How to become an author
Search
Write a publication
Pull to refresh

Comments 51

Проще купить любой дешёвый домен и получить сертификат от letsencrypt бесплатно, чем заниматься этой ерундой…
Total votes 12: ↑7 and ↓5+2
Я кстати так и сделал. Зарегистрировал себе wildcard SSL от letsencrypt, после горя не знаю при создании суб-домена.
This comment wasn’t rated yet0

А можно ли использовать LetsEncrypt для коммерческих проектов? Я не уверен, что можно

Total votes 2: ↑1 and ↓10

Можно, никаких ограничений на испольщование сертификатов от letsencrypt нет.

Total votes 8: ↑8 and ↓0+8

А если внутри корпоративной сети только нужно?
Для сетей с MS AD можно развернуть CA и все клиенты будут доверять через GPO

Total votes 5: ↑5 and ↓0+5
Для тех кто не понял:
Нужно купить самый дешевый понравившийся домен (цена 200 р. и меньше на год), ну и пофиг что продление будет стоить дороже, через год можно купить опять новый домен.
Чтобы получить сертификат, нужен комп, который торчит в интернет. Если на работе проблематично получить доступ к такому компу, то можно использовать домашний комп (мы же разработчики, у всех есть домашний комп). Получаем сертификат от letsencrypt (теперь уже даже wildcard можно получить), далее копируем к себе куда надо все это добро, в hosts прописываем локальный ip для этого домена. Такая схема работает и на винде и в линукс, сам лично пользуюсь. Можно даже обойтись без hosts: у регистратора домена прописываешь в dns локальный ip, тогда в локальной сети работает как будто комп торчит в интернет.
This comment wasn’t rated yet0
можно и не покупать ничего, а просто использовать xip.io
This comment wasn’t rated yet0
Чтобы получить сертификат, нужен комп, который торчит в интернет.

Оказывается даже это необязательно, можно в ручном режиме получить с подтверждением с помощью dns, см. certbot.eff.org/docs/using.html#manual
This comment wasn’t rated yet0
Не очень понятно как такой подход использовать если тестовых локальных машин много. Это нужно, получается каждые 3 месяца обновлять сертификат и рассылать его всем разрабочикам для ручного обновления?
This comment wasn’t rated yet0

Сертификат обновляется скриптом (где-нибудь на digital ocean) и выкладывается куда-то, откуда всего его могут скачать, в т.ч. другой скрипт. Например, у нас собирается для тестов докер с nginx вместе с сертификатом, поэтому достаточно обновить контейнер. Есть тестовый сервер, где nginx установлен непосредственно, но там копеечный скрипт из 2-х строк: wget… и nginx -s reload.
Я свой личный сертификат (использую только для разработки), обновляю руками 4 раза в год. Мне удобнее пользоваться личным сертификатом, т.к. можно управлять ДНС (от регистратора домена) единолично.

This comment wasn’t rated yet0
Если вебдев, то скорей всего установлены туча браузеров, где надо каждому настроить доверие. А как насчет доверия со стороны системы? А если curl/wget? Как сказанно выше — зачем городить костыли, если есть доступные методы получения сертификатов.
Total votes 2: ↑1 and ↓10

Достаточно добавить корневой сертификат в хранилище сертификатов на уровне ОС. Для Java есть оговорки. И сразу удалить/спрятать его, чтобы самому себе бэкдор не устроить :)

Total votes 1: ↑0 and ↓1-1
Так это понятно. Это риторические вопросы к статье, а не к Вам. Статья учит новичков антипатернам, которые им потом аукнутся.
Total votes 3: ↑2 and ↓1+1
Вполне настраивается всё. Главное, что один раз настроить доверие к корневому, а потом плоди сколько хочешь. И всё на localhost, никому не нужно давать доступ к нему.
This comment wasn’t rated yet0

Вот для ubuntu рецепт:


sudo cp my.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

А вот так называемые "доступные методы" не очень хорошо подходят для условий локальной разработки без прямого доступа из интернета к защищаемому хосту (NAT, прокси). В общем случае с 4 сторонними лицами надо взаимодействовать:


  • администратор локальной сети, который пробросит порт с внешнего адреса на внутренний, а потом уберёт проброс, если он вообще согласится. "Локальной сетью" вполне может оказаться сеть оператора, например мобильного, который даже временно, динамические публичные адреса не даёт
  • регистратор доменов
  • DNS-сервис, адреса которого нужно дать регистратору домена
Total votes 1: ↑1 and ↓0+1
Чтобы получить сертификат, подойдет любой комп, который торчит в интернет, в самом плохом случае можно использовать домашний комп. Далее полученный сертификат и секретный ключ копируешь куда надо, для использования доступ из интернета не нужен.
А вот просить всех добавить свой левый сгенеренный сертификат к себе в доверенные так себе идея с точки зрения безопасности.
This comment wasn’t rated yet0

Домашний комп тоже нередко в локалке: или роутер с NAT на входе в квартиру, или провайдер белых адресов не даёт, равзе что за отдельную плату, а по дефолту пуская через NAT, или и то, и другое, разве что админские права могут быть на роутер дома у разработчика. А могут и не быть, например сын — разработчик, а папа — админ :)


Если речь идёт не о локальной разработке, а о, например, QA-сервере в корпоративной сети, то там хорошим вариантом может быть поднятие своего CA полноценного, особенно если активно используются локальные домены, которые в принципе не резолвятся публичными DNS. И с точки зрения безопасности вариант отличный — сертификат корпоративного CA добавляется на все сервера и рабочие станции, подписывать им можно сертификаты для любых целей, а не только для сайтов, вносить в проверенную любую информацию, например, отдел.

This comment wasn’t rated yet0
Домашний комп тоже нередко в локалке: или роутер с NAT на входе в квартиру, или провайдер белых адресов не даёт

Можно в ручном режиме certbot.eff.org/docs/using.html#manual
This comment wasn’t rated yet0

Лучше, да, часть кейсов для разработки закрывает.

This comment wasn’t rated yet0
Уважаемые комментаторы, статья ориентирована на dev-среду, ни в коем случае не на prod. При переносе проекта на продакшн конечно же выпускаются правильные сертификаты.
Я пользуюсь шпаргалочкой попроще, к тому же она позволяет выпускать wildcard-сертификаты ) gist.github.com/croxton/ebfb5f3ac143cd86542788f972434c96
Total votes 5: ↑5 and ↓0+5
Именно! Это исключительно для dev. А шпаргалка хорошая, спасибо.
Total votes 2: ↑2 and ↓0+2
Можно просто купить хостинг на Бегет и установить бесплатный сертификат, да и все, непонимаю к чему такой гемор
Total votes 39: ↑1 and ↓38-37

зачем нужен хостинг при локальной разработке?

Total votes 3: ↑3 and ↓0+3
UFO just landed and posted this here
Рефералки на хабре, серьезно?
Total votes 2: ↑2 and ↓0+2
Пытается выехать на хабраэффекте
Total votes 1: ↑1 and ↓0+1
Еще проще можно сделать через ngrok, и показать за натом тоже можно.
This comment wasn’t rated yet0
1. Можно выпустить сертификат (wildcard использую letsencrypt)
2. Можно выпустить сертификат самому. (тоже вайлдкард)
2.1 сгенерировать рутовый сертификат
2.2 сгенерировать сертификат
2.3 добавить рутовый сертификат как доверенный в браузер. (после этого все сертификаты сгенерированные с помошью рутового — будут валидны.)

Я в общим-то 2й вариант использую для дев окружение. Если интересно могу написать шпаргалку по этому поводу.
This comment wasn’t rated yet0
Да, интересно. Напишите, пожалуйста
Total votes 1: ↑0 and ↓1-1
Генерация корневого сертификата:
openssl genrsa -des3 -passout pass:qwerty -out RootCA.key.pem 2048;
openssl req -x509 -new -nodes -key RootCA.key.pem \
-passin pass:qwerty \
-sha256 -days 1024 -out Root.cert.pem \
-subj "/C=AU/ST=NSW/L=Sydney/O=CompanyName/OU=Company Description/CN=www.company-name.com"

Выпускаем сертификат:
openssl req -new -sha256 -nodes -out server.csr.pem \
-newkey rsa:2048 -keyout server.key.pem \
-config <( cat server.csr.cnf );
openssl x509 -req \
-in server.csr.pem \
-passin pass:qwerty \
-CA Root.cert.pem \
-CAkey RootCA.key.pem -CAcreateserial -out server.cert.pem \
-days 500 -sha256 -extfile v3.ext;

v3.ext:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.yourlocal-domain.com


server.csr.cnf:
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=AU
ST=NSW
L=Sydney
O=company name
OU=Development Department
emailAddress=your-email@mail.com
CN = *.yourlocal-domain.com
Total votes 1: ↑1 and ↓0+1
А где-нибудь можно посмотреть уже готовый рабочий create_certificate_for_domain.sh? А то мой что-то не работает…
This comment wasn’t rated yet0
Вот, выложил на GitHub.
сначала запустите файл create_root_cert_and_key.sh для генерации корневого сертификата, потом create_certificate_for_domain.sh
This comment wasn’t rated yet0
Как настроить работу Wildcard на субдоменах работающих на VPS?
This comment wasn’t rated yet0
Пользуюсь утилитой Portecle (Java) и горя не знаю. Все в пару кликов. Плюс поддержка разных форматов keystore
This comment wasn’t rated yet0
Как в Windows заставить доверять такому сертификату? FireFox помечает его как недоверенный, при добавлении в доверенные, https работает, но на зеленом значке появляется оранжевый щит, при показе свойств которого, говорится, что это добавленный в исключения безопасности сертификат.
This comment wasn’t rated yet0
Честно говоря, на Windows не пробовал. Попробую запустить проект и посмотреть как быть с сертификатом там. Вы только в FireFox используете?
This comment wasn’t rated yet0
>Installing a Certificate in the Trusted Root Certification Authorities Store
Это является единственным решением пока, вот я и спрашиваю, как руками этого не делать.
А в виндовс, не подтвердив руками добавление в авторитарное хранилище, пока не знаю как еще сделать доверенными свои поделки.
Кто знает (чтобы руками ничего не подтверждать, а всё на автомате через скриптинг) — отпишитесь плиз.
This comment wasn’t rated yet0

У FF своё персональное хранилище. Можно добавить в настройках.

This comment wasn’t rated yet0
Надо добавить сертификат в хранилище
certutil -addstore Root PATHTOCERT\cacert.pem
И в случае с FF включить в about:config флаг security.enterprise_roots.enabled на true
This comment wasn’t rated yet0
Это всё исправления в софте (не желательные кстати), нужно сделать без исправлений доверенным серт. Этого в винде без ручного добавления в хранилище полка не знаю как сделать.
This comment wasn’t rated yet0
Пробовали подсунуть такой CA в мобильные девайсы? Были с этим проблемы. Если ваш импортируется и домены потом зеленые, тогда было бы просто супер.
This comment wasn’t rated yet0
Всё нормально импортируется и даже авторизуется клиентскими сертификатами.
Проблемы есть только с мобильным фф, для которого протухло дополнение, рулившее этими самыми клиентскими сертификатами…
This comment wasn’t rated yet0
Забыл дописать — всё делалось на основе конфига easy-rsa, которым довольно долго пользовались без какой-либо модификации, недавно были запилены уже свои скрипты.
This comment wasn’t rated yet0
Иногда, для более полной отладки требуется чтобы не просто самоподписанный сертификат использовался веб-сервисом — а более сложный сертификат с Intermediate'ом и Root'ом, т.к., к примеру, от наличия Intermediate цепочти сертификатов на самом веб-сервере зависит то — сможет ли клиент веб-сервиса построить цепочку доверия до конечного сертификат веб-сервера имея в своем доверенном хранилище сертификатов только Root.

Проверить какие сертификаты публикует веб сервис можно тем-же openssl'ем — «openssl s_client -showcerts -connect :».

Для себя, как и вы, я написал скрипты с использованием openssl для генерации сертификатов с разной длиной цепочки доверия =)

This comment wasn’t rated yet0
Для себя, как и вы, я написал скрипты с использованием openssl для генерации сертификатов с разной длиной цепочки доверия =)

Поделитесь, если есть возможность )
This comment wasn’t rated yet0
Небольшое уточнение для тех, кто генерит сертификат для IP адреса:
subjectAltName = IP:%%DOMAIN%%

Ну а дальше все по сценарию выше, просто вместо домена %%DOMAIN%% будет указываться ip адрес сервера.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr