Отже, ви хочете отримати безкоштовний SSL -сертифікат для свого сайту (для HTTPS ). На скільки я знаю, єдиний сервіс, який видає безкоштовні валідниє річні сертифікати - це StartSSL . Ізраїльська компанія займається цифровою сертифікацією і є офіційним центром сертифікації (CA) в PKI .
StartSSL роздає валідниє річні SSL-сертифікати безкоштовно. Інші компанії беруть за це гроші починаючи приблизно від $ 20 в рік. StartSSL заробляє на сертифікатах більш високих класів, включаючи сертифікат з розширеної валідацією , А базовий сертифікат робить безкоштовно. Їх ідея полягає в тому, що вони не беруть гроші за сервіс, в якому не використовується праця людей (базова валідація домену проводиться автоматично).
1. Про систему StartSSL і їхніх сертифікатах
Особливість функціонування сайту StartSSL полягає в тому, що авторизація в панель управління проводиться через клієнтський S / MIME сертифікат . Це велика рідкість в наші дні. Звідси виникає нерозуміння процесу непідготовленими користувачами і тупняк на етапі освоєння сервісу.
Суть полягає в тому, що замість логіна і пароля вам видається сертифікат. Майже такий же сертифікат, який видається для підтвердження автентичності сервера. Цей сертифікат відправляє на сервер ваш браузер при авторизації (автоматично після вашого підтвердження). Браузер бере його зі сховища, куди сертифікат повинен бути імпортований до проведення авторизації. Якщо сертифіката в сховище не виявиться, то при авторизації ви побачите браузерні повідомлення про помилку, на подобі «Не вдається завершити захищену транзакцію».
Щоб отримати безкоштовний сертифікат для вашого сайту, потрібно зареєструватися в сервісі StartSSL і отримати персональний сертифікат, увійти з його допомогою в панель, після чого можна буде замовити і отримати безкоштовний SSL-сертифікат для вашого сайту.
Персональний сертифікат діє 1 рік і його необхідно своєчасно оновити в за місяць до кінця терміну дії, інакше ви втратите доступ до панелі.
Так само слід відразу зазначити, що отримати сертифікат можна тільки для доменів з фіксованого списку зон. Це домени другого рівня в усіх регіональних і комерційних зонах першого рівня, а так само окремі зони другого рівня (з доменами третього рівня).
Крім того, на домені повинна працювати пошта. На один з ящиків з фіксованого списку (webmaster @ домен, postmaster @ домен, hostmaster @ домен або адреси, зазначені в Whois) прийде лист з кодом перевірки.
2. Реєстрація
Зайдіть на сайт StarSSL і почніть реєстрацію (натискаємо Sign-up). При цьому не можна використовувати Google Chrome (можна Opera, Firefox, IE).
2.1. Заповніть форму. Вкажіть свої реальні дані. По-перше, цього вимагає угода, з яким ви погоджуєтеся при реєстрації. По-друге, ці дані перевіряються вручну. По-третє, вказувати тут фейковий дані сенсу мало, тому що крім самого StartSSL їх ніхто не побачить.
2.2. Вкажіть код підтвердження e-mail-а. Як правило, лист з кодом приходить відразу або протягом хвилини.
2.3. Дочекайтеся перевірки зазначених даних персоналом StartSSL. Так, вони перевірять то, що ви ввели в формі. Вручну. Якщо їх нічого не збентежить (а як правило нічого не бентежить в реальних даних), вам прийде відповідь на e-mail, в якому буде вказано посилання на другу активацію облікового запису (з кодом). Зверніть увагу, що посилання є чинним лише протягом 24 годин.
Вони можуть поставити додаткові питання по e-mail для уточнення реєстраційних даних. Відповідати на них має сенс, і знову-таки - чесно.
Після підтвердження аккаунта персоналом вам прийде другий лист з кодом перевірки. Переходьте за посиланням з другого листа, вказуйте другий код активації, потрапите на сторінку генерації ключа персонального сертифіката:
Для генерації ключа обираємо 2048 біт (в випадаючому меню), так як меншу бітность StartSSL не підтримує, а в більшій чи є сенс.
Після натискання «Continue» генерується ключ заданої довжини. Він зберігається в браузері і відправляється на сервер. Там генерується сертифікат на підставі цього ключа. Після генерації сертифікат передається (після натискання «Install») вам - в браузері з'являється вікно, яке пропонує його встановити.
Встановлюємо обов'язково.
2.4. На даний момент картина наступна: у вас є підтверджена обліковий запис StartSSL і персональний сертифікат, встановлений в браузер, який замінює для вас одночасно логін і пароль.
Цей сертифікат необхідно «дістати» з браузера і зберегти в надійному місці. У разі втрати встановленого сертифіката (наприклад, перевстановлення ОС або браузера) ви зможете його знову імпортувати. Крім того, сертифікат потрібен для того, щоб увійти в панель з іншого комп'ютера.
Конкретні дії для експорту сертифіката залежать від вашого браузера. Загальна лише те, що ви повинні потрапити в управління сховищем сертифікатів, знайти там свій персональний сертифікат StartSSL і експортувати його в файл. У Opera це робиться так:
Формат експорту - з секретним ключем PKCS # 12. Якщо такого формату немає і ви не знаєте, який формат експорту краще вибрати (за умови, що їх кілька), експортуйте в усі :). Якщо ви експортуєте сертифікат без ключа, сенсу в цьому не буде - він не буде працювати.
Якщо ви втратите сертифікат, втратите доступ до панелі. Це означає, що для отримання нових сертифікатів та продовження старих (через виписку нового), необхідно буде наново реєструватися.
3. Отже, ваш обліковий запис підтверджено і у вас є персональний сертифікат для авторизації в панелі StartSSL. Тепер саме час зайти в панель. Натискаємо на кнопку з ключами і потрапляємо на сторінку авторизації (дивіться на першому зображенні в статті). Натискаємо «Authenticate». Підтверджуємо передачу сервера нашого персонального сертифіката. Авторизація пройдена - ви в панелі.
Якщо на цьому етапі ви отримуєте помилки, значить щось не те з сертифікатом. Якщо браузер при авторизації не видавав вам пропозиції відправити сертифікат на сервер, значить він не імпортований у сховище (див. Вище).
Найважче позаду. Тепер необхідно замовити і отримати сертифікат для вашого сайту. Він буде виданий на рік. Через 11 місяців необхідно зайти на сайт і отримати новий сертифікат на той же сайт (те ж ім'я). Як такої процедури продовження сертифікатів немає ні для сайту, ні для персональних сертифікатів. Про закінчення терміну дії сертифікатів StartSSL кілька разів раз попереджає поштою.
Панель StartSSL складається з 3-х розділів (вкладки на зображенні вище):
- Tool Box - інструментарій. Велика його частина марна. Можна відзначити тільки розділи для отримання кореневих і проміжних сертифікатів StartSSL і отримання раніше створених сертифікатів.
- Certificates Wizard - майстер створення нового сертифіката. З нього починається замовлення нового сертифікату для сайту або персонального сертифіката. Для створення сертифіката повинен бути заздалегідь підтверджений домен або адреса e-mail відповідно.
- Validations Wizard - це якраз і є майстер перевірки сайту і e-mail (а крім того платних перевірок особистості і організації). З нього потрібно починати отримання сертифікату для сайту. Кожна перевірка діє 30 днів, так що при «продовження» сертифікатів перевірки необхідно повторювати.
Отже, починаємо процес отримання сертифікату для сайту.
3.1. Перевірка (валідація) домену. Переходимо в Validations Wizard, вибираємо перевірку домену (Domain Name Validation):
На наступному кроці вкажіть домен. Після вибору домену необхідно вибрати зі списку запропонованих e-mail, на який прийде лист з кодом для перевірки приналежності домену. Лист як правило приходить швидко, введення коду підтвердження аналогічний, як при реєстрації.
3.2. Після перевірки приналежності домену потрібно замовити для нього сертифікат. Для цього перейдіть в Certificates Wizard, виберіть Web Server SSL / TSL Certificate. Далі виберіть зі списку один з попередньо перевірених доменів.
На наступному кроці є два варіанти:
- пропустити крок і надати власноруч згенерований CSR зі своїм приватним ключем,
- або заповнити форму і згенерувати приватний ключ в браузері.
Перший варіант вибирають ті, хто знає, що таке CSR і як його зробити. У будь-якому випадку зверніть увагу на те, що розмір ключа (Keysize) не повинен бути менше 2048 біт.
Припустимо, що обраний варіант з генерацією ключа. Тоді заповніть форму і натисніть «Continue». Після деякої паузи ви отримаєте свій ключ. Збережіть його, він стане в нагоді пізніше.
На наступному кроці повторно виберіть домен. Далі, вкажіть для нього піддомен. Сертифікат буде дійсний для обраного домену та зазначеного сабдомена (наприклад, www).
На наступному кроці просто підтверджується замовлення сертифіката. Після цього ви отримаєте сам сертифікат (PEM-encoded). Збережіть його.
Процес отримання сертифікату на цьому завершено. В результаті у вас є 2 файли: приватний ключ і сертифікат. Їх потрібно вказати в конфігах вашого веб-сервера. Приватний ключ необхідно попередньо розшифрувати командою:
openssl rsa -in ssl.key -out ssl.key
Про те, як налаштувати веб-сервер для використання отриманого сертифіката, як-небудь наступного разу. А взагалі, по цій темі вистачає інформації в Інтернеті.