Разное

Как получить сертификат startssl: Как получить бесплатный сертификат SSL: центр сертификации StartSSL

Содержание

Получение бесплатного SSL сертификата

На дворе май 2017-го, а браузеры продолжают путь к «защищённому» интернету, смысл которого заключается в обязательной ssl-сертификации всех сайтов. Этот путь начался давно англ и, некоторое время назад Chrome начал дописывать «Информацию о сайте», в котором указано, что соединение с сайтом не защищено. Mozilla пошла дальше и теперь при заполнении форм входа на сайт, пользователи стали получать сообщение:

Это соединение не защищено. Логины, введенные здесь, могут быть скомпрометированы.

Описание данного явления можно увидеть на официальном сайте Mozilla.

Здорово, Mozilla! Молодцы, Mozilla! Теперь, для любого смертного, попадающего на Ваш сайт, это сообщение выглядит как: Эй, человек! Этот сайт очень страшный и опасный, и он точно сломает твой компьютер. А если не cломает то украдёт твои деньги!
Конечно, я утрирую, но такие надписи значительно уменьшают уровень доверия к сайту.

Ну что ж. Надо, так надо. Попробуем разобраться, что можно сделать без денег.

Если Ваш сайт имеет под собой коммерческую основу, то Вам ничего не стоит потратить хотя бы $100 — $200, чтобы купить нормальный сертификат. Но те, которые хотят «таблеток от жадности, да побольше!», и сертификат желают получить нахаляву (а лучше два =) ). Я, со своим блогом, тоже в этом клане и для нас нищебродов есть сайты, которые выпускают бесплатные сертификаты. Их полно, но два отличаются особо: StartSSL и Let’s Encrypt.

Платные сертификаты лучше

Разница заключается в том, что бесплатные CA не дают гарантий. В какой-то момент сертификат может стать не валидным и тогда, с ним будет хуже, чем без него.

Выбор платных CA велик: RapidSSL, GeoTrust, Comodo. Могу рекомендовать только Thawte  англ.
С другими не работал, а от Thawte остались положительные впечатления.

Бесплатный сертификат от StartSSL

StartSSL, который переехал на адрес startcomca.com англ раздаёт сертификаты давно и даже статьи на хабре есть по этому поводу. Впрочем, они уже не актуальны.

Бесплатные сертификаты от StartSSL не валидны

С 21-го октября 2016 года браузеры перестали доверять CA StartSSL и WoSign. Так описывают эту причину Google  англ. StartSSL сообщают, что исправят проблемы в течении полугода.

Чтобы получить бесплатный сертификат от StartSSL, необходимо:

  1. Зарегистрироваться на startcomca.com  англ
  2. Подтвердить право владения доменом(и) (верификация)
  3. Сгенерировать CSR и сделать запрос на получение сертификата одним из предложенных способов
  4. Прикрепить полученный сертификат к домену
1. Регистрация в startcomca.com

Регистрация  англ простая. Пароля нет, почту подтверждать не надо. Каждый последующий вход выполняется путём получения кода для входа на почту.

2. Верификация

Верифицировать можно разными способами. Мы берём бесплатный сертификат, поэтому любой способ подойдет. Выбираем что проще. Например, верификация по email’у.

Верификация проходит также как и в большинстве других случаев: подтверждением владения почты административной почты. На почту приходит код, вводим его, профит. После этого в правом столбце у Вас появится подтверждённое доменное имя.

3. Запрос на сертификат

Теперь у нас есть подтвержденный домен и можно приступать к получению сертификата. Выбираем самый простой тот, что бесплатный

Этот шаг занимает чуть больше времени, чем остальные, но тоже прост: заполняем форму и отправляем.

  1. Указываем до 10-ти доменных имен
  2. Выбираем способ генерации CSR
  3. Выполняем команду и генерируем CSR. В процессе генерации CSR Вам будет задан ряд вопросов, ответы на которые необходимо вводить в латинской раскладке. Достаточными являются:

    • Country Name (2 letter code) [AU] — страна регистрации организации, для которой получаем сертификат (для Росcии — RU)
    • State or Province Name (full name) [Some-State] — область, регион регистрации организации (Москва — Moscow)
    • Locality Name (eg, city) [] — город регистрации организации (Москва — Moscow)
    • Organization Name (eg, company) [Internet Widgits Pty Ltd] — наименование организации
    • Common Name (e.g. server FQDN or YOUR name) [] — доменное имя, для которого генерируется сертификат
    openssl req -newkey rsa:2048 -keyout mbaev.key -out mbaev.csr
    Generating a 2048 bit RSA private key
    ..................................................+++
    .............................................................+++
    writing new private key to 'mbaev.key'
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:RU
    State or Province Name (full name) [Some-State]:Samara
    Locality Name (eg, city) []:Samara
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Mbaev's blog
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:mbaev.com
    Email Address []:
    ----
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    
    Пароль не обязателен

    Если в процессе формирования CSR вы укажете пароль, то он понадобится в момент крепления сертификата к домену. Если за вас это будет делать техподдержка, то они попросят у Вас этот пароль.

  4. Далее открываем сформированный <файл>.csr, копируем содержимое и вставляем в ожидающее нас поле.

  5. Отправляем и смотрим результат

4. Крепление сертификата к домену

Начать стоит, безусловно, со скачивания самого сертификата. Список всех сертификатов можно увидеть на странице Certificate list.

В скачанном архиве будет несколько папок и куча сертификатов. Это все один и тот же сертификат, только используется в разных случаях.

Сам процесс крепления обычно начинается и заканчивается запросом в службу техподдержки, где вам нужно будет предоставить полученный архив и файл с расширением .key, который Вы сформировали самостоятельно.

Сертификат от Let’s Encrypt

Однажды, два сотрудника из Mozilla почесали и репу и сказали: «Ёшки-матрёшки! Да что ж это такое?! Сертификаты — это же, всего лишь, единицы и нули. А почему бы нам не раздавать их всем желающим?.. Ну хотя бы тем, у кого нет коммерческой подоплёки?». Другие воскликнули: «Да! Давайте раздавать!». Так возникла идея автоматизированного сервиса по выдаче бесплатных сертификатов сроком на 90 дней, которую, мы теперь знаем под названием Let’s Encrypt.

Этот сервис полностью автоматизирован. Он устанавливается на хостинг за 15 минут, а процедура получения сертификата занимает до 30 секунд, в которую входит выполнение 2-х команд.

Установка CertBot’а — это отдельная тема, но всё же приведу несколько ссылок:

IT-Patrol

Хостинг, который вызывает у меня симпатию IT-Patrol, тоже поддерживает автоматизированный выпуск сертификатов от Let’s Encrypt. Этот хостинг «заточен» на работу с cms Drupal  всех версий и нынче он располагается по адресу drupalhosting.ru . Моё последнее обращение к ним началось с просьбы о подключении автогенерации сертификата от Let’s Encrypt. Наше общение было такое же простое, лёгкое и приятное, как все предыдущие и через некоторое время я получил заветное сообщение «Подключили сертификаты. Проверьте, пожалуйста.»

That’s it.

Полезные ссылки

StartSSL — бесплатный SSL сроком на год | blog.eaglenn.ru

Большое количество web сервисов уже давно перешло на работу по защищенному соединению, с использованием протокола HTTPS, а это значит что и нам пора быть в тренде и переходить на SSL шифрацию.

Для этого нам необходимо где-то раздобыть ssl сертификат и желательно если он будет бесплатным. На сегодня существует только один вменяемый сервис который предоставляет эту услугу — StartSSL. Поговорим о нем далее.

Что это такое? Как мы все с вами знаем, SSL сертификаты выдаются центрами сертификации, корневые центры сертификации которых хранятся в хранилище сертификатов вашей ОС и к которому имеют доступ программы установленные на вашем ПК, а так же ваш любимый web браузер. Цена на большинство сертификатов зашкаливает все разумные пределы, но существуют сервисы которые готовы выдать вам сертификат за вполне меняемые деньги и стоит это всего каких то 5 долларов — gogetssl.com. Но мы хотим вообще бесплатно.

StartSSL выдает сертификат на основании проверки владения email адреса и домена (т.е. вас попросят указать электронный адрес с вашим доменом, например [email protected] или [email protected]). Будет выдан сертификат сроком на год. Отозвать сертификат вы сможете только на платной основе и на момент написания статьи это стоит около 24 долларов. Поэтому будьте внимательны при генерации сертификата — не теряйте ключи.

1. Регистрация.

Для начала зайдем на страницу регистрации. Выберем русский язык и нажмем Sing-up.

Перейдем на страницу регистрации, где нам нужно заполнить небольшую форму. Все поля обязательны к заполнению, вводить необходимо  актуальную информацию, могут проверить и отозвать сертификат. При регистрации используйте латиницу.

Далее на почту придет проверочный код, который нам необходимо будет ввести в форму.

На следующем шаге выберем размер ключа для нашего сертификата. Он будет нужен для дальнейшей авторизации на сайте. Они используют авторизацию по SSL ключу.

Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.

После подтверждения сертификат будет установлен в хранилище личных сертификатов пользователя, который мы сможем посмотреть через консоль mmc

На этом процесс регистрации завершен и мы можем перейти к процессу верификации домена. Идем дальше.

2. Проверка домена.

Перед получением заветного сертификата нам необходимо пройти процедуру проверки владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Выбираем подтверждение по электронному адресу и нажимаем продолжить.
На этом экране нам предлагается ввести имя нашего домена.

Выбираем email на который будет отправлен проверочный код

вам на почту придет письмо с проверочным кодом, который нужно ввести в поле проверки.

После всех операций мы достигли окончания процедуры проверки домена и электронной почты.

Далее переходим к генерации так нужного нам сертификата. Из выпадающего списка выбираем Web Server SSl/TLS Certificate

Далее создадим Private Key для сертификата — ЭТО ОЧЕНЬ ВАЖНЫЙ КЛЮЧ, НЕ ПОТЕРЯЙТЕ ЕГО, ИНАЧЕ НЕ СМОЖЕТ УСТАНОВИТЬ НА СЕРВЕР ПОЛУЧЕННЫЙ СЕРТИФИКАТ. ЗАПОМНИТЕ ПАРОЛЬ.

После нажатия кнопки Continue вам необходимо обязательно сохранить полученный ключ в файл server.key. Убедитесь скопировали содержимое экрана полностью.

Выберем домен для которого необходимо получить сертификат.

Далее нам дают возможность самостоятельно ввести поддомен. В моем случае это blog.

Нажимаем продолжить. И получаем файл сертификата.

Необходимо скопировать полученный код и сохранить в файл server.crt. Так же сохраните «intermediate» и «root», они могут быть использованы при дополнительных настройках. Нажмите кнопку «Finish»

Переходим к утилитам.

нам необходимо выбрать Create PKCS#12 (PFX) File.

Скопируйте в поле «Enter Private Key» ранее сохраненный ключ «server.key». В поле «Enter Certificate» скопируйте ранее сохраненный «server.crt». В поле «Provide a password» введите пароль от ключа сертификата и нажмите кнопку «Continue».

нажмите кнопку «Get PFX». Начнется загрузка файла с расширением «.p2».

На этом получение сертификатов закончено. Теперь нам остается переименовать файл с расширением p2 в pfx (PFX получил тяжелую критику, является одним из самых сложных криптографических протоколов, но тем не менее остается единственным стандартным способом сегодня для хранения закрытых ключей и сертификатов в одном зашифрованном файле.)

Теперь нам необходимо получить сертификаты, для этого выберете ваш pfx архив,  нажмите далее, введите пароль который указывали при получении сертификата, выберете в какое хранилище экспортировать ключи. Далее необходимо выгрузить ключи из хранилища и используя server.key поместить их на сервер.

Получение и установка сертификата от StartSSL — flops.ru

StartSSL позволяет получить бесплатный SSL–сертификат класса DV.

1. Генерация запроса на получение сертификата (CSR)

openssl req -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr

#Country Name (2 letter code) [AU]:.
#State or Province Name (full name) [Some-State]:.
#Locality Name (eg, city) []:.
#Organization Name (eg, company) [Internet Widgits Pty Ltd]:.
#Organizational Unit Name (eg, section) []:.
#Common Name (e.g. server FQDN or YOUR name) []:example.com
#Email Address []:.

example.com.csr —  запрос на получение сертификата

example.com.key — приватный ключ

2. Подтверждение владения доменом

3. Заказ сертификата

После подтверждения домена необходимо перейти к форме заказа сертификата:

Затем необходимо указать имена хостов, которые будут прописаны в сертификате, и скопировать запрос на получение сертификата (содержимое example.com.csr):

Осталось скачать полученный сертификат:

4. Установка сертификата в nginx

Необходимо скачать промежуточный сертификат StartSSL, затем объединить его с нашим сертификатом:

cat example.com.pem sca.server1.crt > nginx_example.com.crt
server {
        listen 443 ssl default_server;

        ####################
        ssl_certificate         /etc/nginx/ssl/nginx_example.com.crt;
        ssl_certificate_key     /etc/nginx/ssl/example.com.key; 

        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout  5m;
        ssl_ciphers  "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !EXPORT !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
        ssl_prefer_server_ciphers   on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ####################
        root /var/www/html;

        index index.html index.htm index.nginx-debian.html;

        server_name _;

        location / {
                try_files $uri $uri/ =404;
        }
}

5. Установка сертификата в apache

a2enmod ssl && service apache2 restart
<VirtualHost *:443>
        ####################
        SSLCertificateFile      "/etc/apache2/ssl/example.com.pem"
        SSLCertificateKeyFile   "/etc/apache2/ssl/example.com.key"
        SSLCertificateChainFile "/etc/apache2/ssl/sca.server1.crt"
        SSLProtocol all -SSLv2 -SSLv3
        SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
        ####################
        ServerAdmin [email protected]
        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Бесплатный валидный (подписанный) SSL-сертификат через StartSSL — kurazhov’s blog

*копипаста с этого блога

Бесплатный валидный (подписанный) SSL-сертификат через StartSSL

Итак, вы хотите получить бесплатный SSL-сертификат для своего сайта (для HTTPS). На сколько я знаю, единственный сервис, который выдает бесплатные валидные годовые сертификаты — это StartSSL. Израильская компания занимается цифровой сертификацией и является официальным Центром сертификации (CA) в PKI.

StartSSL раздает валидные годовые SSL-сертификаты бесплатно. Другие компании берут за это деньги начиная примерно от $20 в год. StartSSL зарабатывает на сертификатах более высоких классов, включая сертификат с расширенной валидацией, а базовый сертификат делает бесплатно. Их идея заключается в том, что они не берут деньги за сервис, в котором не используется труд людей (базовая валидация домена производится автоматически).

1. О системе StartSSL и их сертификатах

Особенность функционирования сайта StartSSL заключается в том, что авторизация в панель управления производится через клиентский S/MIME сертификат. Это большая редкость в наши дни. Отсюда возникает непонимание процесса неподготовленными пользователями и тупняк на этапе освоения сервиса.

Суть заключается в том, что вместо логина и пароля вам выдается сертификат. Почти такой же сертификат, какой выдается для подтверждения подлинности сервера. Этот сертификат отправляет на сервер ваш браузер при авторизации (автоматически после вашего подтверждения). Браузер берет его из хранилища, куда сертификат должен быть импортирован до проведения авторизации. Если сертификата в хранилище не окажется, то при авторизации вы увидите браузерное сообщение об ошибке, на подобии «Не удаётся завершить защищённую транзакцию».

Чтобы получить бесплатный сертификат для вашего сайта, нужно зарегистрироваться в сервисе StartSSL и получить персональный сертификат, войти с его помощью в панель, после чего можно будетзаказать и получить бесплатный SSL-сертификат для вашего сайта.

Персональный сертификат действует 1 год и его необходимо своевременно обновить за месяц до конца срока действия, иначе вы потеряете доступ к панели.

Так же следует сразу отметить, что получить сертификат можно только для доменов из фиксированного списка зон. Это домены второго уровня во всех региональных и коммерческих зонах первого уровня, а так же отдельные зоны второго уровня (с доменами третьего уровня).

Кроме того, на домене должна работать почта. На один из ящиков из фиксированного списка ([email protected]домен, [email protected]домен, [email protected]домен или адреса, указанные в Whois) придет письмо с кодом проверки.

2. Регистрация

Зайдите на сайт StarSSL и начните регистрацию (кликаем Sign-up). При этом нельзя использовать Google Chrome (можно Opera, Firefox, IE)(*на момент 09.03.2016 данным браузером пользоваться можно).

Интерфейс сайта примерно с января 2016 года претерпел значительные изменения, но суть картинок не поменялась.

2.1. Заполните форму. Укажите свои реальные данные. Во-первых, этого требует соглашение, с которым вы соглашаетесь при регистрации. Во-вторых, эти данные проверяются вручную. В-третьих, указывать здесь фейковый данные смысла мало, т.к. кроме самого StartSSL их никто не увидит.

2.2. Укажите код подтверждения e-mail-а. Как правило, письмо с кодом приходит сразу или в течение минуты.

2.3. Дождитесь проверки указанных данных персоналом StartSSL. Да, они проверят то, что вы ввели в форме. Вручную. Если их ничего не смутит (а как правило ничего не смущает в реальных данных), вам придет ответ на e-mail, в котором будет указана ссылка на вторую активацию аккаунта (с кодом). Обратите внимание, что ссылка действует только в течение 24 часов.

Они могут задать дополнительные вопросы по e-mail для уточнения регистрационных данных. Отвечать на них имеет смысл, и опять-таки — честно.

После подтверждения аккаунта персоналом вам прийдет второе письмо с кодом проверки. Переходите по ссылке из второго письма, указывайте второй код активации, попадете на страницу генерации ключа персонального сертификата:

Для генерации ключа выбираем 2048 бит (в выпадающем меню), так как меньшую битность StartSSL не поддерживает, а в большей едва ли есть смысл.

После нажатия «Continue» генерируется ключ заданной длины. Он сохраняется в браузере и отправляется на сервер. Там генерируется сертификат на основании этого ключа. После генерации сертификат передается (после нажатия «Install») вам — в браузере появляется окно, предлагающее его установить.

Устанавливаем обязательно.

2.4. На данный момент картина следующая: у вас есть подтвержденная учетная запись StartSSL и персональный сертификат, установленный в браузер, который заменяет для вас одновременно логин и пароль.

Этот сертификат необходимо «достать» из браузера и сохранить в надежном месте. В случае потери установленного сертификата (например, переустановка ОС или браузера) вы сможете его вновь импортировать. Кроме того, сертификат нужен для того, чтобы войти в панель с другого компьютера.

Конкретные действия для экспорта сертификата зависят от вашего браузера. Общее лишь то, что вы должны попасть в управление хранилищем сертификатов, найти там свой персональный сертификат StartSSL и экспортировать его в файл. В Opera это делается так:

В Google Chrome: Настройки — Сертификаты. Вылезет стандартное диалоговое окно системы.

Формат экспорта — с секретным ключем PKCS#12. Если такого формата нет и вы не знаете, какой формат экспорта лучше выбрать (при условии, что их несколько), экспортируйте во все :). Если вы экспортируете сертификат без ключа, смысла в этом не будет — он не будет работать.

Если вы потеряете сертификат, утратите доступ к панели. Это значит, что для получения новых сертификатов и продления старых (через выписку нового), необходимо будет заново регистрироваться.

3. Итак, ваша учетная запись подтверждена и у вас есть персональный сертификат для авторизации в панели StartSSL. Теперь самое время зайти в панель. Нажимаем на кнопку с ключами и попадаем на страницу авторизации (смотрите на первом изображении в статье). Нажимаем «Authenticate». Подтверждаем передачу серверу нашего персонального сертификата. Авторизация пройдена — вы в панели.

Если на этом этапе вы получаете ошибки, значит что-то не то с сертификатом. Если браузер при авторизации не выдавал вам предложения отправить сертификат на сервер, значит он не импортирован в хранилище (см. выше).

Самое тяжелое позади. Теперь необходимо заказать и получить сертификат для вашего сайта. Он будет выдан на год. Спустя 11 месяцев необходимо зайти на сайт и получить новый сертификат на тот же сайт (то же имя). Как таковой процедуры продления сертификатов нет ни для сайта, ни для персональных сертификатов. Об окончании срока действия сертификатов StartSSL несколько раз предупреждает по почте. (заметка о продлении сертификата)

Панель StartSSL состоит из 3-х разделов (вкладки на изображении выше):

  • Tool Box — инструментарий. Большая его часть бесполезна. Можно отметить только разделы для получения корневых и промежуточных сертификатов StartSSL и получения ранее созданных сертификатов.
  • Certificates Wizard — мастер создания нового сертификата. С него начинается заказ нового сертификата для сайта или персонального сертификата. Для создания сертификата должен быть заранее подтвержден домен или адрес e-mail соответственно.
  • Validations Wizard — это как раз и есть мастер проверки сайта и e-mail (а кроме того платных проверок личности и организации). С него нужно начинать получение сертификата для сайта. Каждая проверка действует 30 дней, так что при «продлении» сертификатов проверки необходимо повторять.

Итак, начинаем процесс получения сертификата для сайта.

3.1. Проверка (валидация) домена. Переходим в Validations Wizard, выбираем проверку домена (Domain Name Validation):

На следующем шаге укажите домен. После выбора домена необходимо выбрать из списка предложенных e-mail, на который придет письмо с кодом для проверки принадлежности домена. Письмо как правило приходит быстро, ввод кода подтверждения аналогичен, как при регистрации.

3.2. После проверки принадлежности домена нужно заказать для него сертификат. Для этого перейдите в Certificates Wizard, выберите Web Server SSL/TSL Certificate. Далее выберите из списка один из предварительно проверенных доменов.

На следующем шаге есть два варианта:

  • пропустить шаг и предоставить собственноручно сгенерированный CSR со своим приватным ключем,
  • или заполнить форму и сгенерировать приватный ключ в браузере.

Первый вариант выбирают те, кто знает, что такое CSR и как его сделать. В любом случае обратите внимание на то, что размер ключа (Keysize) не должен быть менее 2048 бит.

Предположим, что выбран вариант с генерацией ключа. Тогда заполните форму и нажмите «Continue». После некоторой паузы вы получите свой ключ. Сохраните его, он пригодится позже.

На следующем шаге повторно выберите домен. Далее, укажите для него поддомен. Сертификат будет действителен для выбранного домена и указанного сабдомена (например, www).

На следующем шаге просто подтверждается заказ сертификата. После этого вы получите сам сертификат (PEM-encoded). Сохраните его.

Процесс получения сертификата на этом завершен. В результате у вас есть 2 файла: приватный ключ и сертификат. Их нужно указать в конфигах вашего веб-сервера. Приватный ключ необходимо предварительно расшифровать командой:

openssl rsa -in ssl.key -out ssl.key

О том, как настроить веб-сервер для использования полученного сертификата, можно прочитать здесь. А вообще, по этой теме хватает информации в Интернете.

Источник —

Тема с установкой сертификата на веб-сервер смотрите тут — https://kurazhov.ru/tls-apache/

Бесплатный валидный (подписанный) SSL-сертификат через StartSSL

Итак, вы хотите получить бесплатный SSL-сертификат для своего сайта (для HTTPS). На сколько я знаю, единственный сервис, который выдает бесплатные валидные годовые сертификаты — это StartSSL. Израильская компания занимается цифровой сертификацией и является официальным Центром сертификации (CA) в PKI.

StartSSL раздает валидные годовые SSL-сертификаты бесплатно. Другие компании берут за это деньги начиная примерно от $20 в год. StartSSL зарабатывает на сертификатах более высоких классов, включая сертификат с расширенной валидацией, а базовый сертификат делает бесплатно. Их идея заключается в том, что они не берут деньги за сервис, в котором не используется труд людей (базовая валидация домена производится автоматически).

1. О системе StartSSL и их сертификатах

Особенность функционирования сайта StartSSL заключается в том, что авторизация в панель управления производится через клиентский S/MIME сертификат. Это большая редкость в наши дни. Отсюда возникает непонимание процесса неподготовленными пользователями и тупняк на этапе освоения сервиса.

Суть заключается в том, что вместо логина и пароля вам выдается сертификат. Почти такой же сертификат, какой выдается для подтверждения подлинности сервера. Этот сертификат отправляет на сервер ваш браузер при авторизации (автоматически после вашего подтверждения). Браузер берет его из хранилища, куда сертификат должен быть импортирован до проведения авторизации. Если сертификата в хранилище не окажется, то при авторизации вы увидите браузерное сообщение об ошибке, на подобии «Не удаётся завершить защищённую транзакцию».

Чтобы получить бесплатный сертификат для вашего сайта, нужно зарегистрироваться в сервисе StartSSL и получить персональный сертификат, войти с его помощью в панель, после чего можно будет заказать и получить бесплатный SSL-сертификат для вашего сайта.

Персональный сертификат действует 1 год и его необходимо своевременно обновить в за месяц до конца срока действия, иначе вы потеряете доступ к панели.

Так же следует сразу отметить, что получить сертификат можно только для доменов из фиксированного списка зон. Это домены второго уровня во всех региональных и коммерческих зонах первого уровня, а так же отдельные зоны второго уровня (с доменами третьего уровня).

Кроме того, на домене должна работать почта. На один из ящиков из фиксированного списка ([email protected]домен, [email protected]домен, [email protected]домен или адреса, указанные в Whois) придет письмо с кодом проверки.

2. Регистрация

Зайдите на сайт StarSSL и начните регистрацию (кликаем Sign-up). При этом нельзя использовать Google Chrome (можно Opera, Firefox, IE).

2.1. Заполните форму. Укажите свои реальные данные. Во-первых, этого требует соглашение, с которым вы соглашаетесь при регистрации. Во-вторых, эти данные проверяются вручную. В-третьих, указывать здесь фейковый данные смысла мало, т.к. кроме самого StartSSL их никто не увидит.

2.2. Укажите код подтверждения e-mail-а. Как правило, письмо с кодом приходит сразу или в течение минуты.

2.3. Дождитесь проверки указанных данных персоналом StartSSL. Да, они проверят то, что вы ввели в форме. Вручную. Если их ничего не смутит (а как правило ничего не смущает в реальных данных), вам придет ответ на e-mail, в котором будет указана ссылка на вторую активацию аккаунта (с кодом). Обратите внимание, что ссылка действует только в течение 24 часов.

Они могут задать дополнительные вопросы по e-mail для уточнения регистрационных данных. Отвечать на них имеет смысл, и опять-таки — честно.

После подтверждения аккаунта персоналом вам прийдет второе письмо с кодом проверки. Переходите по ссылке из второго письма, указывайте второй код активации, попадете на страницу генерации ключа персонального сертификата:

Для генерации ключа выбираем 2048 бит (в выпадающем меню), так как меньшую битность StartSSL не поддерживает, а в большей едва ли есть смысл.

После нажатия «Continue» генерируется ключ заданной длины. Он сохраняется в браузере и отправляется на сервер. Там генерируется сертификат на основании этого ключа. После генерации сертификат передается (после нажатия «Install») вам — в браузере появляется окно, предлагающее его установить.

Устанавливаем обязательно.

2.4. На данный момент картина следующая: у вас есть подтвержденная учетная запись StartSSL и персональный сертификат, установленный в браузер, который заменяет для вас одновременно логин и пароль.

Этот сертификат необходимо «достать» из браузера и сохранить в надежном месте. В случае потери установленного сертификата (например, переустановка ОС или браузера) вы сможете его вновь импортировать. Кроме того, сертификат нужен для того, чтобы войти в панель с другого компьютера.

Конкретные действия для экспорта сертификата зависят от вашего браузера. Общее лишь то, что вы должны попасть в управление хранилищем сертификатов, найти там свой персональный сертификат StartSSL и экспортировать его в файл. В Opera это делается так:

Формат экспорта — с секретным ключем PKCS#12. Если такого формата нет и вы не знаете, какой формат экспорта лучше выбрать (при условии, что их несколько), экспортируйте во все :). Если вы экспортируете сертификат без ключа, смысла в этом не будет — он не будет работать.

Если вы потеряете сертификат, утратите доступ к панели. Это значит, что для получения новых сертификатов и продления старых (через выписку нового), необходимо будет заново регистрироваться.

3. Итак, ваша учетная запись подтверждена и у вас есть персональный сертификат для авторизации в панели StartSSL. Теперь самое время зайти в панель. Нажимаем на кнопку с ключами и попадаем на страницу авторизации (смотрите на первом изображении в статье). Нажимаем «Authenticate». Подтверждаем передачу серверу нашего персонального сертификата. Авторизация пройдена — вы в панели.

Если на этом этапе вы получаете ошибки, значит что-то не то с сертификатом. Если браузер при авторизации не выдавал вам предложения отправить сертификат на сервер, значит он не импортирован в хранилище (см. выше).

Самое тяжелое позади. Теперь необходимо заказать и получить сертификат для вашего сайта. Он будет выдан на год. Спустя 11 месяцев необходимо зайти на сайт и получить новый сертификат на тот же сайт (то же имя). Как таковой процедуры продления сертификатов нет ни для сайта, ни для персональных сертификатов. Об окончании срока действия сертификатов StartSSL несколько раз раз предупреждает по почте.

Панель StartSSL состоит из 3-х разделов (вкладки на изображении выше):

  • Tool Box — инструментарий. Большая его часть бесполезна. Можно отметить только разделы для получения корневых и промежуточных сертификатов StartSSL и получения ранее созданных сертификатов.
  • Certificates Wizard — мастер создания нового сертификата. С него начинается заказ нового сертификата для сайта или персонального сертификата. Для создания сертификата должен быть заранее подтвержден домен или адрес e-mail соответственно.
  • Validations Wizard — это как раз и есть мастер проверки сайта и e-mail (а кроме того платных проверок личности и организации). С него нужно начинать получение сертификата для сайта. Каждая проверка действует 30 дней, так что при «продлении» сертификатов проверки необходимо повторять.

Итак, начинаем процесс получения сертификата для сайта.

3.1. Проверка (валидация) домена. Переходим в Validations Wizard, выбираем проверку домена (Domain Name Validation):

На следующем шаге укажите домен. После выбора домена необходимо выбрать из списка предложенных e-mail, на который придет письмо с кодом для проверки принадлежности домена. Письмо как правило приходит быстро, ввод кода подтверждения аналогичен, как при регистрации.

3.2. После проверки принадлежности домена нужно заказать для него сертификат. Для этого перейдите в Certificates Wizard, выберите Web Server SSL/TSL Certificate. Далее выберите из списка один из предварительно проверенных доменов.

На следующем шаге есть два варианта:

  • пропустить шаг и предоставить собственноручно сгенерированный CSR со своим приватным ключем,
  • или заполнить форму и сгенерировать приватный ключ в браузере.

Первый вариант выбирают те, кто знает, что такое CSR и как его сделать. В любом случае обратите внимание на то, что размер ключа (Keysize) не должен быть менее 2048 бит.

Предположим, что выбран вариант с генерацией ключа. Тогда заполните форму и нажмите «Continue». После некоторой паузы вы получите свой ключ. Сохраните его, он пригодится позже.

На следующем шаге повторно выберите домен. Далее, укажите для него поддомен. Сертификат будет действителен для выбранного домена и указанного сабдомена (например, www).

На следующем шаге просто подтверждается заказ сертификата. После этого вы получите сам сертификат (PEM-encoded). Сохраните его.

Процесс получения сертификата на этом завершен. В результате у вас есть 2 файла: приватный ключ и сертификат. Их нужно указать в конфигах вашего веб-сервера. Приватный ключ необходимо предварительно расшифровать командой:

openssl rsa -in ssl.key -out ssl.key

О том, как настроить веб-сервер для использования полученного сертификата, как-нибудь в следующий раз. А вообще, по этой теме хватает информации в Интернете.

Certificate Transparency, бесплатные* EV SSL сертификаты / Хабр

* (сама проверка до уровня EV остается платной)

Либерализация глобальной инфраструктуры PKI не прошла мимо шестого по величине удостоверяющего центра StartCOM, любимого многими за «нетрадиционную» ценовую политику.


Как известно, бизнес-модель израильской компании StartCOM отличается от других центров сертификации: клиент платит только за человеческий труд, при этом машинный труд (автоматизированные процессы) для клиента бесплатны. Также у StartCOM существуют 4 уровня идентификации, при этом выдача сертификатов «внутри» уровня сертификации неограничена и бесплатна (т.к. сама выдача сертификата — полностью автоматический процесс, а вот проверку данных клиента не во всех случаях удается поручить машине).

Ранее эти правила распространялись на все классы идентификации, кроме EV: за каждый новый сертификат было необходимо доплатить еще 49.90 US$. Теперь этот сбор отменен, при достижении уровня EV клиент может выпустить неограниченное количество сертификатов, соответствующих данным EV. Цена EV-идентификации осталась неизменной и составляет 199.90 US$.

По словам CEO StartCOM Eddy Nigg:

HTTPS с «низкоуровневыми» DV SSL становится новым стандартом интернета, постепенно заменяя plain text ‘HTTP’; соответственно, новый ‘HTTPS’ (который должен выделяться, как 15 лет назад выделялся сам факт SSL-соединения — прим. перев.) должен быть защищен EV SSL. Мы осознаем важность EV SSL как стандарта для большинства коммерческих сайтов и ресурсов, работающих с критичной для пользователя информацией.

Другой важной новостью стало внедрение Certificate Transparency — нового стандарта, исправляющего недочеты в системе PKI и предназначенного для борьбы с выдачей поддельных сертификатов для доменов путем ведения логов выдачи. Информация о записи в публичном журнале внедряется в сертификат; браузер (на текущий момент только Chrome) не отобразит «зеленую строку» без этой информации даже для EV-сертификата.

При этом, в отличие от требований Google/Chrome, StartCOM будет вести логи для всех выданных сертификатов (а не только EV) на 3 различных серверах.

Также — на случай если кто-то из хабровчан пропустил — у StartSSL теперь новый современный дизайн и появилась возможность получать сертификаты Class 1 на поддомены.

Как получить бесплатный SSL сертификат для сайта?

В этой статье мы расскажем, какой SSL-сертификат лучше выбрать — платный или бесплатный, и как получить SSL-сертификат для сайта бесплатно. 

Какой SSL лучше — бесплатный или платный

На сайте 2domains вы можете сделать SSL-сертификат бесплатно на год при условии, что ваш домен заказан (или перенесён) в 2domains. Однако мы рекомендуем всегда выбирать платные SSL-сертификаты. 

Рассмотрим преимущества и недостатки платного и бесплатного сертификатов.  

Преимущества платного SSL-сертификата

  • Платный SSL подтверждает существование организации и её бизнес-уровень: посетители будут уверены, что вашему сайту можно доверять;

  • один сертификат защищает и основной домен и все поддомены; 

  • гарантия от взлома на сумму от 10000 до 1,5 миллионов долларов.

Недостатки бесплатного SSL-сертификата

  • Бесплатный SSL защищает только соединение: в услугу не входит проверка организации. Следовательно, посетители могут сомневаться, что у вас надежный сайт;

  • защищает только основной домен и не защищает поддомены;

  • не дает гарантий от взлома.

Если вы решили выбрать бесплатный SSL-сертификат, следуйте инструкции ниже.

Как заказать бесплатный SSL-сертификат

Перед заказом SSL создайте почтовый ящик для домена по инструкции. После этого:

  1. Перейдите в Личный кабинет.

  2. Выберите в списке услуг домен, для которого хотите установить бесплатный SSL-сертификат:

  1. Внизу страницы в блоке “Рекомендуем” нажмите Заказать в строке бесплатного SSL-сертификата:

  1. На открывшейся вкладке автоматически сгенерируйте CSR — зашифрованный запрос на выпуск сертификата. Нажмите Получить CSR автоматически:

  1. Откроется окно с параметрами заказа. Укажите в нём данные организации. Нажмите Generate:

  2. Скачайте CSR и приватный ключ, нажав соответствующие кнопки. Обязательно сохраните эти два файла. Затем нажмите Продолжить:

  1. На следующей вкладке поле “Строка запроса (CSR)” заполнится автоматически. Введите контакты администратора домена. Нажмите Выбрать:

  1. В корзине проверьте правильность заказа и нажмите Оплатить с баланса:

  1. Если все прошло успешно, откроется страница активации заказа. Дождитесь окончания активации или перейдите к услугам, нажав Открыть список ваших услуг:

 

  1. В списке услуг появится GlobalSign DomainSSL Free для выбранного домена со статусом “Активируется”: 

Через 10-15 минут услуга станет активна — появится срок действия:

 

Готово! Вы заказали и активировали бесплатный SSL-сертификат для домена.

Чтобы установить бесплатный SSL-сертификат, используйте инструкцию: Как установить SSL-сертификат.

 

 

Получение и установка сертификата от StartSSL — flops.ru

StartSSL позволяет получить бесплатный SSL – сертификат класса DV.

1. Генерация запроса на получение сертификата (CSR)

 openssl req -newkey rsa: 2048 -nodes -keyout example.com.key -out example.com.csr

# Название страны (двухбуквенный код) [AU] :.
# Название штата или провинции (полное название) [Some-State] :.
# Название населенного пункта (например, город) [] :.
# Название организации (например, компания) [Internet Widgits Pty Ltd] :.# Название организационной единицы (например, раздел) [] :.
# Общее имя (например, полное доменное имя сервера или ВАШЕ имя) []: example.com
#Адрес электронной почты []:. 

example.com.csr — запрос на получение сертификата

example.com.key — приватный ключ

2. Подтверждение владения доменом

3. Заказ сертификата

После подтверждения домена необходимо перейти к форме заказа сертификата:

Затем указать имена хостов, которые будут прописаны в сертификате, и скопировать запрос на получение сертификата (пример содержимого.com.csr):

Осталось скачать полученный сертификат:

4. Установка сертификата в nginx

Необходимо скачать промежуточный сертификат StartSSL, затем объединить его с нашим сертификатом:

 cat example.com.pem sca.server1.crt> nginx_example.com.crt 
 сервер {
слушать 443 ssl default_server;

        ####################
ssl_certificate / etc / nginx / ssl / nginx_example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;

ssl_session_cache общий: SSL: 10 м;
ssl_session_timeout 5 мин;
ssl_ciphers "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + RCHECRESDAULL EECDH4! ! 3DES! MD5! EXP! PSK! SRP! DSS »;
ssl_prefer_server_ciphers на;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ####################
корень / вар / www / html;

index index.html index.htm index.nginx-debian.html;

имя сервера _;

место расположения / {
try_files $ uri $ uri / = 404;
}
} 

5. Установка сертификата в apache

 a2enmod ssl && service apache2 перезапуск 
 
####################
SSLCertificateFile "/etc/apache2/ssl/example.com.pem"
SSLCertificateKeyFile "/etc/apache2/ssl/example.com.key"
SSLCertificateChainFile "/ etc / apache2 / ssl / sca.server1.crt "
SSLProtocol все -SSLv2 -SSLv3
SSLCipherSuite ALL:! DH:! EXPORT:! RC4: + HIGH: + MEDIUM:! LOW:! ANULL:! ENULL
####################
ServerAdmin веб-мастер @ localhost
DocumentRoot / var / www / html

ErrorLog $ {APACHE_LOG_DIR} /error.log
CustomLog $ {APACHE_LOG_DIR} /access.log вместе
 

.

StartSSL — бесплатный срок SSL на год | blog.eaglenn.ru

Большое количество веб-сервисов, уже давно перешло на работу по защищенному соединению, с использованием протокола HTTPS, а это значит что и нам пора быть в тренде и переходить на SSL-шифрацию.

Для этого нам необходимо где-то раздобыть ssl-сертификат и желательно если он будет бесплатным. На сегодня существует только один вменяемый сервис, который предоставляет эту услугу — StartSSL. Поговорим о нем далее.

Что это такое? Как мы все с вами знаем, SSL сертификаты выдаются центрами сертификации, корневые центры сертификации хранятся в хранилище сертификатов вашей системы и к которым имеют доступ программы установленные на вашем ПК, а так же ваш любимый веб-браузер. Цена на большинство сертификатов зашкаливает все разумные пределы, но существуют сервисы, выдать вам сертификат за вполне меняемые деньги и стоит всего каких то 5 — gogetssl.com. Но мы хотим вообще бесплатно.

StartSSL выдает сертификат на основании проверки владения электронной почты адреса и домена (т.е. вас попросят указать электронный адрес с вашим доменом, например [email protected] или [email protected]). Будет выдан сертификат сроком на год. Отозвать сертификат вы сможете только на платной основе и на момент написания статьи это стоит около 24 долларов. Поэтому будьте внимательны при генерации сертификата — не теряйте ключи.

1. Регистрация.

Для начала зайдем на страницу регистрации.Выберем русский язык и нажмем Регистрация.

Перейдем на страницу регистрации, где нам нужно заполнить небольшую форму. Все поля обязательны к заполнению, вводить необходимо актуальную информацию, могут проверить и отозвать сертификат. При регистрации використовуйте латиницу.

Далее на почту придет проверочный код, который нам необходимо будет сделать в форму.

На следующем шаге выберем размер ключа для нашего сертификата.Он будет нужен для дальнейшей авторизации на сайте. Они используют авторизацию по SSL ключу.

Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.

После подтверждения сертификата будет установлен в хранилище личных сертификатов пользователя, который мы сможем посмотреть через консоль mmc

На этом процессе регистрации завершен и мы можем перейти к процессу верификации домена.Идем дальше.

2. Проверка домена.

Перед получением заветного сертификата нам необходимо пройти проверку владения доменом. Для этого переходим в раздел Мастер проверки и выбираем пункт Проверка доменного имени

Выбираем подтверждение по электронному адресу и нажимаем продолжение.
На этом нам предлагается ввести сообщение нашего домена.

Выбираем email на который будет отправлен проверочный код

вам на почту придет письмо с проверочным кодом, который нужно ввести в поле проверки.

После всех операций мы достигли окончания процедуры проверки домена и электронной почты.

Далее переходим к генерации так нужного нам сертификата. Из выпадающего списка выбираем Сертификат SSl / TLS веб-сервера

Далее создадим Закрытый ключ для сертификата — ЭТО ОЧЕНЬ ВАЖНЫЙ КЛЮЧ, НЕ ПОТЕРЯЙТЕ ЕГО, ИНАЧЕ НЕ СМОЖЕТ УСТАНОВИТЬ НА СЕРВЕР ПОЛУЧЕННЫЙ СЕРТИФИКАТ. ЗАПОМНИТЕ ПАРОЛЬ.

После применения кнопки Continue вам необходимо обязательно сохранить полученный ключ в файле на сервере.ключ. Убедитесь, что скопировали содержимое экрана полностью.

Выберем домен для которого необходимо получить сертификат.

Далее нам дают возможность самостоятельно сделать поддомен. В моем случае это блог.

Нажимаем продолжить. И получаем файл сертификата.

Необходимо скопировать полученный код и сохранить в файле server.crt. Так же сохраните « промежуточный » и « root », они могут быть использованы при дополнительных настройках.Нажмите кнопку « Finish »

Переходим к утилитам.

нам необходимо выбрать Создать файл PKCS # 12 (PFX).

Скопируйте в поле « Введите закрытый ключ » ранее сохраненный ключ « server .key ». В поле « Введите сертификат » Вставьте ранее сохраненный « server .crt ». В поле « Введите пароль » введите пароль от ключа сертификата и нажмите кнопку « Продолжить ».

нажмите кнопку « Получить PFX ». Начнется загрузка файла с расширением « .p2 ».

На этом получение сертификатов закончено. Теперь нам остается переименовать файл с расширением p2 в pfx (PFX получил тяжелую критику, является одним из самых сложных криптографических протоколов, но тем не менее остается менее стандартным способом хранения закрытых ключей и сертификатов в одном зашифрованном файле.)

Теперь нам необходимо получить сертификат, для этого выберете ваш pfx архив, введите пароль, который нужно получить при получении сертификата, выберете в какое хранилище экспортировать ключи. Далее необходимо выгрузить ключи из хранилища и используя server.key их поместите на сервер.

.

Бесплатный валидный (подписанный) SSL-сертификат через StartSSL — блог куражова

* копипаста с этого блога

Бесплатный валидный (подписанный) SSL-сертификат через StartSSL

Итак, вы хотите получить бесплатный SSL-сертификат для своего сайта (для HTTPS). На сколько я знаю, единственный сервис, который выдает бесплатные валидные годовые сертификаты — это StartSSL. Израильская компания занимается цифровой сертификацией и является официальным Центром сертификации (CA) в PKI.

StartSSL раздает валидные годовые SSL-сертификаты бесплатно. Другие компании берут за это деньги примерно от $ 20 в год. StartSSL зарабатывает на сертификатах более высоких классов, включая сертификат с расширенной валидацией, базовый сертификат делает бесплатно. Их идея заключается в том, что они не берут деньги за сервис, в котором используется не используется труд людей (базовая валидация производится автоматически).

1. О системе StartSSL и их сертификатах

Особенности функционирования сайта StartSSL заключается в том, что авторизация в панели управления производится через клиентский сертификат S / MIME.Это большая редкость в наши дни. Отсюда возникает непонимание неподготовленными пользователями и тупняк на этапе освоения сервиса.

Суть заключается в том, что вместо логина и пароля вам выдается сертификат. Почти такой же сертификат, какой выдается для подлинности сервера. Этот сертификат отправляет на сервер ваш браузер при авторизации (автоматически после вашего подтверждения). Браузер берет его из хранилища, куда сертификат должен быть импортирован до проведения авторизации.Если сертификат в хранилище не применен, то при авторизации вы увидите браузерное сообщение об ошибке, на подобии «Не удаётся завершить защищённую транзакцию».

Чтобы получить бесплатный сертификат для вашего сайта, нужно зарегистрироваться в сервисе StartSSL и получить персональный сертификат, войти с его помощью в панель, после чего можно будет заказать и получить бесплатный SSL-сертификат для вашего сайта.

Персональный сертификат действует 1 год и его необходимо своевременно обновить за месяц до конца срока действия, иначе вы потеряете доступ к панели.

Так же следует сразу отметить, что получить сертификат можно только для доменов из фиксированного списка зон. Это домены второго уровня во всех региональных и афоризм первого уровня, а так же отдельные зоны второго уровня (с доменами третьего уровня).

Кроме того, на домене должна работать почта. На один из ящиков из фиксированного списка (веб-мастер @ домен, почтовый мастер @ домен, хост-мастер @ домен или адрес, способы в Whois) придет письмо с кодом проверки.

2.Регистрация

Зайдите на сайт StarSSL и начните регистрацию (кликаем Регистрация). При этом нельзя использовать Google Chrome (можно Opera, Firefox, IE) (* на момент 09.03.2016 по данным браузером пользоваться можно).

Интерфейс сайта примерно с января 2016 года претерпел значительные изменения, но суть картинок не поменялась.

2.1. Заполните форму. Укажите свои реальные данные. Во-первых, этого требует соглашение, с которым вы соглашаетесь при регистрации.Во-вторых, эти данные проверяются вручную. В-третьих, указывать здесь фейковый данные смысла мало, т.к. кроме самого StartSSL их никто не увидит.

2.2. Укажите код подтверждения e-mail-а. Как правило, письмо с кодом приходит сразу или в течение минуты.

2.3. Дождитесь проверки указанного данных персоналом StartSSL. Да, они проверят то, что вы ввели в форме. Вручную. Если их ничего не смутит (а как правило не смущает в реальных данных), вам придет ответ на электронную почту, в которой будет указана ссылка на вторую активацию аккаунта (с кодом).Обратите внимание, что ссылка действует только в течение 24 часов.

Они могут задать дополнительные вопросы по электронной почте для уточнения регистрационных данных. Отвечать на них имеет смысл, и опять-таки — честно.

После подтверждения аккаунта персоналом вам прийдет второе письмо с кодом проверки. Переходите по ссылке из второго письма, указывайте второй код активации, попадете на страницу генерации ключа персонального сертификата:

Для генерации ключа выбираем 2048 бит (в выпадающем меню), так как меньшую битность StartSSL не поддерживает, а в большей большей ли есть смысл.

После применения «Continue» создается ключ заданной длины. Он сохраняется в браузере и отправляется на сервер. Там генерируется сертификат на основании этого ключа. После генерации сертификата передается (после предлагающего «Установить») вам — в браузере появляется окно, которое предлагает его установить.

Устанавливаем обязательно.

2.4. На момент картина следующая: у вас есть подтвержденная учетная запись StartSSL и персональный сертификат, установленный в браузере, который заменяет для вас одновременно логин и пароль.

Этот сертификат необходимо «достать» из. В случае потери установленного сертификата (например, переустановка ОС). Кроме того, сертификат нужен для того, чтобы войти в панель с другого компьютера.

Конкретные действия для сертификата от вашего. Общее лишь то, что вы должны включить в управление хранилищем сертификатов, найти там свой персональный сертификат StartSSL и экспортировать его в файл.В Opera это делается так:

В Google Chrome: Настройки — Сертификаты. Вылезет стандартное диалоговое окно системы.

Формат экспорта — с секретным ключем PKCS # 12. Если такого формата нет и вы не знаете, какой формат экспорта лучше выбрать (при условии, что их несколько), экспортируйте во все :). Если вы экспортируете сертификат без ключа, смысла в этом не будет — он не будет работать.

Если вы потеряете сертификат, утратите доступ к панели.Это значит, что для получения новых сертификатов и продления старых (через выписку нового), необходимо будет заново регистрироваться.

3. Итак, ваша учетная запись подтверждена и у вас есть персональный сертификат для авторизации в панели StartSSL. Теперь самое время зайти в панель. Нажимаем на кнопку с ключами и попадаем на страницу авторизации (смотрите на первом изображении в статье). Нажимаем «Аутентифицировать». Подтверждаем передачу серверу нашего персонального сертификата.Авторизация пройдена — вы в панели.

Если на этом этапе вы получаете ошибки, значит, что-то не то с сертификатом. Если браузер при авторизации не выдавал вам предложения отправить сертификат на сервер, значит он не импортирован в хранилище (см. Выше).

Самое тяжелое позади. Теперь необходимо заказать и получить сертификат для вашего сайта. Он будет выдан на год. Спустя 11 месяцев необходимо зайти на сайт и получить новый сертификат на тот же сайт (то же имя). Как таковой процедуры продления сертификатов нет ни для сайта, ни для сертификатов.Об окончании срока действия сертификатов StartSSL несколько раз предупреждает по почте. (заметка о продлении сертификата)

Панель StartSSL состоит из 3-х разделов (вкладки на изображении выше):

  • Ящик для инструментов — инструментарий. Большая его часть бесполезна. Можно отметить только разделы для получения корневых и промежуточных сертификатов StartSSL и получение ранее созданных сертификатов.
  • Certificates Wizard — мастер создания нового сертификата.С него начинается заказ нового сертификата для сайта или персонального сертификата. Для создания сертификата должен быть заранее подтвержден домен или адрес электронной почты соответственно.
  • Мастер проверки — это как раз и есть мастер проверки сайта и электронной почты (а кроме того платных проверок личности и организации). С него нужно начинать получение сертификата для сайта. Каждая проверка действует 30 дней, так что при «продлении» сертификатов проверки необходимо повторять.

Итак, начинаем процесс получения сертификата для сайта.

3.1. Проверка (валидация) домена. Переходим в Validations Wizard, выбираем проверку домена (Domain Name Validation):

На следующий шаге укажите домен. После выбора домена необходимо выбрать из списка предложенных e-mail, на который придет письмо с кодом проверки для проверки домена. Письмо как правило приходит быстро, ввод кода аналогичен, как при регистрации.

3.2. После проверки домена нужно заказать для него сертификат.Для этого перейдите в Мастер сертификатов, выберите сертификат SSL / TSL веб-сервера. Далее выберите из списка один из проверенных доменов.

На следующем шаге есть два варианта:

  • пропустить шаг и предоставить собственноручно сгенерированный CSR со своим приватным ключем,
  • или заполнить форму и сгенерировать приватный ключ в браузере.

Первый вариант выбирают те, кто знает, что такое CSR и как его сделать.В любом случае обратите внимание на то, что размер ключа (Keysize) не должен быть менее 2048 бит.

Предположим, что выбран вариант с генерацией ключа. Тогда заполните форму и нажмите «Продолжить». После некоторой паузы вы свой ключ. Сохраните его, он пригодится позже.

На следующий шаг повторно выбрать домен. Далее, укажите для него поддомен. Сертификат будет действителен для выбранного региона и нашего сабдомена (например, www).

На следующем шаге просто подтвержден заказ сертификата. После этого вы получите сам сертификат (в формате PEM). Сохраните его.

Процесс получения сертификата на этом завершен. В результате у вас есть 2 файла: приватный ключ и сертификат. Их нужно указать в конфигах вашего веб-сервера. Приватный ключ предварительно расшифровать команду:

 openssl rsa -in ssl.key -out ssl.key 

О, как настроить веб-сервер для использования полученного сертификата, можно прочитать здесь.А вообще по этой теме хватает информации в Интернете.

Источник —

Тема с установкой сертификата на веб-сервер смотрите тут — https://kurazhov.ru/tls-apache/

.

Добавить комментарий

Ваш адрес email не будет опубликован.