Генерация ssl-сертификата
1. Заходим на сайт
Генерация запроса csr на получение сертификата (для ov и ev сертификатов)
CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.
CSR вы можете сгенерировать одним из способов:
1. В процессе заказа SSL-сертификата — CSR генерируется автоматически и сразу доступен для скачивания на компьютер.
2. Самостоятельно на стороне вашего веб-сервера. В этом случае вам нужно вручную заполнить информацию для выпуска сертификата.
При генерации CSR на стороне сервера необходимо заполнить латинскими символами следующие поля:
Генерация запроса на получение сертификата для microsoft iis
При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.
Генерация CSR для Microsoft IIS 5.x/6.xГенерация CSR для Microsoft IIS 7.xГенерация CSR для Microsoft IIS 8.0
CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.
Внимание: Если вы используете распределенную инфраструктуру физических серверов для своего сайта и используете веб-сервер Microsoft IIS, то при генерации CSR и закрытого ключа необходимо обязательно указать, что CSR и закрытый ключ должны быть экспортируемыми, иначе вы не сможете установить сертификат на несколько серверов, и сертификат необходимо будет перевыпустить.
Создание электронного адреса
Перед заказом SSL-сертификата нужно создать адрес электронной почты для получения проверочного запроса от Удостоверяющего центра (УЦ). Адрес электронной почты должен принимать одно из следующих значений:
Установка ssl сертификата letsencrypt на хостинг руцентра nic – blog of 5house
Подключение бесплатного SSL сертификата от LetsEncrypt на сайт размещенный на хостинге Руцентр nic
Поставим локально Ubuntu Server
Создать в корне сайта (на хостинге) необходимые каталоги:
/.well-known
/.well-known/acme-challenge
1)Генерируем ключи в ручном режиме, с сохранением на локальном сервере
#sudo apt-get update #sudo apt-get install git #git clone https://github.com/letsencrypt/letsencrypt #cd letsencrypt #sudo su # ./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -a manual auth
Ввести адрес почты %username%@my-sertif.ru
Ввести доменое имя сайта: my-sertif.ru www.my-sertif.ru
Согласиться с логированием IP.
Затем надо пройти проверку домена, по запросу LetsEncrypt:
- Вам будет предложен URL для проверки, сразу обращаем внимание на имя конечного файла в ссылке
- Создаем необходимый проверочный файл на Хостинге с таким же именем как в проверочном URL, в заранее созданном каталоге /.well-known/acme-challenge
- Добавляем в содержимое файла проверочный код, который предложила система LetsEncrypt (набор символов после before continuing:).
- Далее вставляем проверочный URL в адресную строку браузера и проверяем доступность файла.
- После того как убедитесь, что файл доступен по проверочной ссылке и открывается в браузере, соглашаемся запустить проверку домена.
По окончании процедуры проверки домена, будут сгенерированы файлы сертификатов с указанием пути сохранения.
Далее переходим в каталог /etc/letsencrypt/live/[имя домена]. Проверяем наличие ссылок на файлы:
- privkey.pem — содержит приватный ключ сертификата
- cert.pem — содержит сертификат сервера
- chain.pem — содержит промежуточный сертификат
- fullchain.pem — chain.pem и cert.pem в одном файле
В панели управления Хостингом перейти в раздел Веб-сервер — SSL-сертификаты.
Удалите установленный сертификат (если есть установленный по умолчанию).
После удаления, будет доступна опция добавления сертификата.
В выподающем списке опций выбрать варант: С промежуточным сертификатом
В поле приватный ключ вставить содержимое файла privkey.pem
В поле SSL-сертификат вставить содержимое файла cert.pem
В поле промежуточный сертификат вставить содержимое файла chain.pem
При копировании необходимо убедиться в наличии пяти тире по обе стороны от BEGIN и END. В ключе не должно быть лишних пробелов, разрывов строк или дополнительных символов, которые непреднамеренно были добавлены.
Сохраните изменения для установки сертификата.
Включите SSL-шифрование для вашего сайта в панели хостинга и настройте (если требуется) параметры SSL в админке сайта.
Установка SSL-сертификата на хостинг RU-CENTER
LetsEncrypt продление сертификата в ручном режиме
./letsencrypt-auto certonly --renew-by-default -a manual
Важно знать, что сертификаты Let’s Encrypt валидны 90 дней. Рекомендуется обновлять их каждые 60 дней. На электронную почту, которую вы указали для генерации, будут приходить уведомления об истечении сертификата.
URL https://hflab.ru/blog/3-letsencrypt-nicru.html
Один из простых способов получить SSL сертификат через форму сайта — можно использовать поддомены https://www.sslforfree.com/ проверка 1)Используя ftp аккаунт хостинга 2) вручную создать файлы на хостинге требуется доступ по порту 80 3)dns запись с текстом txt
Удобно использовать для Microsoft IIS WEB exchange mail server 2021 2021 2021
Преобразовать .crt файл в .pfx — через локальную Ubuntu bash openSSl
Openssl pkcs12 -export -inkey KEYFILENAME.key -in CERTFILEFILENAME.crt -out XXX.pfx
Установка сертификата
13. Следуем
с сайта RU-CENTER, нам нужен пункт 2.1 и далее.
14. Необходимые ключи мы скачали в архиве в п.12, их распаковываем и загружаем на сервер согласно инструкции.
Если есть опасения за сохранность ключей, данную процедуру лучше делать с чистой машины, из под браузера без дополнений, тогда шанс того, что ключи перехватят будет минимален.
Важное замечаниеКлючи выдаются сроком на 90 дней. На данном хостинге нет возможности подключить плагины для автоматического перевыпуска бесплатных ключей и их подключения. Уведомления о том, что заканчивается срок действия ключей приходит на почту за несколько дней до окончания срока действия сертификата. Поэтому нужно вручную делать повторение всей этой процедуры примерно каждые два месяца!
*. Папку .well-known теперь можно удалить.