Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:how-to-get-free-ssl-certificate-for-site-from-wosign

Настройка веб-сервера на базе стека LEMP в Ubuntu Server 14.04 LTS. Часть 10. Получение бесплатного SSL сертификата

В этой части мы рассмотрим порядок получения бесплатного публичного SSL-сертификата для последующей установки его на веб-сервер на стеке LEMP.


Регистрация на сайте WoSign

Для получения бесплатного SSL-сертификата сроком на 2 года воспользуемся услугой Центра сертификации WoSign - WoSign Free SSL Certificates

Регистрируемся на сайте WoSign по ссылке https://login.wosign.com/reg.html указав свой реальный адрес e-mail. Если с китайским языком вы незнакомы то, для того, чтобы понять в какую форму какие данные вводить при регистрации, можно воспользоваться любым онлайн-переводчиком сайтов, например, переводчиком от Yandeх

По сути в диалоговую форму нужно ввести e-mail, пароль и подтверждение пароля, заполнить «капчу», принять соглашение с правилами WoSign и нажать большую зелёную кнопку регистрации.

После этого нам сообщат о том, что на указанный при регистрации почтовый ящик отправлено письмо со ссылкой об активации аккаунта.

Проверим почту, найдём полученное письмо и перейдём по длинной ссылке, указанной в письме:

После открытия ссылки активации в браузере вы получите сообщение о том, что ваша учётная запись успешно активирована и для вас автоматически сгенерирован бесплатный персональный сертификат со ссылкой на его скачивание (файл *.pfx), который можно установить в систему и использовать для дальнейшей авторизации на сайте WoSign.

Пользоваться таким механизмом авторизации вовсе не обязательно, по крайней мере WoSign нас к этому не принуждает. В дальнейшем можно будет использовать вход на сайт по обычной стандартной связке имени пользователя и пароля.

Ниже сообщения – зелёная кнопка со ссылкой для перехода в личный кабинет пользователя. Нажмём её и нас перенаправят на страницу входа.

На странице входа в форме авторизации переключимся на закладку с «ключиком» и введём учётные данные, заполним капчу и нажмём кнопку входа на сайт…

При входе на сайт мы попадём в Личный кабинет пользователя, где опять же всё будет на китайском языке. Но Личный кабинет нам пока не потребуется.


Создание заявки на получение сертификата

Из Личного кабинета переходим по ссылке https://buy.wosign.com/free/

Здесь уже всё будет на английском языке и сориентироваться будут проще.

На закладке Request a Free SSL Certificate заполняем данные для получения нужного нам SSL-сертификата, как указано на скриншоте ниже.

  • В поле Domain name вписываем имена всех веб-хостов в нашем домене, на которые мы хотим установить будущий SSL-сертификат, но не более 5 имён.
    Хост www для вашего домена будет добавлен в сертификат автоматически (при желании это можно отключить опцией No need to bind this domain name).
  • Переключатель Period переводим в положение 2 year(s).
    2 года - это сейчас максимальный срок, на который WoSign выдаёт бесплатные сертификаты.
  • В переключателе Language выберем English, чтобы в свойствах будущего сертификата цепочка сертификатов не отображалась на китайском языке.
  • В переключателе Algorithm доступен один единственный вариант протокола хеширования SHA2, который считается безопасным, но при этом может не поддерживаться некоторыми устаревшими версиями ПО.

Затем заполняем поле Captcha и жмём кнопку отправки запроса Submit request


Верификация домена

После того, как заявка на сертификат создана, нам потребуется подтвердить свои права владения доменом, для которого мы запросили этот самый сертификат.

Для этого переключимся на закладку отслеживания запросов My Order. Рядом с запросом сертификата для вашего домена будет видна ссылка Domain Control verification. Пройдём по этой ссылке, чтобы пройти верификацию домена, для которого ранее был запрошен сертификат.

В открывшейся форме верификации выберем удобный вариант верификации. Например, первой на закладке Domain Control verification выберем любой из предложенных e-mail адресов администратора нашего домена, на который будет отправлено письмо с кодом верификации и нажмём кнопку Click to send verification Email

Отправленный на почту код верификации действует короткий интервал времени, поэтому не мешкая копируем его из полученного письма в поле Verification code, заполняем поле Captcha и жмём кнопку Verify Now


Генерация закрытого ключа и CSR-запроса

Если процедура верификации пройдёт успешно, нам будет предложено сгенерировать CSR запрос. Для этого перейдём на свой веб-сервер и выполним команду генерации файла запроса с помощью утилиты openssl:

openssl req -new -newkey rsa:2048 -nodes -out mydomain.csr -keyout mydomain.key -subj '/C=RU/ST=Komi republic/L=Syktyvkar/O=IT Department/CN=mydomain.ru/emailAddress=petya@mydomain.ru/subjectAltName=DNS.1=www.mydomain.ru,DNS.2=blog.mydomain.ru,DNS.3=forum.mydomain.ru,DNS.4=wiki.mydomain.ru,DNS.5=test.mydomain.ru'

Вывод команды будет примерно таким:

Generating a 2048 bit RSA private key
..........+++
............+++
writing new private key to 'mydomain.key'
-----

Файл mydomain.key, который появится в текущем каталоге после выполнения команды, является закрытым ключом от нашего будущего сертификата.

Чтобы не скомпрометировать наш будущий сертификат, файл закрытого ключа нужно сохранить на нашем веб-сервере в надёжном месте с ограниченным доступом, например, в каталоге /etc/ssl/private, к которому в конфигурации по умолчанию на уровне файловой системы имеет право доступа только root.


Отправка содержимого CSR-запроса в WoSign

Содержимое файла mydomain.csr, который появится в текущем каталоге после выполнения команды, скопируем в форму, как показано на скриншоте:

После вставки запроса последовательно нажмём кнопки Check CSR , затем Submit.


Выпуск и получение сертификата WoSign

Через некоторое время снова зайдём по ссылке https://buy.wosign.com/free/#myorder и проверим статус запроса сертификата.

Если ссылка изменилась на Issue, значит наш запрос успешно обработан и нужно щелкнуть по этой ссылке, чтобы произвести выпуск сертификата.

При выпуске сертификата появится всплывающая форма, из которой нам будет предложено сразу скачать архив с сертификатом с грозным предупреждением о том, что после закрытия формы архив с файлами сертификатов будет удалён…

Даже если по какой-то причине вы не смогли в этот момент скачать архив, то сделать это можно и позже на закладке My Order по ссылке https://buy.wosign.com/free/#myorder

Внутри архива будет несколько вложенных архивов с файлами сертификатов сконвертированных в разные форматы для разных веб-серверов. В каждом из архивов, в зависимости от формата будет присутствовать как сам запрошенный сертификат, так и все корневые сертификаты цепочки ЦС WoSign.

В нашем случае потребуется распаковать архива for Nginx.zip, в котором будет один файл с именем типа 1_mydomain.ru_bundle.crt. Фактически этот файл представляет собой бандл, т.е. склейку нескольких сертификатов начиная с самого сертификата нашего домена и кончая цепочкой корневых сертификатов.

Теперь можно переходить к установке сертификата на наш веб-сервер.
В следующей части мы выполним установку полученного crt-файла на веб-сервер Nginx.


Автор первичной редакции:
Алексей Максимов
Время публикации: 30.03.2016 16:07

Обсуждение

Ваш комментарий:
 

unix-linux/ubuntu/ubuntu-14-04-lts-trusty-tahr/how-to-install-lemp-web-server-on-ubuntu-14-04/how-to-get-free-ssl-certificate-for-site-from-wosign.txt · Последние изменения: 04.04.2016 16:26 — Алексей Максимов