===== Настройка веб-сервера на базе стека LEMP в Ubuntu Server 14.04 LTS. Часть 10. Получение бесплатного SSL сертификата =====
В этой части мы рассмотрим порядок получения бесплатного публичного **SSL**-сертификата для последующей установки его на [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер на стеке LEMP]].
\\
==== Регистрация на сайте WoSign ====
Для получения бесплатного **SSL**-сертификата сроком на **2 года** воспользуемся услугой Центра сертификации **WoSign** - [[https://www.wosign.com/English/freeSSL.htm|WoSign Free SSL Certificates]]
Регистрируемся на сайте **WoSign** по ссылке [[https://login.wosign.com/reg.html]] указав свой реальный адрес e-mail. Если с китайским языком вы незнакомы то, для того, чтобы понять в какую форму какие данные вводить при регистрации, можно воспользоваться любым онлайн-переводчиком сайтов, например, переводчиком от [[https://translate.yandex.ru/translate|Yandeх]]
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154752.png }}
По сути в диалоговую форму нужно ввести e-mail, пароль и подтверждение пароля, заполнить «капчу», принять соглашение [[http://www.wosign.com/policy/Terms_of_Use_Agreement_cn.pdf|с правилами WoSign]] и нажать большую зелёную кнопку регистрации.
После этого нам сообщат о том, что на указанный при регистрации почтовый ящик отправлено письмо со ссылкой об активации аккаунта.
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154832.png }}
Проверим почту, найдём полученное письмо и перейдём по длинной ссылке, указанной в письме:
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154914.png }}
После открытия ссылки активации в браузере вы получите сообщение о том, что ваша учётная запись успешно активирована и для вас автоматически сгенерирован бесплатный персональный сертификат со ссылкой на его скачивание (файл *.pfx), который можно установить в систему и использовать для дальнейшей авторизации на сайте **WoSign**.
Пользоваться таким механизмом авторизации вовсе не обязательно, по крайней мере **WoSign** нас к этому не принуждает. В дальнейшем можно будет использовать вход на сайт по обычной стандартной связке имени пользователя и пароля.
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154949.png }}
Ниже сообщения – зелёная кнопка со ссылкой для перехода в личный кабинет пользователя. Нажмём её и нас перенаправят на страницу входа.
На странице входа в форме авторизации переключимся на закладку с «ключиком» и введём учётные данные, заполним капчу и нажмём кнопку входа на сайт…
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155011.png }}
При входе на сайт мы попадём в Личный кабинет пользователя, где опять же всё будет на китайском языке. Но Личный кабинет нам пока не потребуется.
\\
==== Создание заявки на получение сертификата ====
Из Личного кабинета переходим по ссылке [[https://buy.wosign.com/free/]]
Здесь уже всё будет на английском языке и сориентироваться будут проще.
На закладке **Request a Free SSL Certificate** заполняем данные для получения нужного нам SSL-сертификата, как указано на скриншоте ниже.
* В поле **Domain name** вписываем имена всех веб-хостов в нашем домене, на которые мы хотим установить будущий SSL-сертификат, но **не более 5** имён.\\ Хост **www** для вашего домена будет добавлен в сертификат автоматически (при желании это можно отключить опцией **No need to bind this domain name**).
* Переключатель **Period** переводим в положение **2 year(s)**.\\ 2 года - это сейчас максимальный срок, на который **WoSign** выдаёт бесплатные сертификаты.
* В переключателе **Language** выберем **English**, чтобы в свойствах будущего сертификата цепочка сертификатов не отображалась на китайском языке.
* В переключателе **Algorithm** доступен один единственный вариант протокола хеширования **SHA2**, который считается безопасным, но при этом может не поддерживаться некоторыми устаревшими версиями ПО.
Затем заполняем поле **Captcha** и жмём кнопку отправки запроса **Submit request**
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155032.png }}
\\
==== Верификация домена ====
После того, как заявка на сертификат создана, нам потребуется подтвердить свои права владения доменом, для которого мы запросили этот самый сертификат.
Для этого переключимся на закладку отслеживания запросов **My Order**. Рядом с запросом сертификата для вашего домена будет видна ссылка **Domain Control verification**. Пройдём по этой ссылке, чтобы пройти верификацию домена, для которого ранее был запрошен сертификат.
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155101.png }}
В открывшейся форме верификации выберем удобный вариант верификации. Например, первой на закладке **Domain Control verification** выберем любой из предложенных e-mail адресов администратора нашего домена, на который будет отправлено письмо с кодом верификации и нажмём кнопку **Click to send verification Email**
Отправленный на почту код верификации действует короткий интервал времени, поэтому не мешкая копируем его из полученного письма в поле **Verification code**, заполняем поле **Captcha** и жмём кнопку **Verify Now**
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155118.png }}
\\
==== Генерация закрытого ключа и CSR-запроса ====
Если процедура верификации пройдёт успешно, нам будет предложено сгенерировать CSR запрос. Для этого перейдём на свой [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер]] и выполним команду генерации файла запроса с помощью утилиты **openssl**:
openssl req -new -newkey rsa:2048 -nodes -out mydomain.csr -keyout mydomain.key -subj '/C=RU/ST=Komi republic/L=Syktyvkar/O=IT Department/CN=mydomain.ru/emailAddress=petya@mydomain.ru/subjectAltName=DNS.1=www.mydomain.ru,DNS.2=blog.mydomain.ru,DNS.3=forum.mydomain.ru,DNS.4=wiki.mydomain.ru,DNS.5=test.mydomain.ru'
Вывод команды будет примерно таким:
Generating a 2048 bit RSA private key
..........+++
............+++
writing new private key to 'mydomain.key'
-----
Файл **mydomain.key**, который появится в текущем каталоге после выполнения команды, является закрытым ключом от нашего будущего сертификата.
Чтобы не скомпрометировать наш будущий сертификат, файл закрытого ключа нужно сохранить на нашем веб-сервере в надёжном месте с ограниченным доступом, например, в каталоге **/etc/ssl/private**, к которому в конфигурации по умолчанию на уровне файловой системы имеет право доступа только **root**.
\\
==== Отправка содержимого CSR-запроса в WoSign ====
Содержимое файла **mydomain.csr**, который появится в текущем каталоге после выполнения команды, скопируем в форму, как показано на скриншоте:
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155159.png }}
После вставки запроса последовательно нажмём кнопки **Check CSR** , затем **Submit**.
\\
==== Выпуск и получение сертификата WoSign ====
Через некоторое время снова зайдём по ссылке [[https://buy.wosign.com/free/#myorder]] и проверим статус запроса сертификата.
Если ссылка изменилась на **Issue**, значит наш запрос успешно обработан и нужно щелкнуть по этой ссылке, чтобы произвести выпуск сертификата.
При выпуске сертификата появится всплывающая форма, из которой нам будет предложено сразу скачать архив с сертификатом с грозным предупреждением о том, что после закрытия формы архив с файлами сертификатов будет удалён…
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155233.png }}
Даже если по какой-то причине вы не смогли в этот момент скачать архив, то сделать это можно и позже на закладке **My Order** по ссылке [[https://buy.wosign.com/free/#myorder]]
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155251.png }}
Внутри архива будет несколько вложенных архивов с файлами сертификатов сконвертированных в разные форматы для разных веб-серверов. В каждом из архивов, в зависимости от формата будет присутствовать как сам запрошенный сертификат, так и все корневые сертификаты цепочки ЦС **WoSign**.
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155321.png }}
В нашем случае потребуется распаковать архива **for Nginx.zip**, в котором будет один файл с именем типа **1_mydomain.ru_bundle.crt**. Фактически этот файл представляет собой бандл, т.е. склейку нескольких сертификатов начиная с самого сертификата нашего домена и кончая цепочкой корневых сертификатов.
Теперь можно переходить к установке сертификата на наш веб-сервер.\\
В следующей части мы выполним установку полученного **crt**-файла на веб-сервер **Nginx**.
----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.03.2016 16:07
{{tag>Linux "web server" SSL OpenSSL HTTPS WoSign CSR Certificate "Certificate authority"}}
~~DISCUSSION~~