Большое количество web сервисов уже давно перешло на работу по защищенному соединению, с использованием протокола HTTPS, а это значит что и нам пора быть в тренде и переходить на SSL шифрацию.
Для этого нам необходимо где-то раздобыть ssl сертификат и желательно если он будет бесплатным. На сегодня существует только один вменяемый сервис который предоставляет эту услугу — StartSSL. Поговорим о нем далее.
Что это такое? Как мы все с вами знаем, SSL сертификаты выдаются центрами сертификации, корневые центры сертификации которых хранятся в хранилище сертификатов вашей ОС и к которому имеют доступ программы установленные на вашем ПК, а так же ваш любимый web браузер. Цена на большинство сертификатов зашкаливает все разумные пределы, но существуют сервисы которые готовы выдать вам сертификат за вполне меняемые деньги и стоит это всего каких то 5 долларов — gogetssl.com. Но мы хотим вообще бесплатно.
StartSSL выдает сертификат на основании проверки владения email адреса и домена (т.е. вас попросят указать электронный адрес с вашим доменом, например postmaster@example.com или webmaster@example.com). Будет выдан сертификат сроком на год. Отозвать сертификат вы сможете только на платной основе и на момент написания статьи это стоит около 24 долларов. Поэтому будьте внимательны при генерации сертификата — не теряйте ключи.
1. Регистрация.
Для начала зайдем на страницу регистрации. Выберем русский язык и нажмем Sing-up.
Перейдем на страницу регистрации, где нам нужно заполнить небольшую форму. Все поля обязательны к заполнению, вводить необходимо актуальную информацию, могут проверить и отозвать сертификат. При регистрации используйте латиницу.
Далее на почту придет проверочный код, который нам необходимо будет ввести в форму.
На следующем шаге выберем размер ключа для нашего сертификата. Он будет нужен для дальнейшей авторизации на сайте. Они используют авторизацию по SSL ключу.
Мы сгенерировали сертификат и теперь нам необходимо подтвердить его установку в хранилище сертификатов. Подтверждаем.
После подтверждения сертификат будет установлен в хранилище личных сертификатов пользователя, который мы сможем посмотреть через консоль mmc
На этом процесс регистрации завершен и мы можем перейти к процессу верификации домена. Идем дальше.
2. Проверка домена.
Перед получением заветного сертификата нам необходимо пройти процедуру проверки владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation
Выбираем подтверждение по электронному адресу и нажимаем продолжить.
На этом экране нам предлагается ввести имя нашего домена.
Выбираем email на который будет отправлен проверочный код
вам на почту придет письмо с проверочным кодом, который нужно ввести в поле проверки.
После всех операций мы достигли окончания процедуры проверки домена и электронной почты.
Далее переходим к генерации так нужного нам сертификата. Из выпадающего списка выбираем Web Server SSl/TLS Certificate
Далее создадим Private Key для сертификата — ЭТО ОЧЕНЬ ВАЖНЫЙ КЛЮЧ, НЕ ПОТЕРЯЙТЕ ЕГО, ИНАЧЕ НЕ СМОЖЕТ УСТАНОВИТЬ НА СЕРВЕР ПОЛУЧЕННЫЙ СЕРТИФИКАТ. ЗАПОМНИТЕ ПАРОЛЬ.
После нажатия кнопки Continue вам необходимо обязательно сохранить полученный ключ в файл server.key. Убедитесь скопировали содержимое экрана полностью.
Выберем домен для которого необходимо получить сертификат.
Далее нам дают возможность самостоятельно ввести поддомен. В моем случае это blog.
Нажимаем продолжить. И получаем файл сертификата.
Необходимо скопировать полученный код и сохранить в файл server.crt. Так же сохраните «intermediate» и «root», они могут быть использованы при дополнительных настройках. Нажмите кнопку «Finish»
Переходим к утилитам.
нам необходимо выбрать Create PKCS#12 (PFX) File.
Скопируйте в поле «Enter Private Key» ранее сохраненный ключ «server.key». В поле «Enter Certificate» скопируйте ранее сохраненный «server.crt». В поле «Provide a password» введите пароль от ключа сертификата и нажмите кнопку «Continue».
нажмите кнопку «Get PFX». Начнется загрузка файла с расширением «.p2».
На этом получение сертификатов закончено. Теперь нам остается переименовать файл с расширением p2 в pfx (PFX получил тяжелую критику, является одним из самых сложных криптографических протоколов, но тем не менее остается единственным стандартным способом сегодня для хранения закрытых ключей и сертификатов в одном зашифрованном файле.)
Теперь нам необходимо получить сертификаты, для этого выберете ваш pfx архив, нажмите далее, введите пароль который указывали при получении сертификата, выберете в какое хранилище экспортировать ключи. Далее необходимо выгрузить ключи из хранилища и используя server.key поместить их на сервер.
Интересно сколько продлиться такая халява? Впринципе не сложно получить сертификат.
Приветствую erase! Ну это не совсем халява, если подробно почитать статью и посмотреть сам сервис мы увидим, что бесплатно можно получить самый простой базовый сертификат, с помощью которого вы не может осуществлять оплату , банковские переводы и прочее. Сертификат пригоден только для установки на сайт и для защиты 1-2 хостов. За отзыв сертификата в будущем придется заплатить 24 доллара. Ждем лета. Cisco анонсирует выдачу бесплатных сертификатов всем желающим.
А пока платим StartSSL по 60$ за личный и рабочий акк
Я вот только у них не понял, если мне понадобится внести изменения в сертификат
как лучше это сделать? в течении 1 года что-то можно вроде сделать?
Но отзыв сертификата 24$ а если изменить его надо? или поменять с SHA1 на SHA2?
PS. Спасибо большое за блог.
Приветствую Илья, спасибо за интерес к блогу. Да, все верно отзыв сертификата платный, это особенность предоставления бесплатного сертификата от StartSLL. Кстати вы не сможете внести изменения ни в один действующий сертификат без процедуры его перевыпуска. А перевыпуск всегда связан с отзывом старого сертификата. Использовать бесплатный сертификат действительно чревато не приятными последствиями. Сценарий получения и использования бесплатного сертификата от StartSLL подойдет только для очень не большой компании, где не требуется расширенных возможностей сертификата. В середине лета Cisco совместно с товарищами :-)) грозилась дать возможность получения бесплатных сертификатов всем с целью сделать интернет более безопасным. Посмотрим что у них получится.
Я пока выходил из ситуации просто меняя адреса для сертификата в Lynce, Exche.
Но это возможно только в небольшой организации.
А то покупая сертификаты за свой счет:) еще их за свой счет и отзывать…. 😉
А как вы меняли адрес в сертификате? Сертификат привязывается к домену, т.е. перевыпустить сертификат для домена без его первоначального отзыва не получится.
ну допустим я для edga поменял адрес sipfed.ваша.фирма на sip.ваша.фирма в заголовке и это уже просто новый сертификат в их логике. Ну и пришлось топологию изменить и DNS. По этому в крупной фирме вряд ли таким будут заниматься:)
Так то да, но не совсем понятно почему вы не купите нормальный сертификат. Продукт Lync сам по себе не дешевый. Неужели на сертификат денег не хватило? Тем более для работы продукта необходимо ощутимое количество сертификатов.
Вот только у меня боюсь с StarSSL и американцами проблемка как и еще с парочкой фирм.
Есть подозрение что у них StarSSL не находится в доверенных корневых центрах сертификации.
И из за этого проблемы? Их саппорт упорно молчит полгода. При этом федерация работает с десятком других фирм, у меня все нормально с ними.
Получаю в логах стабильно такое:
Source : “LS Protocol Stack” Event ID 14428
Сбой исходящего сертификата TLS.
За последние 39 мин. на сервере Lync Server произошло такое количество сбоев исходящего подключения: 24. Код ошибки последнего сбоя: 0x80072746 при попытке подключиться к серверу «sip.transwestern.net» по адресу [209.116.212.173:5061], отображаемое имя в сертификате кэширующего узла: «sip.transwestern.net».
Причина: вероятно, проблема с сертификатом кэширующего узла или, возможно, с записью имени узла (DNS), которая используется для подключения к серверу кэширующего узла. Если целевое имя субъекта недопустимо, это означает, что сертификат кэширующего узла не содержит имени локального сервера, используемого для подключения. Если корневой сертификат не является доверенным, это означает, что сертификат кэширующего узла предоставлен удаленным ЦС, который не является доверенным на локальном компьютере.
Решение:
убедитесь, что адрес и порт соответствуют полному доменному имени, используемому для подключения, а сертификат кэширующего узла содержит это полное доменное имя в одном из его субъектов или полей SAN. Если полное доменное имя ссылается на пул DNS с распределенной нагрузкой, убедитесь в том, что все адреса, возвращенные DNS, ссылаются на сервер того же пула. Если корень не является доверенным, убедитесь, что цепочка сертификатов уделенного ЦС установлена на локальном компьютере. Если цепочка сертификатов удаленного ЦС уже установлена, перезагрузите локальный компьютер.
http://vatland.no/index.php/lync-federation-failes-for-some-partners/
Я думаю с точки зрения присутствия корневых сертификатов у федеративных партнеров все хорошо, а вот из-за частой смены и выпуска новых сертификатов могут быть проблемы и связаны с тем, что федеративный партнер давно не обновлял edge сервер. Иными словами у него устаревший список корневых сертификатов, в которых как раз может не быть изменений. У меня была похожая ситуация не смотря на то что все сертификаты покупные, но при попытке установки федеративных отношении я получал ошибку. Пришлось просить партнера установить руками корневой сертификат центра сертификации.
Ну мы то меняли свои сертификаты когда еще только тестировали Lync c EDGE
и не учли кое-чего пришлось менять. Но это было до попытки с кем то включать федерацию.
К сожалению я проверить не могу свои предположения, так как партнеры не считают нужным реагировать и надавливать на свои ИТ службы.
Товарищи из letsencrypt.org пока вроде обещают бесплатные сертификаты запустить в середине ноября.
Они обещали в 2015 году, так что сроки пока не нарушены )
Здравствуйте! Подскажите, пожалуйста, Cisco уже раздают сертификаты бесплатно? Если да, то где у Вас на сайте можно про это прочитать?
Сергей, прошу прощения за молчание, находился в длительной командировке.Добрый день, да, уже вовсю раздают.
Добрый день!
Не могли бы Вы дать ссылочку на Cisco про сертификаты?
Как-то с ходу ничего не находится.
Олег, доброе утро. По ссылке ниже можно прочитать как получить сертификат https://letsencrypt.org/getting-started/ Имейте виду что сертификат выдается на 90 дней, но есть возможность автоматического перевыпуска сертификата.
Алексей, доброе утро!
Спасибо за быстрый ответ.
Не подскажете еще: как продлить существующий бесплатный сертификат не StartSSL, чтобы не было перерыва в сервисе?
Бесплатный, только через отзыв там где оформляли, но обычно эта услуга платная. Например у StartSSL это стоит 5-10$. Я бы вам рекомендовал для сервисов работающих в продакшн использовать покупной сертификат, благо его стоимость не так высока.
Попробовал на StartSSL выпустить новый сертификат с тем же именем, что уже там есть — выпустился. В принципе, это должно пройти за «продление». Кстати, они сейчас дают возможность до 5 DNS-имен в сертификат добавить. Вроде год назад этого не было.
Я с ним заморочился год назад для миграции Exchange, а миграция что-то затянулась ))) Просить денег на второй сертификат для одной и той же службы не хочется.