StartSSL™ – в чем подвох? — Хабр Q&A

StartSSL™ - в чем подвох? — Хабр Q&A Сертификаты

Вступление

Покупка сертификата безопасности SSL для информационного (не коммерческого) сайта, дело накладное, и по расходам превышает, аренду самого домена. К счастью, есть возможность получить бесплатный сертификат безопасности и привязать его к своему домену на любом хостинге. Бесплатный сертификат безопасности SSL, что это?

Продление сертификата

Переходим на вторую вкладку и указываем пункт генерации сертификата для web-сервера.

renew_cert_wiz

В следующем окне вводите:

Заполнение данных, первый шаг

а) ваше доменное имя (можно без www)б) Запрос на сертификат. В поле подсказке написано, что его можно генерировать как из консоли веб-сервера, так и используя программу StartSSL

Воспользуемся способом запроса сертификата из консоли.

openssl req -new -nodes -keyout yourname.key -out yourname.csr

,где yourname.key — Ваш новый приватный ключ (сохраните в надёжном месте!), а yourname.csr — файл запроса сертификата, его и нужно будет отправить в центр сертификации.

В процессе создания запроса необходимо ответить на следующие вопросы:

Startssl™ – в чем подвох?

Подводных камней не заметил, вообще хочется сказать большое спасибо конторе за бесплатные валидные сертификаты. Например, то же облако организовать с каким-нибудь owncloud по https без сертификата неудобно, либо только http, либо предупреждения, а тут поставил и забыл проблему да и красивая зеленая строка или замок в браузере, так что для себя или каких то корпоративных микро решений маст хэв.
Вход в админку и страницы заказов тоже делаю с сертификатом, поломок не было. Единственная проблема с которой столкнулся, это почтовый сертификат; если подписываю им, то apple mail ругается на левую подпись (и вроде не только он, помойму яндекс тоже выдавал недовольство, но надо проверять), хотя может виновата собственная криворукость.
Рекомендую попробовать, к тому же для Free версии вся регистрация займет 5-10 минут.

Админу на заметку – 10. startssl или как получить ssl-сертификат бесплатно.

StartSSL-000.jpgСегодня использование защищенного соединения становится нормой жизни для доступа к многим сетевым сервисам, таким как электронная почта, корпоративные веб-интерфейсы и т.д. и т.п. Многие администраторы используют самоподписанные SSL-сертификаты и во многих случаях это оправдано, но если доступ к сервису предполагается с различных мест и устройств, то лучше озаботиться “настоящим” сертификатом. Сегодня мы расскажем как сделать это бесплатно.

С одной стороны “настоящий” сертификат стоит не так уж и дорого, с другой – обосновать необходимость его приобретения для обеспечения удаленного доступа к почте для двух-трех сотрудников бывает довольно сложно. Поэтому самое время присмотреться к предложению компании StartSSL, которая позволяет получить сертификат начального уровня (1 класс) бесплатно.

Про сертификаты:  Шаблоны доверенностей для юридических лиц — Удостоверяющий центр СКБ Контур

Сертификаты данного уровня еще называются сертификатами с упрощенной проверкой и удостоверяют только принадлежность домена владельцу, сама личность владельца не удостоверяется. Такой сертификат подтверждает факт того, что посетитель зашел именно на тот сайт, доменное имя которого указано в сертификате, а не был перенаправлен на подложный ресурс. Данный вид сертификатов не может быть использован для коммерции и финансовых операций.

Как видим, для того чтобы защитить веб-интерфейс или электронную почту сертификата 1 класса вполне достаточно. Перейдем к процедуре получения. Первым делом необходимо зарегистрироваться на сайте StartSSL. Здесь есть одна тонкость, для авторизации пользователя используется не привычная пара логин-пароль, а персональный SSL-сертификат.

На странице регистрации вам предложат заполнить анкету. Вводите только достоверные данные, так как они проверяются вручную.

StartSSL-001.jpgПосле заполнения формы вы получите на указанный e-mail код подтверждения, который нужно ввести на сайте и терпеливо ожидать пока сотрудники StartSSL проверят вашу анкету. После проверки вы получите еще одно письмо, перейдя по ссылке из которого вы получите возможность сгенерировать и получить персональный сертификат.

StartSSL-002.jpgСайт также произведет попытку его автоматической установки в хранилище, поэтому для этой операции лучше использовать Internet Explorer, хотя у нас не возникло никаких проблем при работе с Google Chrome. Открыв хранилище убедимся, что сертификат получен и установлен.

StartSSL-003.jpgДанный сертификат является вашим ключом доступа к сервисам StartSSL, поэтому обязательно создайте его резервную копию и примите меры к ограничению доступа к нему третьих лиц.

Перед тем как начать процедуру получения сертификата следует выполнить валидацию домена, для которого вы хотите получить сертификат.

StartSSL-004.jpgПроцесс предельно прост – вам нужно получить проверочный код на указанный почтовый ящик и ввести его на сайте. Для проверки предлагается несколько стандартных ящиков и ящик из Who-is домена, если он не скрыт.

StartSSL-005.jpgПодтвердив владение доменом можно переходить к получению самого сертификата. Сервис позволяет указать также один поддомен, для веб-сайтов это обычно www, для почтового сервера mail или mx (смотрим содержимое MX-записи). На www стоит остановиться отдельно, многие привыкли что www.example.com и example.com это один и тот-же ресурс, однако с точки зрения службы DNS это два разных ресурса, так как www – это один из поддоменов, домена example.com. Поэтому получив сертификат для сайта без поддомена www вы будете получать ошибку сертификата при обращении по адресу www.example.com в то время как example.com будет открываться нормально.

Перед созданием сертификата вам будет предложено создать закрытый ключ или пропустить этот шаг, если закрытый ключ уже получен.

StartSSL-006.jpgПолученный ключ следует скопировать и сохранить в файл с расширением .key, ключ поставляется в зашифрованном виде и перед использованием его будет необходимо расшифровать. Для этого можно воспользоваться инструментом на панели Tool Box личного кабинета.

StartSSL-007.jpgЗакрытый ключ следует хранить в надежном месте, исключающий любой доступ к нему третьих лиц, хранить где-либо расшифрованный ключ мы настоятельно не рекомендуем.

Про сертификаты:  СПА в Киеве • SPA салоны и центы • Подарочный сертификат в СПА купить — bodo

Процесс получения самого сертификата прост и мы не будем на нем останавливаться. Полученный сертификат следует сохранить в файл с расширением .crt, щелкнув два раза по созданному файлу можно просмотреть информацию о сертификате.

StartSSL-008.jpgТакже просмотреть и получить уже созданные сертификаты можно в разделе Retrieve Certificate закладки Tool Box.

StartSSL-009.jpgУстановка сертификата на веб или почтовый сервер выходит за рамки данной статьи, для этого обратитесь к соответствующий документации или инструкциям на StartSSL.

Архив с сертификатами от startssl

После оформления сертификатов безопасности от StartSSL к вам на почту придет письмо с архивом следующего содержания:

Внутри находятся архивы с сертификатами для различных веб-серверов. Для панели управления VestaCP нам понадобятся сертификаты созданные для Apache.Откроем его, внутри будут два сертификата, один корневой с названием root_bundle и второй с названием домена для которого он создан:

Следующий рисунок покажет куда вставлять содержимое файлов сертификатов в панели управления VestaCP

Бесплатный ssl сертификат (startssl)?

> 1. Если я приобретаю у них бесплатный сертификат, после истечения срока действия, могу ли я снова бесплатно заказать у них сертификат на то же самое доменное имя?
Да

> 2. Есть ли ограничение заявок на на бесплатные сертификаты с одной учетной записи на StartSSL?
Нет.

Но там полно других ограничений. Например, бесплатные их сертификаты нельзя использовать в коммерческих целях.

Бесплатный ssl-сертификат startssl на 1 год | сц it-eye

Cкорее всего, можно не переживать за шифрование соединения, так как все уважающие себя компании, заботящиеся о безопасности личных данных клиентов, повсеместно внедряют и используют HTTPS.
Узнать, использует ли данный сайт шифрование можно, обратив внимание на адресную строку.
В случае, если протокол поддерживается сайтом, слева от адреса будет отображаться закрытый замок — значит можно не переживать за сохранность данных, и соединение защищено.

Где взять приватный ssl ключ

Приватный SSL ключ нельзя восстановить, даже если у вас в наличии изготовленные с его помощью сертификаты. Приватный SSL ключ создается один раз в самом начале процесса генерации сертификатов и вам нужно заранее и самостоятельно позаботиться о его сохранности.

Если вы утеряли приватный ключ, то вам придется заново перевыпускать созданные на его основе сертификаты, так как они без ключа не работают.Так же при установке SSL сертификата на сайт с помощью панели управления VestaCP не стоит путать RCA запрос на генерацию ключа и сам приватный ключ.

Дополнение важно!

Работать с центром сертификации SmartSSL и получить бесплатный сертификат SSL не сложно. Однако, есть вы потеряете ключ key.key или вы захотите удалить бесплатный сертификат вашего домена и начать всё с начала, вам придется оплатить 9,90$, за аннулирование сертификата.

Кроме этого, личный кабинет всегда останется за вами. Продление бесплатного сертификата нужно сделать через 3 месяца (90 дней), вам придет письмо.

Как заполнить поле ssl key

В поле SSL Key необходимо вставить незашифрованный ключ. В большинстве же случаев, когда вы создаете резервную копию ключа, он у вас хранится в зашифрованном виде. Не даром при сохранении ключа вас просят ввести пароль. По сути вы получаете такой же текстовый файл, но уже совершенно с другим содержимым.

Про сертификаты:  При подписании или просмотре свойств сертификата пользователь видит статус "Неверный сертификат/Недействительный сертификат"

Как расшифровать ssl ключ

Чтобы получить необходимые для вставки в панель VestaCP данные необходимо расшифровать приватный ключ. Сделать это можно прямо на сайте StartSSL

Когда вы нажмете кнопку [Decrypt] у вас появится еще одно текстовое поле с незашифрованным приватным ключом. Именно его и нужно вставлять во второе поле VestaCP.

Подготовка к сертификации

Прежде всего, для сертификации, вам необходимо создать почтовый домен и почтовый ящик на своем хостинге. Напомню (кратко расскажу), как это делается в панеле: ISP.

1.

Создать почтовый домен. После добавления домена и зеркала домена (www), нужно создать почтовый домен. Он должен иметь вид @vash_domen;

2.

Создать почтовый ящик. Для получения сертификата, в этом почтовом домене создайте почтовый ящик (один) с одним из имён:

  • hostmaster@ vash_domen
  • postmaster@ vash_domen
  • webmaster@ vash_domen

Если создаете почтовый ящик первый раз, обязательно, проверьте доступность, созданного почтового ящика. Для этого авторизуйтесь в почтовом клиенте (на фото Roundcube) используя:

  • Имя: полное название почтового ящика (webmaster@ vash_domen) (1);
  • Пароль: пароль созданного ящика (2).

По созданному ящику центр сертификации будет проверять, что  домен принадлежит именно вам.

Получить бесплатный сертификат ssl smartcom перового класса

На странице личного кабинета, вкладка «Инструменты Сертификации» SmartSSL видим четыре варианта SSL сертификатов. По условию задачи, выбираем бесплатный сертификат [V], который нужно получить для домена. Жмем ссылку здесь или переходим на вкладку «Мастер проверок».

Важно! Каждый сертификат этого типа, получается для отдельного домена и неограниченного количества его поддоменов.

На следующей вкладке «Мастер проверок», заполняем все указанные поля. Здесь нужен ранее созданный почтовый ящик на хостинге.

Далее немного теории.

Регистрация на startssl

Регистрация на StartSSL не простая, что радует для сайта выдающего сертификаты безопасности. Сначала нужно просто зарегистрироваться, кнопка “Зарегистрироваться”. Для этого указываете страну, свой email и отправляете запрос на получение проверочного кода. Пока всё стандартно.

Следующий этап

Следующий этап, показать полученный SSL сертификат на своем хостинге. В следующей статье покажу подробно, но вы сами можете это сделать, главное не перепутать формы вставки трех полученных кодов.

Три части сертификата ssl

Сертификат SSL включает три составные части:

  1. Сам сертификат CRT (PEM формат) [BEGIN CERTIFICATE/—/ END CERTIFICATE];
  2. Ключ сертификата. (он же, приватный ключ, RSA ключ, шифр [BEGIN RSA PRIVATE KEY/—/ END RSA PRIVATE KEY];
  3. Цепочка сертификата (файл _bundle.crt).

Чтобы было проще, эти ключи можно ассоциировать с паролями, только очень сложными. То есть, ключ, сертификат и цепочку нужно сгенерировать, как генерируется пароль.

Генерируются ключ, сертификат и цепочка по запросу CSR (BEGIN CERTIFICATE REQUEST). Сделать запрос CSR можно:

  • На вашем хостинге;
  • Или используя генератор ключей SmartSSL. Ссылку этого генератора ключей ищем на странице.

Жмем найденную ссылку «StartComToll.exe »

Откроется окно с запросом CSR;

окно с запросом CSR
Чтобы получить бесплатный сертификат SSL, генерирует CSR запрос

Жмем кнопку «Generate CSR» и видим справа, куда скачался приватный ключ (key.key). Приватный ключ очень важен и будет нужен на хостинге.

Сгенерированный код запроса CSR вставляем в поле на сайте и отправляем запрос кнопкой «Передать».

В новом окне SmartSSL сообщит вам, что для вашего домена создан сертификат SSL. Домен появится в списке ваших сертификатов в личном кабинете SmartSSL на вкладке «Ящик для инструментов>>>Лист Сертификата».

Далее, на вкладке Ящик для инструментов>>>Лист Сертификата жмем кнопку «Выпустить» в таблице проверенных доменов.

Архив начнет скачиваться на ваш компьютер. Его нужно распаковать. После распаковки видим следующие архивы.

Центры бесплатной сертификации (ca)

Нельзя говорить, что существуют центры бесплатной сертификации (CA). Правильно сказать, существуют центры сертификации, которые наряду с платными сертификатами безопасности, выдают сертификаты бесплатные SSL сертификаты определенного типа, по тарифу Free (бесплатно).

Бесплатные сертификаты выдаются на основе проверки собственности домена. Центр сертификации отправляет письмо с проверочным кодом на почтовый ящик вашего домена, а вы прописывая этот код с центре сертификации подтверждаете владение доменом.

Обращу внимание. Не все центры сертификации работают с частными лицами (отдельными организациями). Например, известный центр бесплатной сертификации (Let’s Encrypt), не работает с частными лицами и выдает сертификаты на уровне хостинг компаний.

В сети вы можете встретить следующие центры бесплатной сертификации:

  • StartCom (лучший вариант, с ним будем работать чуть ниже);
  • CAcert (не пробовал);
  • WoSing (перестали выдавать);
  • Mozilla (обещали, но так не начали выдавать).

Выводы

В результате проделанных манипуляций у вас должно быть:

  • Сам сертификат: файл ваш_домен.pem. [BEGIN CERTIFICATE/—/ END CERTIFICATE];
  • Ключ сертификата: файл key.key. [BEGIN RSA PRIVATE KEY/—/ END RSA PRIVATE KEY];
  • Цепочка сертификата (файл ваш_домен_bundle.crt).

Важно! Брать сертификат и цепочку сертификата нужно из архива, название которого соответствует веб-серверу вашего хостинга (Apache, Nighx, IIS).

Оцените статью
Мой сертификат
Добавить комментарий