Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
В этой части мы рассмотрим порядок получения бесплатного публичного SSL-сертификата для последующей установки его на веб-сервер на стеке LEMP.
Для получения бесплатного SSL-сертификата сроком на 2 года воспользуемся услугой Центра сертификации WoSign - WoSign Free SSL Certificates
Регистрируемся на сайте WoSign по ссылке https://login.wosign.com/reg.html указав свой реальный адрес e-mail. Если с китайским языком вы незнакомы то, для того, чтобы понять в какую форму какие данные вводить при регистрации, можно воспользоваться любым онлайн-переводчиком сайтов, например, переводчиком от Yandeх
По сути в диалоговую форму нужно ввести e-mail, пароль и подтверждение пароля, заполнить «капчу», принять соглашение с правилами WoSign и нажать большую зелёную кнопку регистрации.
После этого нам сообщат о том, что на указанный при регистрации почтовый ящик отправлено письмо со ссылкой об активации аккаунта.
Проверим почту, найдём полученное письмо и перейдём по длинной ссылке, указанной в письме:
После открытия ссылки активации в браузере вы получите сообщение о том, что ваша учётная запись успешно активирована и для вас автоматически сгенерирован бесплатный персональный сертификат со ссылкой на его скачивание (файл *.pfx), который можно установить в систему и использовать для дальнейшей авторизации на сайте WoSign.
Пользоваться таким механизмом авторизации вовсе не обязательно, по крайней мере WoSign нас к этому не принуждает. В дальнейшем можно будет использовать вход на сайт по обычной стандартной связке имени пользователя и пароля.
Ниже сообщения – зелёная кнопка со ссылкой для перехода в личный кабинет пользователя. Нажмём её и нас перенаправят на страницу входа.
На странице входа в форме авторизации переключимся на закладку с «ключиком» и введём учётные данные, заполним капчу и нажмём кнопку входа на сайт…
При входе на сайт мы попадём в Личный кабинет пользователя, где опять же всё будет на китайском языке. Но Личный кабинет нам пока не потребуется.
Из Личного кабинета переходим по ссылке https://buy.wosign.com/free/
Здесь уже всё будет на английском языке и сориентироваться будут проще.
На закладке Request a Free SSL Certificate заполняем данные для получения нужного нам SSL-сертификата, как указано на скриншоте ниже.
Затем заполняем поле Captcha и жмём кнопку отправки запроса Submit request
После того, как заявка на сертификат создана, нам потребуется подтвердить свои права владения доменом, для которого мы запросили этот самый сертификат.
Для этого переключимся на закладку отслеживания запросов My Order. Рядом с запросом сертификата для вашего домена будет видна ссылка Domain Control verification. Пройдём по этой ссылке, чтобы пройти верификацию домена, для которого ранее был запрошен сертификат.
В открывшейся форме верификации выберем удобный вариант верификации. Например, первой на закладке Domain Control verification выберем любой из предложенных e-mail адресов администратора нашего домена, на который будет отправлено письмо с кодом верификации и нажмём кнопку Click to send verification Email
Отправленный на почту код верификации действует короткий интервал времени, поэтому не мешкая копируем его из полученного письма в поле Verification code, заполняем поле Captcha и жмём кнопку Verify Now
Если процедура верификации пройдёт успешно, нам будет предложено сгенерировать CSR запрос. Для этого перейдём на свой веб-сервер и выполним команду генерации файла запроса с помощью утилиты openssl:
openssl req -new -newkey rsa:2048 -nodes -out mydomain.csr -keyout mydomain.key -subj '/C=RU/ST=Komi republic/L=Syktyvkar/O=IT Department/CN=mydomain.ru/emailAddress=petya@mydomain.ru/subjectAltName=DNS.1=www.mydomain.ru,DNS.2=blog.mydomain.ru,DNS.3=forum.mydomain.ru,DNS.4=wiki.mydomain.ru,DNS.5=test.mydomain.ru'
Вывод команды будет примерно таким:
Generating a 2048 bit RSA private key ..........+++ ............+++ writing new private key to 'mydomain.key' -----
Файл mydomain.key, который появится в текущем каталоге после выполнения команды, является закрытым ключом от нашего будущего сертификата.
Чтобы не скомпрометировать наш будущий сертификат, файл закрытого ключа нужно сохранить на нашем веб-сервере в надёжном месте с ограниченным доступом, например, в каталоге /etc/ssl/private, к которому в конфигурации по умолчанию на уровне файловой системы имеет право доступа только root.
Содержимое файла mydomain.csr, который появится в текущем каталоге после выполнения команды, скопируем в форму, как показано на скриншоте:
После вставки запроса последовательно нажмём кнопки Check CSR , затем Submit.
Через некоторое время снова зайдём по ссылке https://buy.wosign.com/free/#myorder и проверим статус запроса сертификата.
Если ссылка изменилась на Issue, значит наш запрос успешно обработан и нужно щелкнуть по этой ссылке, чтобы произвести выпуск сертификата.
При выпуске сертификата появится всплывающая форма, из которой нам будет предложено сразу скачать архив с сертификатом с грозным предупреждением о том, что после закрытия формы архив с файлами сертификатов будет удалён…
Даже если по какой-то причине вы не смогли в этот момент скачать архив, то сделать это можно и позже на закладке My Order по ссылке https://buy.wosign.com/free/#myorder
Внутри архива будет несколько вложенных архивов с файлами сертификатов сконвертированных в разные форматы для разных веб-серверов. В каждом из архивов, в зависимости от формата будет присутствовать как сам запрошенный сертификат, так и все корневые сертификаты цепочки ЦС WoSign.
В нашем случае потребуется распаковать архива for Nginx.zip, в котором будет один файл с именем типа 1_mydomain.ru_bundle.crt. Фактически этот файл представляет собой бандл, т.е. склейку нескольких сертификатов начиная с самого сертификата нашего домена и кончая цепочкой корневых сертификатов.
Теперь можно переходить к установке сертификата на наш веб-сервер. В следующей части мы выполним установку полученного crt-файла на веб-сервер Nginx.
Автор первичной редакции: Алексей Максимов Время публикации: 30.03.2016 16:07