Различия

Показаны различия между двумя версиями страницы.

--- unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:how-to-get-free-ssl-certificate-for-site-from-wosign [26.03.2016 23:10] – создано Алексей Максимов
+++ unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:how-to-get-free-ssl-certificate-for-site-from-wosign [04.04.2016 16:26] (текущий) – Алексей Максимов
@@ Строка 1: / Строка 1: @@
 ===== Настройка веб-сервера на базе стека LEMP в Ubuntu Server 14.04 LTS. Часть 10. Получение бесплатного SSL сертификата =====
+В этой части мы рассмотрим порядок получения бесплатного публичного **SSL**-сертификата для последующей установки его на [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер на стеке LEMP]].
+\\
+==== Регистрация на сайте WoSign ====
+Для получения бесплатного **SSL**-сертификата сроком на **2 года** воспользуемся услугой Центра сертификации **WoSign** - [[https://www.wosign.com/English/freeSSL.htm|WoSign Free SSL Certificates]]
+Регистрируемся на сайте **WoSign**  по ссылке [[https://login.wosign.com/reg.html]] указав свой реальный адрес e-mail. Если с китайским языком вы незнакомы то, для того, чтобы понять в какую форму какие данные вводить при регистрации, можно воспользоваться любым онлайн-переводчиком сайтов, например, переводчиком от [[https://translate.yandex.ru/translate|Yandeх]]
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154752.png }}
+По сути в диалоговую форму нужно ввести e-mail, пароль и подтверждение пароля, заполнить «капчу», принять соглашение [[http://www.wosign.com/policy/Terms_of_Use_Agreement_cn.pdf|с правилами WoSign]] и нажать большую зелёную кнопку регистрации.
+После этого нам сообщат о том, что на указанный при регистрации почтовый ящик отправлено письмо со ссылкой об активации аккаунта.
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154832.png }}
+Проверим почту, найдём полученное письмо и перейдём по длинной ссылке, указанной в письме:
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154914.png }}
+После открытия ссылки активации в браузере вы получите сообщение о том, что ваша учётная запись успешно активирована и для вас автоматически сгенерирован бесплатный персональный сертификат со ссылкой на его скачивание (файл *.pfx), который можно установить в систему и использовать для дальнейшей авторизации на сайте **WoSign**.
+<WRAP center tip>
+Пользоваться таким механизмом авторизации вовсе не обязательно, по крайней мере **WoSign** нас к этому не принуждает. В дальнейшем можно будет использовать вход на сайт по обычной стандартной связке имени пользователя и пароля.
+</WRAP>
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-154949.png }}
+Ниже сообщения – зелёная кнопка со ссылкой для перехода в личный кабинет пользователя. Нажмём её и нас перенаправят на страницу входа.
+На странице входа в форме авторизации переключимся на закладку с «ключиком» и введём учётные данные, заполним капчу и нажмём кнопку входа на сайт…
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155011.png }}
+При входе на сайт мы попадём в Личный кабинет пользователя, где опять же всё будет на китайском языке. Но Личный кабинет нам пока не потребуется.
+\\
+==== Создание заявки на получение сертификата ====
+Из Личного кабинета переходим по ссылке [[https://buy.wosign.com/free/]]
+Здесь уже всё будет на английском языке и сориентироваться будут проще.
+На закладке **Request a Free SSL Certificate** заполняем данные для получения нужного нам SSL-сертификата, как указано на скриншоте ниже.
+  * В поле **Domain name** вписываем имена всех веб-хостов в нашем домене, на которые мы хотим установить будущий SSL-сертификат, но **не более 5** имён.\\ Хост **www** для вашего домена будет добавлен в сертификат автоматически (при желании это можно отключить опцией **No need to bind this domain name**).
+  * Переключатель **Period** переводим в положение **2 year(s)**.\\ 2 года - это сейчас максимальный срок, на который **WoSign** выдаёт бесплатные сертификаты.
+  * В переключателе **Language** выберем **English**, чтобы в свойствах будущего сертификата цепочка сертификатов не отображалась на китайском языке.
+  * В переключателе **Algorithm** доступен один единственный вариант протокола хеширования **SHA2**, который считается безопасным, но при этом может не поддерживаться некоторыми устаревшими версиями ПО.
+Затем заполняем поле **Captcha** и жмём кнопку отправки запроса **Submit request**
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155032.png }}
+\\
+==== Верификация домена ====
+После того, как заявка на сертификат создана, нам потребуется подтвердить свои права владения доменом, для которого мы запросили этот самый сертификат.
+Для этого переключимся на закладку отслеживания запросов **My Order**. Рядом с запросом сертификата для вашего домена будет видна ссылка **Domain Control verification**. Пройдём по этой ссылке, чтобы пройти верификацию домена, для которого ранее был запрошен сертификат.
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155101.png }}
+В открывшейся форме верификации выберем удобный вариант верификации. Например, первой на закладке **Domain Control verification** выберем любой из предложенных e-mail адресов администратора нашего домена, на который будет отправлено письмо с кодом верификации и нажмём кнопку **Click to send verification Email**
+Отправленный на почту код верификации действует короткий интервал времени, поэтому не мешкая копируем его из полученного письма в поле **Verification code**, заполняем поле **Captcha** и жмём кнопку **Verify Now**
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155118.png }}
+\\
+==== Генерация закрытого ключа и CSR-запроса  ====
+Если процедура верификации пройдёт успешно, нам будет предложено сгенерировать CSR запрос. Для этого перейдём на свой [[:unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04|веб-сервер]] и выполним команду генерации файла запроса с помощью утилиты **openssl**:
+<code>
+openssl req -new -newkey rsa:2048 -nodes -out mydomain.csr -keyout mydomain.key -subj '/C=RU/ST=Komi republic/L=Syktyvkar/O=IT Department/CN=mydomain.ru/emailAddress=petya@mydomain.ru/subjectAltName=DNS.1=www.mydomain.ru,DNS.2=blog.mydomain.ru,DNS.3=forum.mydomain.ru,DNS.4=wiki.mydomain.ru,DNS.5=test.mydomain.ru'
+</code>
+Вывод команды будет примерно таким:
+<code>Generating a 2048 bit RSA private key
+..........+++
+............+++
+writing new private key to 'mydomain.key'
+-----
+</code>
+Файл **mydomain.key**, который появится в текущем каталоге после выполнения команды, является закрытым ключом от нашего будущего сертификата.
+<WRAP center alert>
+Чтобы не скомпрометировать наш будущий сертификат, файл закрытого ключа нужно сохранить на нашем веб-сервере в надёжном месте с ограниченным доступом, например, в каталоге **/etc/ssl/private**, к которому в конфигурации по умолчанию на уровне файловой системы имеет право доступа только **root**.
+</WRAP>
+\\
+==== Отправка содержимого CSR-запроса в WoSign ====
+Содержимое файла **mydomain.csr**, который появится в текущем каталоге после выполнения команды, скопируем в форму, как показано на скриншоте:
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155159.png }}
+После вставки запроса последовательно нажмём кнопки **Check CSR** , затем **Submit**.
+\\
+==== Выпуск и получение сертификата WoSign  ====
+Через некоторое время снова зайдём по ссылке [[https://buy.wosign.com/free/#myorder]] и проверим статус запроса сертификата.
+Если ссылка изменилась на **Issue**, значит наш запрос успешно обработан и нужно щелкнуть по этой ссылке, чтобы произвести выпуск сертификата.
+При выпуске сертификата появится всплывающая форма, из которой нам будет предложено сразу скачать архив с сертификатом с грозным предупреждением о том, что после закрытия формы архив с файлами сертификатов будет удалён…
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155233.png }}
+Даже если по какой-то причине вы не смогли в этот момент скачать архив, то сделать это можно и позже на закладке **My Order** по ссылке [[https://buy.wosign.com/free/#myorder]]
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155251.png }}
+Внутри архива будет несколько вложенных архивов с файлами сертификатов сконвертированных в разные форматы для разных веб-серверов. В каждом из архивов, в зависимости от формата будет присутствовать как сам запрошенный сертификат, так и все корневые сертификаты цепочки ЦС **WoSign**.
+{{ :unix-linux:ubuntu:ubuntu-14-04-lts-trusty-tahr:how-to-install-lemp-web-server-on-ubuntu-14-04:pasted:20160330-155321.png }}
+В нашем случае потребуется распаковать архива **for Nginx.zip**, в котором будет один файл с именем типа **1_mydomain.ru_bundle.crt**. Фактически этот файл представляет собой бандл, т.е. склейку нескольких сертификатов начиная с самого сертификата нашего домена и кончая цепочкой корневых сертификатов.
+Теперь можно переходить к установке сертификата на наш веб-сервер.\\
+В следующей части мы выполним установку полученного **crt**-файла  на веб-сервер **Nginx**.
+----
+{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.03.2016 16:07
+{{tag>Linux "web server" SSL OpenSSL HTTPS WoSign CSR Certificate "Certificate authority"}}
+~~DISCUSSION~~