Пошаговая инструкция по получению бесплатного SSL сертификата для сайта и сервера электронной почты
Оригинал взят у acisi в Пошаговая инструкция по получению бесплатного SSL сертификата для сайта и сервера электронной почты
99% статей о настройке web-сервера apache содержат фразу "Для создания ключа и сертификата вводим команду: openssl req -new -x509 -days 30 -keyout server.key -out server.pem", это конечно правильно и такой вариант поведения создаст ssl сертификат для вашего сайта, но в любом случае, как-бы вы не старались ваш корневой сертификат не попадет в список доверительных сертификатов браузера и ваши клиенты будут получать предупреждение о не доверительном соединении.
Рассмотрим поведение среднего клиента. Можно нажать игнорировать и даже добавить сертификат в список доверительных для браузера, но среднестатистический пользователь публичного ресурса, просто ничего не знает, ни о доверии, ни о центрах сертификации и просто закроет страницу.
Так почему-же администраторы интернет ресурсов пользуются способом с самоподписанным сертификатом? Да все по тому, что сертификат заказанный в центре сертификации стоит от 4 000 рублей в год и это минимальная цена за один домен и подтверждение названия компании.
Так, что небольшие компании предпочитают или не использовать защищенное соединение или использовать самоподписанные сертификаты. Вот поэтому мы так, часто видим эту замечательную страницу. Вот пример с довольно популярного ресурса по заказу электронных билетов, видя такую чудную картинку, как-то пугаешься вводить туда платежные данные пластиковой карты.
Хотя, если разбирать конкретно сайт этих продавцов билетов, то похоже они знатно прокололись, хотя для оплаты и предложено переходить на сайт платежной системы, но ввод и передачу персональных данных вроде бы еще не отменили.
В данной заметке рассмотрим получение бесплатного сертификата на сайте StartSSL, механизм получения сертификата довольно простой хотя и не лишен некоторых подводных камней, поэтому рассмотрим все этапы получения сертификата, так-сказать по шагам.
1. Во первых на вашем сайте должен быть настроен почтовый сервер, он понадобится для подтверждения права владения доменом, так-же StartSSL для регистрации не принимает публичные почтовые сервера, что выглядит довольно логичным. Как настроить простой почтовый сервер мы писали в прошлых заметках.
2. Приступим к регистрации на сайте, для чего переходим по адресу https://www.startssl.com и в меню навигации выбираем раздел "Control Panel"
Далее выбираем раздел "Sign-up"
Заполняем данные регистрационной анкеты. Как я уже говорил выше потребуется электронная почта привязанная к вашему домену. Анкетные данные заполняются по английски. Выполнение этих двух пунктов значительно ускорит регистрацию на сайте и получение сертификата.
На указанный электронный адрес выслан код подтверждения который необходимо указать в соответствующем поле.
Авторизация на сайте несколько отличается от привычной связки логин/пароль, в чем мы сейчас и убедимся. Следующим этапом является создание приватного ключа для авторизации.
После нажатия кнопки "Continue" появляется этап установки сертификата, где необходимо нажать кнопку "install".
После получения сообщения о успешной установке сертификата необходимо создать его резервную копию. В случае использования браузера Firefox откройте меню "Настройки". перейдите на вкладку "Дополнительные", подпункт "Шифрование" и нажмите кнопку "Просмотр сертификатов". В просмотре сертификатов в свою очередь перейдите в раздел "Ваши сертификаты", где необходимо выбрать сертификат выданный StartCom Ltd, и нажать кнопку "Сохранить копию..."
На этом регистрация завершена и можно приступать к получению сертификата для нашего web и почтового серверов.
3. Вновь переходим в раздел "Control Panel" где после авторизации по ключу мы видим несколько вкладок из которых нас интересует "Validations Wizard". Устанавливаем тип подтверждения "Domain Name Validation".
Указываем имя домена владение которым необходимо подтвердить.
Подтверждение владения доменом осуществляется следующим образом, почтовый робот сайта StartSSL пишет на один из трех системных почтовых адресов, следовательно у вас должен быть заведен один из пользователей postmaster, hostmaster, webmaster или же настроено перенаправление почты от системного пользователя на ваш адрес. Обязательно проверьте, что почта приходит на выбранный адрес. Обязательно проверьте, у например меня, почта для postmaster согласно штатного конфига в dbmail маршрутизировалась на пользователя root.
Механизм подтверждения прав на домен аналогичен регистрации, получаем письмо вводим код подтверждения. После нажатия кнопки "Finish", ваш домен подтвержден и можно переходить к получению сертификатов.
4. Переходим в раздел "Certificates Wizard" и выбираем какой тип сертификата мы хотели бы получить. Нас интересует Web Server SSL/TLS Certificate.
Создаем наш приватный ключ, на этом шаге необходимо только указать пароль. Размер ключа и механизм шифрования можно оставить по умолчанию (хотя если вы параноик, то можно и выставить максимальные значания, но учтите, что SHA2 не поддерживается Windows XP, Windows Server 2003 и т.п.).
После нажатия кнопки продолжить и подтверждения создания ключа, не нажимайте обновить и вообще расслабьтесь и получайте удовольствия до появления окна с сертификатом.
Все содержимое сохраняем в обычный текстовый файл и складываем в папку к копии сертификата для авторизации, в дальнейшем он используется как ssl.key.
Следующим этапом выбираем подтвержденный домен. Кстати сказать если поставить это дело на поток и брать например по 700 рублей за сертификат, то этот момент очень пригодится, так-как вы садите своих клиентов "на иглу" и перерегистрировать они все равно придут к вам :) Но мы играем по честному и передаем все учетные данные и сертификаты клиентам, все равно вернутся, причем добровольно.
Дальше нам по честному предложено добавить один суб-домен. Логично для web-сайта добавить туда "www.домен.топлевел", хотя последнее время брезгуют даже зону A для www делать, как-будто за субдомены деньги берут. Хотя может я не в курсе и уже берут :)
Далее следует предупреждение/информация о том, что все ок и сейчас нам все сделают. Это как в анекдоте про "кнопку которая делает Заебись". Но тут есть один фокус CN становится второе введенное имя :)
Вот как недавно мы рассматривали момент, идите и не жмите кнопок, генерация довольно быстрая. Полученное сохраняем как ssl.crt. Это сертификат.
По окончании процесса, вас поздравят за выбор компании и т.п. В целом этот процесс занимает около 20 минут неспешным шагом, и экономия около четырех тысяч рублей в год :)
99% статей о настройке web-сервера apache содержат фразу "Для создания ключа и сертификата вводим команду: openssl req -new -x509 -days 30 -keyout server.key -out server.pem", это конечно правильно и такой вариант поведения создаст ssl сертификат для вашего сайта, но в любом случае, как-бы вы не старались ваш корневой сертификат не попадет в список доверительных сертификатов браузера и ваши клиенты будут получать предупреждение о не доверительном соединении.
Рассмотрим поведение среднего клиента. Можно нажать игнорировать и даже добавить сертификат в список доверительных для браузера, но среднестатистический пользователь публичного ресурса, просто ничего не знает, ни о доверии, ни о центрах сертификации и просто закроет страницу.
Так почему-же администраторы интернет ресурсов пользуются способом с самоподписанным сертификатом? Да все по тому, что сертификат заказанный в центре сертификации стоит от 4 000 рублей в год и это минимальная цена за один домен и подтверждение названия компании.
Так, что небольшие компании предпочитают или не использовать защищенное соединение или использовать самоподписанные сертификаты. Вот поэтому мы так, часто видим эту замечательную страницу. Вот пример с довольно популярного ресурса по заказу электронных билетов, видя такую чудную картинку, как-то пугаешься вводить туда платежные данные пластиковой карты.
Хотя, если разбирать конкретно сайт этих продавцов билетов, то похоже они знатно прокололись, хотя для оплаты и предложено переходить на сайт платежной системы, но ввод и передачу персональных данных вроде бы еще не отменили.
В данной заметке рассмотрим получение бесплатного сертификата на сайте StartSSL, механизм получения сертификата довольно простой хотя и не лишен некоторых подводных камней, поэтому рассмотрим все этапы получения сертификата, так-сказать по шагам.
1. Во первых на вашем сайте должен быть настроен почтовый сервер, он понадобится для подтверждения права владения доменом, так-же StartSSL для регистрации не принимает публичные почтовые сервера, что выглядит довольно логичным. Как настроить простой почтовый сервер мы писали в прошлых заметках.
2. Приступим к регистрации на сайте, для чего переходим по адресу https://www.startssl.com и в меню навигации выбираем раздел "Control Panel"
Далее выбираем раздел "Sign-up"
Заполняем данные регистрационной анкеты. Как я уже говорил выше потребуется электронная почта привязанная к вашему домену. Анкетные данные заполняются по английски. Выполнение этих двух пунктов значительно ускорит регистрацию на сайте и получение сертификата.
На указанный электронный адрес выслан код подтверждения который необходимо указать в соответствующем поле.
Авторизация на сайте несколько отличается от привычной связки логин/пароль, в чем мы сейчас и убедимся. Следующим этапом является создание приватного ключа для авторизации.
После нажатия кнопки "Continue" появляется этап установки сертификата, где необходимо нажать кнопку "install".
После получения сообщения о успешной установке сертификата необходимо создать его резервную копию. В случае использования браузера Firefox откройте меню "Настройки". перейдите на вкладку "Дополнительные", подпункт "Шифрование" и нажмите кнопку "Просмотр сертификатов". В просмотре сертификатов в свою очередь перейдите в раздел "Ваши сертификаты", где необходимо выбрать сертификат выданный StartCom Ltd, и нажать кнопку "Сохранить копию..."
На этом регистрация завершена и можно приступать к получению сертификата для нашего web и почтового серверов.
3. Вновь переходим в раздел "Control Panel" где после авторизации по ключу мы видим несколько вкладок из которых нас интересует "Validations Wizard". Устанавливаем тип подтверждения "Domain Name Validation".
Указываем имя домена владение которым необходимо подтвердить.
Подтверждение владения доменом осуществляется следующим образом, почтовый робот сайта StartSSL пишет на один из трех системных почтовых адресов, следовательно у вас должен быть заведен один из пользователей postmaster, hostmaster, webmaster или же настроено перенаправление почты от системного пользователя на ваш адрес. Обязательно проверьте, что почта приходит на выбранный адрес. Обязательно проверьте, у например меня, почта для postmaster согласно штатного конфига в dbmail маршрутизировалась на пользователя root.
Механизм подтверждения прав на домен аналогичен регистрации, получаем письмо вводим код подтверждения. После нажатия кнопки "Finish", ваш домен подтвержден и можно переходить к получению сертификатов.
4. Переходим в раздел "Certificates Wizard" и выбираем какой тип сертификата мы хотели бы получить. Нас интересует Web Server SSL/TLS Certificate.
Создаем наш приватный ключ, на этом шаге необходимо только указать пароль. Размер ключа и механизм шифрования можно оставить по умолчанию (хотя если вы параноик, то можно и выставить максимальные значания, но учтите, что SHA2 не поддерживается Windows XP, Windows Server 2003 и т.п.).
После нажатия кнопки продолжить и подтверждения создания ключа, не нажимайте обновить и вообще расслабьтесь и получайте удовольствия до появления окна с сертификатом.
Все содержимое сохраняем в обычный текстовый файл и складываем в папку к копии сертификата для авторизации, в дальнейшем он используется как ssl.key.
Следующим этапом выбираем подтвержденный домен. Кстати сказать если поставить это дело на поток и брать например по 700 рублей за сертификат, то этот момент очень пригодится, так-как вы садите своих клиентов "на иглу" и перерегистрировать они все равно придут к вам :) Но мы играем по честному и передаем все учетные данные и сертификаты клиентам, все равно вернутся, причем добровольно.
Дальше нам по честному предложено добавить один суб-домен. Логично для web-сайта добавить туда "www.домен.топлевел", хотя последнее время брезгуют даже зону A для www делать, как-будто за субдомены деньги берут. Хотя может я не в курсе и уже берут :)
Далее следует предупреждение/информация о том, что все ок и сейчас нам все сделают. Это как в анекдоте про "кнопку которая делает Заебись". Но тут есть один фокус CN становится второе введенное имя :)
Вот как недавно мы рассматривали момент, идите и не жмите кнопок, генерация довольно быстрая. Полученное сохраняем как ssl.crt. Это сертификат.
По окончании процесса, вас поздравят за выбор компании и т.п. В целом этот процесс занимает около 20 минут неспешным шагом, и экономия около четырех тысяч рублей в год :)