===== Настройка веб-сервера на базе стека LEMP в Ubuntu Server 14.04 LTS. Часть 10. Получение бесплатного SSL сертификата =====

В этой части мы рассмотрим порядок получения бесплатного публичного **SSL**-сертификата для последующей установки его на [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер на стеке LEMP]].

\\
==== Регистрация на сайте WoSign ====

Для получения бесплатного **SSL**-сертификата сроком на **2 года** воспользуемся услугой Центра сертификации **WoSign** - [[https://www.wosign.com/English/freeSSL.htm|WoSign Free SSL Certificates]]

Регистрируемся на сайте **WoSign**  по ссылке [[https://login.wosign.com/reg.html]] указав свой реальный адрес e-mail. Если с китайским языком вы незнакомы то, для того, чтобы понять в какую форму какие данные вводить при регистрации, можно воспользоваться любым онлайн-переводчиком сайтов, например, переводчиком от [[https://translate.yandex.ru/translate|Yandeх]]

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154752.png }}

По сути в диалоговую форму нужно ввести e-mail, пароль и подтверждение пароля, заполнить «капчу», принять соглашение [[http://www.wosign.com/policy/Terms_of_Use_Agreement_cn.pdf|с правилами WoSign]] и нажать большую зелёную кнопку регистрации.

После этого нам сообщат о том, что на указанный при регистрации почтовый ящик отправлено письмо со ссылкой об активации аккаунта.

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154832.png }}

Проверим почту, найдём полученное письмо и перейдём по длинной ссылке, указанной в письме:

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154914.png }}
 
После открытия ссылки активации в браузере вы получите сообщение о том, что ваша учётная запись успешно активирована и для вас автоматически сгенерирован бесплатный персональный сертификат со ссылкой на его скачивание (файл *.pfx), который можно установить в систему и использовать для дальнейшей авторизации на сайте **WoSign**. 

<WRAP center tip>
Пользоваться таким механизмом авторизации вовсе не обязательно, по крайней мере **WoSign** нас к этому не принуждает. В дальнейшем можно будет использовать вход на сайт по обычной стандартной связке имени пользователя и пароля.
</WRAP>

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154949.png }}

Ниже сообщения – зелёная кнопка со ссылкой для перехода в личный кабинет пользователя. Нажмём её и нас перенаправят на страницу входа.

На странице входа в форме авторизации переключимся на закладку с «ключиком» и введём учётные данные, заполним капчу и нажмём кнопку входа на сайт…

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155011.png }}

При входе на сайт мы попадём в Личный кабинет пользователя, где опять же всё будет на китайском языке. Но Личный кабинет нам пока не потребуется.

\\
==== Создание заявки на получение сертификата ====

Из Личного кабинета переходим по ссылке [[https://buy.wosign.com/free/]]

Здесь уже всё будет на английском языке и сориентироваться будут проще.

На закладке **Request a Free SSL Certificate** заполняем данные для получения нужного нам SSL-сертификата, как указано на скриншоте ниже.
 
  * В поле **Domain name** вписываем имена всех веб-хостов в нашем домене, на которые мы хотим установить будущий SSL-сертификат, но **не более 5** имён.\\ Хост **www** для вашего домена будет добавлен в сертификат автоматически (при желании это можно отключить опцией **No need to bind this domain name**).
  * Переключатель **Period** переводим в положение **2 year(s)**.\\ 2 года - это сейчас максимальный срок, на который **WoSign** выдаёт бесплатные сертификаты.
  * В переключателе **Language** выберем **English**, чтобы в свойствах будущего сертификата цепочка сертификатов не отображалась на китайском языке.
  * В переключателе **Algorithm** доступен один единственный вариант протокола хеширования **SHA2**, который считается безопасным, но при этом может не поддерживаться некоторыми устаревшими версиями ПО.

Затем заполняем поле **Captcha** и жмём кнопку отправки запроса **Submit request**

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155032.png }}
 
\\
==== Верификация домена ====

После того, как заявка на сертификат создана, нам потребуется подтвердить свои права владения доменом, для которого мы запросили этот самый сертификат. 

Для этого переключимся на закладку отслеживания запросов **My Order**. Рядом с запросом сертификата для вашего домена будет видна ссылка **Domain Control verification**. Пройдём по этой ссылке, чтобы пройти верификацию домена, для которого ранее был запрошен сертификат.

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155101.png }}

В открывшейся форме верификации выберем удобный вариант верификации. Например, первой на закладке **Domain Control verification** выберем любой из предложенных e-mail адресов администратора нашего домена, на который будет отправлено письмо с кодом верификации и нажмём кнопку **Click to send verification Email**

Отправленный на почту код верификации действует короткий интервал времени, поэтому не мешкая копируем его из полученного письма в поле **Verification code**, заполняем поле **Captcha** и жмём кнопку **Verify Now**

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155118.png }}

\\
==== Генерация закрытого ключа и CSR-запроса  ====

Если процедура верификации пройдёт успешно, нам будет предложено сгенерировать CSR запрос. Для этого перейдём на свой [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер]] и выполним команду генерации файла запроса с помощью утилиты **openssl**:

<code>
openssl req -new -newkey rsa:2048 -nodes -out mydomain.csr -keyout mydomain.key -subj '/C=RU/ST=Komi republic/L=Syktyvkar/O=IT Department/CN=mydomain.ru/emailAddress=petya@mydomain.ru/subjectAltName=DNS.1=www.mydomain.ru,DNS.2=blog.mydomain.ru,DNS.3=forum.mydomain.ru,DNS.4=wiki.mydomain.ru,DNS.5=test.mydomain.ru'
</code>

Вывод команды будет примерно таким:

<code>Generating a 2048 bit RSA private key
..........+++
............+++
writing new private key to 'mydomain.key'
-----
</code>

Файл **mydomain.key**, который появится в текущем каталоге после выполнения команды, является закрытым ключом от нашего будущего сертификата. 

<WRAP center alert>
Чтобы не скомпрометировать наш будущий сертификат, файл закрытого ключа нужно сохранить на нашем веб-сервере в надёжном месте с ограниченным доступом, например, в каталоге **/etc/ssl/private**, к которому в конфигурации по умолчанию на уровне файловой системы имеет право доступа только **root**.
</WRAP>

\\
==== Отправка содержимого CSR-запроса в WoSign ====

Содержимое файла **mydomain.csr**, который появится в текущем каталоге после выполнения команды, скопируем в форму, как показано на скриншоте:

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155159.png }}

После вставки запроса последовательно нажмём кнопки **Check CSR** , затем **Submit**.

\\
==== Выпуск и получение сертификата WoSign  ====

Через некоторое время снова зайдём по ссылке [[https://buy.wosign.com/free/#myorder]] и проверим статус запроса сертификата. 

Если ссылка изменилась на **Issue**, значит наш запрос успешно обработан и нужно щелкнуть по этой ссылке, чтобы произвести выпуск сертификата.

При выпуске сертификата появится всплывающая форма, из которой нам будет предложено сразу скачать архив с сертификатом с грозным предупреждением о том, что после закрытия формы архив с файлами сертификатов будет удалён… 

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155233.png }}

Даже если по какой-то причине вы не смогли в этот момент скачать архив, то сделать это можно и позже на закладке **My Order** по ссылке [[https://buy.wosign.com/free/#myorder]]
 
{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155251.png }}

Внутри архива будет несколько вложенных архивов с файлами сертификатов сконвертированных в разные форматы для разных веб-серверов. В каждом из архивов, в зависимости от формата будет присутствовать как сам запрошенный сертификат, так и все корневые сертификаты цепочки ЦС **WoSign**.

{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155321.png }}
 
В нашем случае потребуется распаковать архива **for Nginx.zip**, в котором будет один файл с именем типа **1_mydomain.ru_bundle.crt**. Фактически этот файл представляет собой бандл, т.е. склейку нескольких сертификатов начиная с самого сертификата нашего домена и кончая цепочкой корневых сертификатов.

Теперь можно переходить к установке сертификата на наш веб-сервер.\\
В следующей части мы выполним установку полученного **crt**-файла  на веб-сервер **Nginx**.

----

{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.03.2016 16:07

{{tag>Linux "web server" SSL OpenSSL HTTPS WoSign CSR Certificate "Certificate authority"}}

~~DISCUSSION~~