввели – соответствует действительности.

Далее

Все, регистрация, казалось бы, завершена – кнопка с ключами сменилась на дверь со стрелкой (типа «Logout»). Буквально тут же нам придет письмо с «authentication code» — они это (JDDTQxkyBGSMdbiy) так называют.

Смотрим на меню слева и  видим снизу пункт – «Панель управления» («Control panel»). Нам туда.

Вылезло поле для ввода этого свежепойманного «authentication code». Тудыть его. Вставлять его.

Пробел в конце кода убери.

«Continue»

Далее – Generate Private Key

Нас спросят, какую степень для своего сертификата мы выберем – 2048 или 4096 байт (средняя или высокая степень соответственно). Выбираем Высокую степень.

Следующий шаг – установка сертификата.

Мы готовимся подписать ваш первый сертификат.

Пожалуйста, будьте терпеливы, мы готовим сертификат, это может занять некоторое время.

Пожалуйста, нажмите кнопку Установить, чтобы продолжить.

Нажимаем Install

Браузер подумает-подумает и выплюнет предупреждение «Ваш личный сертификат успешно установлен. Пожалуйста, создайте резервную копию этого сертификата.»

Для этого идем:

Firefox Инструменты – Настройки – Дополнительные – Шифрование – Просмотр сертификатов

Opera Меню – Настройки – Общие настройки – Безопасность – Управление сертификатами

Chrome Параметры – Расширенные – Безопасность (слева) – Управление сертификатами (кнопка)

IE Сервис – Свойства обозревателя – Содержание – Сертификаты

Ищем сертификат, выданный StartCom Ltd., его и экспортируем. Не надо говорить, чтобы потом этот сертификат не пролюбить, его надо будет сохранить в достаточно надежное и такое место, где потом самому его найти можно будет?

Этот сертификат можно импортировать в любой другой браузер, чтобы авторизоваться в панели управления на другом компьютере (например, нам по стечению обстоятельств пришлось использовать IE, но дальше работать мы будем в Фаерфоксе и на другом компьютере).

После того, как сохранили сертификат, получаем письмо, в котором видим, что мы подружились с центром сертификации.

Все. Нажимаем Finish и переходим на страницу FAQ. Мы уже залогинены, поэтому продолжим наши мытарства.

Валидация, Сертификация.

Как только мы попадаем в  Панель управления (кнопка в меню слева), нам недвусмысленно дают понять, что придется еще потыкать мышкой.

Что пишут:

Начало работы:

1. Проверка

Для того чтобы получить сертификат, в первую очередь необходимо проверить адрес электронной почты или доменное имя. Для этого выберите вкладку «Мастер проверки» («Validations Wizard»).

2. Сертификат

После проверки электронной почты или домена, выберите вкладку «Мастер сертификатов» («Certificates Wizard»). Получите соответствующий тип сертификата.

3. Различные

«Инструменты» («Tool Box») имеют много различных инструментов, которые могут вам помочь. Здесь вы можете найти помощь, изменить настройки OpenID, добавить кредитную карту, управлять личными ключами (расшифровка), конвертировать сертификат PFX (для IIS серверов) и многое другое …

Смотри-ка сколько всего…

Поехали!

Жмем вкладку «Validations Wizard», видим вопрос «Выберите проверку»

Выберите тип и атрибут проверки который вы хотели бы выполнять.

Пожалуйста, обратите внимание, что, возможно, потребуется  мгновенный доступ к вашей учетной записи электронной почты или документов в виде изображений.

Документы в виде изображений, подсказывает мне интуиция, это сканы для Class 2, они нам не нужны, мы бесплатный сертификат желаем.

Выбираем «Domain Name Validation», нажимаем «Continue».

Далее вводим домен второго уровня руками и выбираем домен первого уровня из списка.

Следующим шагом нам нужно выбрать электроящик для проверки права собственности на домен.

Проверочный код был отправлен на «МЫЛО@».

Пожалуйста, проверьте вашу учетную запись электронной почты теперь и введите код в текстовое поле ниже.

Получаем письмо с кодом подтверждения на тот ящик, который указали, вводим его в поле «Verification Code» и:

Проверка успешна

• Вы успешно подтвердили подлинность домена «domain.ru».

• Вы сможете использовать эту проверку в течение следующих 30 дней, после чего оно истекает, и должны быть возобновлены.

Домен мы подтвердили. Осталось получить для него сертификат.

Certificate Target

Выбираем «Web Server SSL/TLS Certificate»

Снизу появляется подсказка: «SSL / TLS сертификатов веб-сервера в основном используется веб-сервером для обеспечения связи по всей сети и для предотвращения перехвата, фальсификации и подделки сообщений. Кроме сертификатов сервера определяется оператор сервера на различных уровнях, что позволяет ретрансляцию  посетителей, чтобы получить проверенную информацию о владельцах сайта. Это имеет важное значение для торговли в сети Интернет и обеспечивает фактор доверия.»

В общем, тут написано про то, зачем нужен этот сертификат. Заверните. Дайте две.

«Continue»

Создание закрытого ключа

• Если вы создали свой собственный секретный ключ и запрос сертификата (CSR), пожалуйста, пропустите этот шаг.

• Укажите пароль для вашего секретного ключа. (как минимум, 10 символов, но не более 32)

• Допускается только буквы и цифры, без пробелов!

• Пожалуйста, запомните его или запишите его где-нибудь …

Keysize:  4096 (High)

Да, я выбрал 4096

Пароль лучше вводить суровый.

Вылезет предупреждение: «Это создаст закрытый ключ для сертификата. Если вы создали запрос на подпись сертификата (CSR) на вашем сервере, не продолжайте и нажмите на SKIP вместо этого!

Просьба подтвердить или отменить …»

Нажимаем OK

Какое-то время придется подождать. В итоге получим Private Key

Сохранение закрытого ключа

• Скопируйте и вставьте содержимое текстового поля ниже в файл и сохраните его как ssl.key.

• Убедитесь, что вы не изменили содержание и ничего не добавили! Сохраните его в формате ASCII (обычный текст).

• Допускается только буквы и цифры, без пробелов!

• Расшифровка закрытого ключа с помощью утилиты OpenSSL:  openssl rsa -in ssl.key -out ssl.key или используйте утилиту из вкладки «Tool Box».

 

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: AES-256-CBC,33CBBF41F9868342CAD63B5C41B5C017

p8qjHvXje61eNL/6JTtEifHSRI0QgDSS679ACXlSNoJhHJa4gYH0UOUIAmy88Tww

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~тра-та-та~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

NQdI7E3fxXEfn2KqCPEwXIzUgHd3bvCkB9ANTgBD9L92Mztv6+ZAOCqz+/JqDkUW

gS2Oz5HhGXWtGJRcJzbUZ76iI31/N9qxpalE4iraQOs9WKRnDYB6REDOJsUoO/+2

-----END RSA PRIVATE KEY-----


Жмем «Continue» и видим:

Добавить Домен

• Выберите имя домена верхнего целью для вашего сертификата.

• Примечание: Можно выбрать только те доменные имена, которые были утверждены в течение последних 30 дней.

Выбираем домен.

«Continue»

Добавить Домены

• Вы должны добавить один поддомен этому сертификату.

• domain.ru будет включен по умолчанию в разделе Alt.

• Примечание: Для того, чтобы добавить несколько доменов и поддоменов, ваша личность должна быть по крайней мере класса 2. Проверьте ваш статус на «Визитная карточка».

«Личность класса 2» – это оплаченный аккаунт. Не расстраиваемся, а делаем поддомен.

Для того, чтобы подтвердить свое право владения доменом, мы должны создать поддомен к выбранному домену.

В CPanel это делается проще простого и времени на это надо минуты три вместе с авторизацией и перекурами 🙂

Не откладывая в долгий ящик, создаем поддомен и вводим его в поле. Я создал поддомен ssl.domain.ru

Если сразу создать поддомен нет возможности – можно заняться другими делами, тогда потом, когда все-таки звезды выстроятся в ряд (важно! ВСЕ звезды должны выстроиться в ряд!), но не более, чем через месяц, можно повторить процедуру, воспользовавшись мастером еще раз.

• Мы собрали достаточно информации для того, чтобы подписать сертификат.

• общее название этот сертификат будет установлен в ssl.domain.ru.

• сертификат будет поддерживать следующие имена хостов:

    1. domain.ru

    2. ssl.domain.ru

• Пожалуйста, нажмите «Продолжить» для обработки сертификатов.

«Continue»

• в поле ниже ваш PEM закодированные сертификат.

• Скопируйте и вставьте содержимое в файл и сохраните его как ssl.crt.

• Убедитесь, что вы не изменили содержание и ничего не добавили! Сохраните его в формате ASCII (обычный текст).

 

-----BEGIN CERTIFICATE-----

MIIHiDCCBnCgAwIBAgIDA2YkMA0GCSqGSIb3DQEBBQUAMIGMMQswCQYDVQQGEwJJ

~~~~~~~~~~~~~~~~~~~~~~~~~~~~тра-та-та~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

sy689+0UVDyHLjTlZCpY1ZZ+0znPyajSrHE7A5XKlE+Hz1B2j9UeAhaxQLagZIXJ

z8Xg9ySEdzmvojTf

-----END CERTIFICATE-----


Также сохраните intermediate и root CA сертификаты для установки их на ваш серевер.

В последней строчке – ссылки на сертификаты. Их надо скачать и сохранить, они понадобятся для сервера!

sub.class1.server.ca.pem

ca.pem

«Finish»

Вот и все. Теперь у нас есть сертификаты, сроком на 1 год для абсолютно бесплатного использования на нашем веб-сервере. Наслаждайтесь.

0

Пока нет похожих постов.

Получение бесплатного валидного SSL сертификата: 1 комментарий

  1. serg

    неработает этот сайт 🙁 пишет…

    Ошибка при установлении защищённого соединения

    При соединении с auth.startssl.com произошла ошибка. SSL-узлу не удалось договориться о приемлемом наборе параметров безопасности. (Код ошибки: ssl_error_handshake_failure_alert)

Добавить комментарий