StartSSL — бесплатный SSL сертификат сроком на год

Большое количество web сервисов уже давно перешло на работу по защищенному соединению, с использованием протокола HTTPS, а это значит что и нам пора быть в тренде и переходить на SSL шифрацию.

Для этого нам необходимо где-то раздобыть ssl сертификат и желательно если он будет бесплатным. На сегодня существует только один вменяемый сервис который предоставляет эту услугу — StartSSL. Поговорим о нем далее.

Что это такое? Как мы все с вами знаем, SSL сертификаты выдаются центрами сертификации, корневые центры сертификации которых хранятся в хранилище сертификатов вашей ОС и к которому имеют доступ программы установленные на вашем ПК, а так же ваш любимый web браузер. Цена на большинство сертификатов зашкаливает все разумные пределы, но существуют сервисы которые готовы выдать вам сертификат за вполне меняемые деньги и стоит это всего каких то 5 долларов — gogetssl.com. Но мы хотим вообще бесплатно.

StartSSL выдает сертификат на основании проверки владения email адреса и домена (т.е. вас попросят указать электронный адрес с вашим доменом, например postmaster@example.com или webmaster@example.com). Будет выдан сертификат сроком на год. Отозвать сертификат вы сможете только на платной основе и на момент написания статьи это стоит около 24 долларов. Поэтому будьте внимательны при генерации сертификата — не теряйте ключи.

1. Регистрация.

Для начала зайдем на страницу регистрации. Выберем русский язык и нажмем Sing-up.

StartSSL регистрация

Перейдем на страницу регистрации, где нам нужно заполнить небольшую форму. Все поля обязательны к заполнению, вводить необходимо  актуальную информацию, могут проверить и отозвать сертификат. При регистрации используйте латиницу.

StartSSL контактная информация

Далее на почту придет проверочный код, который нам необходимо будет ввести в форму.

Startssl код подтверждения

На следующем шаге выберем размер ключа для нашего сертификата. Он будет нужен для дальнейшей авторизации на сайте. Они используют авторизацию по SSL ключу.

StartSSL генерация ключа для сайта

Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.

StartSSL личный сертификат

После подтверждения сертификат будет установлен в хранилище личных сертификатов пользователя, который мы сможем посмотреть через консоль mmc

StartSSL

На этом процесс регистрации завершен и мы можем перейти к процессу верификации домена. Идем дальше.

2. Проверка домена.

Перед получением заветного сертификата нам необходимо пройти процедуру проверки владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

StartSSL подтверждение владения доменом

Выбираем подтверждение по электронному адресу и нажимаем продолжить.
На этом экране нам предлагается ввести имя нашего домена.

StartSSl вводим имя домена

Выбираем email на который будет отправлен проверочный код

Startssl электронный адрес

вам на почту придет письмо с проверочным кодом, который нужно ввести в поле проверки.

После всех операций мы достигли окончания процедуры проверки домена и электронной почты.

Startssl проверка выполнена

Далее переходим к генерации так нужного нам сертификата. Из выпадающего списка выбираем Web Server SSl/TLS Certificate

Startssl Web server

Далее создадим Private Key для сертификата — ЭТО ОЧЕНЬ ВАЖНЫЙ КЛЮЧ, НЕ ПОТЕРЯЙТЕ ЕГО, ИНАЧЕ НЕ СМОЖЕТ УСТАНОВИТЬ НА СЕРВЕР ПОЛУЧЕННЫЙ СЕРТИФИКАТ. ЗАПОМНИТЕ ПАРОЛЬ.

Startssl server.key

После нажатия кнопки Continue вам необходимо обязательно сохранить полученный ключ в файл server.key. Убедитесь скопировали содержимое экрана полностью.

Startssl SHA server.key

Выберем домен для которого необходимо получить сертификат.

Startssl domain

Далее нам дают возможность самостоятельно ввести поддомен. В моем случае это blog.

Startssl subdomain

Нажимаем продолжить. И получаем файл сертификата.

Startssl файл запроса

Необходимо скопировать полученный код и сохранить в файл server.crt. Так же сохраните «intermediate» и «root», они могут быть использованы при дополнительных настройках. Нажмите кнопку «Finish»

Переходим к утилитам.

Startssl утилиты

нам необходимо выбрать Create PKCS#12 (PFX) File.

Startssl Create PKCS#12 (PFX) File

Скопируйте в поле «Enter Private Key» ранее сохраненный ключ «server.key». В поле «Enter Certificate» скопируйте ранее сохраненный «server.crt». В поле «Provide a password» введите пароль от ключа сертификата и нажмите кнопку «Continue».

Startssl Enter Private Key

нажмите кнопку «Get PFX». Начнется загрузка файла с расширением «.p2».

Startssl Get PFXStartssl Enter Private Key

На этом получение сертификатов закончено. Теперь нам остается переименовать файл с расширением p2 в pfx (PFX получил тяжелую критику, является одним из самых сложных криптографических протоколов, но тем не менее остается единственным стандартным способом сегодня для хранения закрытых ключей и сертификатов в одном зашифрованном файле.)

Теперь нам необходимо получить сертификаты, для этого выберете ваш pfx архив,  нажмите далее, введите пароль который указывали при получении сертификата, выберете в какое хранилище экспортировать ключи. Далее необходимо выгрузить ключи из хранилища и используя server.key поместить их на сервер.

StartSSL — бесплатный SSL сертификат сроком на год: 20 комментариев

  1. erase

    Интересно сколько продлиться такая халява? Впринципе не сложно получить сертификат.

    1. Алексей Орлов Автор записи

      Приветствую erase! Ну это не совсем халява, если подробно почитать статью и посмотреть сам сервис мы увидим, что бесплатно можно получить самый простой базовый сертификат, с помощью которого вы не может осуществлять оплату , банковские переводы и прочее. Сертификат пригоден только для установки на сайт и для защиты 1-2 хостов. За отзыв сертификата в будущем придется заплатить 24 доллара. Ждем лета. Cisco анонсирует выдачу бесплатных сертификатов всем желающим.

  2. Ilya Yufa

    А пока платим StartSSL по 60$ за личный и рабочий акк
    Я вот только у них не понял, если мне понадобится внести изменения в сертификат
    как лучше это сделать? в течении 1 года что-то можно вроде сделать?
    Но отзыв сертификата 24$ а если изменить его надо? или поменять с SHA1 на SHA2?

    PS. Спасибо большое за блог.

    1. Алексей Орлов Автор записи

      Приветствую Илья, спасибо за интерес к блогу. Да, все верно отзыв сертификата платный, это особенность предоставления бесплатного сертификата от StartSLL. Кстати вы не сможете внести изменения ни в один действующий сертификат без процедуры его перевыпуска. А перевыпуск всегда связан с отзывом старого сертификата. Использовать бесплатный сертификат действительно чревато не приятными последствиями. Сценарий получения и использования бесплатного сертификата от StartSLL подойдет только для очень не большой компании, где не требуется расширенных возможностей сертификата. В середине лета Cisco совместно с товарищами :-)) грозилась дать возможность получения бесплатных сертификатов всем с целью сделать интернет более безопасным. Посмотрим что у них получится.

      1. Ilya Yufa

        Я пока выходил из ситуации просто меняя адреса для сертификата в Lynce, Exche.
        Но это возможно только в небольшой организации.

        А то покупая сертификаты за свой счет:) еще их за свой счет и отзывать…. 😉

        1. Алексей Орлов Автор записи

          А как вы меняли адрес в сертификате? Сертификат привязывается к домену, т.е. перевыпустить сертификат для домена без его первоначального отзыва не получится.

          1. Ilya Yufa

            ну допустим я для edga поменял адрес sipfed.ваша.фирма на sip.ваша.фирма в заголовке и это уже просто новый сертификат в их логике. Ну и пришлось топологию изменить и DNS. По этому в крупной фирме вряд ли таким будут заниматься:)

          2. Алексей Орлов Автор записи

            Так то да, но не совсем понятно почему вы не купите нормальный сертификат. Продукт Lync сам по себе не дешевый. Неужели на сертификат денег не хватило? Тем более для работы продукта необходимо ощутимое количество сертификатов.

  3. Ilya Yufa

    Вот только у меня боюсь с StarSSL и американцами проблемка как и еще с парочкой фирм.
    Есть подозрение что у них StarSSL не находится в доверенных корневых центрах сертификации.
    И из за этого проблемы? Их саппорт упорно молчит полгода. При этом федерация работает с десятком других фирм, у меня все нормально с ними.

    Получаю в логах стабильно такое:
    Source : “LS Protocol Stack” Event ID 14428
    Сбой исходящего сертификата TLS.

    За последние 39 мин. на сервере Lync Server произошло такое количество сбоев исходящего подключения: 24. Код ошибки последнего сбоя: 0x80072746 при попытке подключиться к серверу «sip.transwestern.net» по адресу [209.116.212.173:5061], отображаемое имя в сертификате кэширующего узла: «sip.transwestern.net».
    Причина: вероятно, проблема с сертификатом кэширующего узла или, возможно, с записью имени узла (DNS), которая используется для подключения к серверу кэширующего узла. Если целевое имя субъекта недопустимо, это означает, что сертификат кэширующего узла не содержит имени локального сервера, используемого для подключения. Если корневой сертификат не является доверенным, это означает, что сертификат кэширующего узла предоставлен удаленным ЦС, который не является доверенным на локальном компьютере.
    Решение:
    убедитесь, что адрес и порт соответствуют полному доменному имени, используемому для подключения, а сертификат кэширующего узла содержит это полное доменное имя в одном из его субъектов или полей SAN. Если полное доменное имя ссылается на пул DNS с распределенной нагрузкой, убедитесь в том, что все адреса, возвращенные DNS, ссылаются на сервер того же пула. Если корень не является доверенным, убедитесь, что цепочка сертификатов уделенного ЦС установлена на локальном компьютере. Если цепочка сертификатов удаленного ЦС уже установлена, перезагрузите локальный компьютер.

    http://vatland.no/index.php/lync-federation-failes-for-some-partners/

    1. Алексей Орлов Автор записи

      Я думаю с точки зрения присутствия корневых сертификатов у федеративных партнеров все хорошо, а вот из-за частой смены и выпуска новых сертификатов могут быть проблемы и связаны с тем, что федеративный партнер давно не обновлял edge сервер. Иными словами у него устаревший список корневых сертификатов, в которых как раз может не быть изменений. У меня была похожая ситуация не смотря на то что все сертификаты покупные, но при попытке установки федеративных отношении я получал ошибку. Пришлось просить партнера установить руками корневой сертификат центра сертификации.

      1. Ilya Yufa

        Ну мы то меняли свои сертификаты когда еще только тестировали Lync c EDGE
        и не учли кое-чего пришлось менять. Но это было до попытки с кем то включать федерацию.
        К сожалению я проверить не могу свои предположения, так как партнеры не считают нужным реагировать и надавливать на свои ИТ службы.

  4. Ilya Yufa

    Товарищи из letsencrypt.org пока вроде обещают бесплатные сертификаты запустить в середине ноября.

  5. Сергей

    Здравствуйте! Подскажите, пожалуйста, Cisco уже раздают сертификаты бесплатно? Если да, то где у Вас на сайте можно про это прочитать?

  6. Олег

    Добрый день!
    Не могли бы Вы дать ссылочку на Cisco про сертификаты?
    Как-то с ходу ничего не находится.

      1. Олег

        Алексей, доброе утро!
        Спасибо за быстрый ответ.
        Не подскажете еще: как продлить существующий бесплатный сертификат не StartSSL, чтобы не было перерыва в сервисе?

        1. Алексей Орлов Автор записи

          Бесплатный, только через отзыв там где оформляли, но обычно эта услуга платная. Например у StartSSL это стоит 5-10$. Я бы вам рекомендовал для сервисов работающих в продакшн использовать покупной сертификат, благо его стоимость не так высока.

          1. Олег

            Попробовал на StartSSL выпустить новый сертификат с тем же именем, что уже там есть — выпустился. В принципе, это должно пройти за «продление». Кстати, они сейчас дают возможность до 5 DNS-имен в сертификат добавить. Вроде год назад этого не было.
            Я с ним заморочился год назад для миграции Exchange, а миграция что-то затянулась ))) Просить денег на второй сертификат для одной и той же службы не хочется.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *