- Сообщений: 986
- Спасибо получено: 146
Как создать и настроить свой веб-сервер на VDS (05 сен 2024)
Осенью самое время заняться установкой и тюнингом своего веб-сервера. Не правда ли?
Бесплатный SSL сертификат для сайта
- serge
- Автор темы
- Не в сети
- Модератор
www.startssl.com
buy.wosign.com/free
Первый раздает серты сроком на 1 год для пяти максимум доменов, второй - это друзья-китайцы - дарит сертификат на 10 доменов сроком на 3 года. Вполне так неплохо, да? Нужно сказать, что сейчас поисковики, по слухам, будут понижать в рейтинге поисковой выдачи сайты, не имеющие доступа https.. ну это я так, непроверенные пока что слухи.
Для тех, кто не понимает, о чем это я, полезная статья в помощь HTTPS для RHEL (CentOS) . Также привожу еще одно руководство, на тему как генерятся ключи и сертификаты TLS. Копипаст правда, ну да ладно.
Для создания Certificate Signing Request (CSR), выполните следующие шаги:
Генерация ключевой пары
1. Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита "OpenSSL". OpenSSL обычно устанавливается в /usr/local/ssl/bin. Если вы использовали выборочную установку, соответсвенно корректируйте эти инструкции.
2. В командной строке введите следующее:
Code:openssl genrsa -des3 -out www.mydomain.com.key 2048
Примечание: Пропустите -des3 команду, если вы не хотите использовать секретную фразу(Pass Phrase). Однако это оставит секретный ключый (private key) незащищенным.
3. Введите секретную фразу (PEM Pass Phrase) и запомните ее.
4. Будет сгенерирован и сохранен в файл 2048 RSA секретный ключ.
Генерация CSR
1. В командной строке введите следующее:
Code:openssl req -new -key www.mydomain.com.key -out www.mydomain.com.csr
Примечание: Если вы использовали команду "-des3", введите вышеуказанную строку для секретной фразы (PEM Pass Phrase).
Примечание: При успешном выполнении команды Apache/OpenSSL Windows Based Installations выдаст результат. Если, в процессе выполнения вышеприведенной команды возникли ошибки, введите следующее :Code:openssl req -new -key www.mydomain.com.key -out www.mydomain.com.csr -config openssl.cnf
2. Введите информацию для запроса на сертификат (Certificate Signing Request). Эта информация будет отображена в сертификате.
Примечание: Следующие символы не будут приняты: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
Country Name (страна, двухзначный код) [AU]:RU
State or Province Name (полное название штата или провинции) [Некоторый штат]: Moscow
Locality Name (город) []:Moscow
Organization Name (название организации) [Internet Widgits Pty Ltd]:Masterpro
Organization Unit Name (отдел,сектор) []:Masterpro
Common Name []:www.masterpro.ws (должно быть формата FQDN - Fully Qualifed Domain Name)
Примечание: не вводите следующее:
Email Address []:
A challenge password (пароль вызова) []:
An optional company name (дополнительное название компании) []:
3. Используя нижеприведенную команду, проверьте CSR, на правильность введенных данных :
Code:openssl req -noout -text -in www.mydomain.com.csr
4. Теперь CSR будет успешно создан.
А я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Unior82
- Не в сети
- Давно я тут
- Сообщений: 84
- Спасибо получено: 3
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- itcod
- Не в сети
- Давно я тут
Файрфкс сам вчера внаглую проапдейтился и натевам счастья вагон. Серт на сайте сходу стал отозванным...serge пишет: Делимся опытом, где и как можно получить free ssl сертификат для web-сайта. Я лично знаю два таких популярных ресурса:
www.startssl.com
buy.wosign.com/free
"Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные. "
"Usertrust отозвала кросс-подпись CA WoSign 4 октября:
crt.sh/?id=3223853
crt.sh/?id=12716343
crt.sh/?id=12716433
В Firefox нет поддержки CRL, поэтому сертификаты внесут в OneCRL — хранилище отозванных сертификатов внутри Firefox."
"Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom"
"Chrome 56 будет помечать сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, как не заслуживающие доверия."
"Корпорация Apple, ознакомившись с отчётом, объявила что iOS и macOS на неопределённый срок прекращают доверять сертификатам, которые выпущены после 19 сентября 2016 года. Поскольку в продуктах Apple корневые сертификаты WoSign не предустановлены, забанят промежуточные сертификаты от StartCom и Comodo, используемые WoSign."
Кто нибудь в курсе где сгенерить бесплатный и рабочий сертификат хоть на год?
"10000 попугаев не могут ошибаться!"
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- serge
- Автор темы
- Не в сети
- Модератор
- Сообщений: 986
- Спасибо получено: 146
А я смогу! - А поглядим! - А я упрямый!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- itcod
- Не в сети
- Давно я тут
Оказывается за год проект Lets encrypt стал очень даже адекватный Это очень порадовало.itcod пишет: Кто нибудь в курсе где сгенерить бесплатный и рабочий сертификат хоть на год?
Всё установилось как доктор прописал на хабре:
habrahabr.ru/post/306128/
PS:
В процессе повторения шагов задался мыслью зачем утилите letsencrypt-auto нужен путь www-root к сайту. Оказалось утилита автоматически в корне сайта генерит папку /.well-known/ генерит в ней абракадабрные файлы проверки для доменов перечисленных с ключами -d и после этой успешной проверки создаёт сертификат с именем первого домена и с всеми перечисленными внутри. Так как в моём проекте корень сайта запаролен, то пришлось прописать эту папку как открытую и тогда при проверке доменов ошибки с кодом 401 закончились и сертификат успешно сгенерировался.
Lets Encrypt действительно стал очень даже хорошим роботом. И сертификаты 90 дневные это хорошо раз можно crontab'ом делать renew всех сертов.
PSS: Правда зачем то утилита letsencrypt-auto при первом старте заюмила мне апача.... хотя у меня nginx... ну да ладно выкошу апача вручную
"10000 попугаев не могут ошибаться!"
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- unior
- Не в сети
- Захожу иногда
- Сообщений: 70
- Спасибо получено: 5
Multiple Domains or Subdomains
Multiple domains or subdomains are allowed and should be separated by spaces (e.g. "subdomain.domain.com domain.com otherdomain.org"). If the multiple domains or subdomains pertain to multiple directories then you must use manual verification and upload verification files to the correct directories.
Forever Free SSL Certificates
100% Free Forever
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.