Пользователь
0,0
рейтинг
3 сентября 2011 в 17:36

Администрирование → Получаем бесплатный SSL сертификат tutorial

Привет, хабр!

О StartSSL я узнал от небезызвестного lissyara, в связи с чем ему очень благодарен.

Для начала расскажу, что же за зверь это. Как известно, SSL сертификаты выдаются центрами сертификации, чьи корневые сертификаты хранятся в хранилище сертификатов браузера\ОС (либо другого ПО, использующего SSL). Цена на большинство сертификатов зашкаливает, и платить приходится за каждый сертификат. Но у StartSSL весьма интересный подход — сами сертификаты у них бесплатные, вы платите только за проверку вашей личности.

Так же не может не радовать наличие русскоязычной поддержки.

Сертификат можно получить проверив только email адрес и владение доменом, но в таком случае вы не можете создать wildcard сертификат, использовать сертификат для финансовых операций и электронной коммерции. Сертификат выдается сроком на год. Снятие этих ограничений будет стоить вам 59.90$ и подразумевает вашу идентификацию (так же вы сможете выпускать сертификаты сроком на 2 года). Итого за 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат + 2 года, на которые можно выдать сертификат).

Регистрация


Выбрав на сайте русский язык вы получаете прекрасный англо-русский интерфейс. Регистрация находится здесь.

image

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий. Так же желательно чтобы при регистрации использовалась латиница — это поможет весьма сократить то время за которое подтвердят регистрацию аккаунта.

image

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

image

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.




На этом регистрация завершена. Рекомендую сохранить сертификат на физическом носителе (например, записать на болванку).

Верификация домена


Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation



Вводим домен



Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)



Получаем письмо и вводим код из него в поле. Все — домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.



Генерация сертификата


Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate



Далее у нас 2 варианта — либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов — макс. 32) и размер ключа (2048\4096).



Получаем и сохраняем ключ.



Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).



Нам дают право на включение в сертификат один поддомен — пусть будет стандартный www



Получили немного информации о сертификате, жмем на Continue.



Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью — примерно за такое же время подтверждали запрос.

Получение сертификата


Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.



Про установку не буду писать, информация есть на хабре и на StartSSL.

Проходим проверку (2-й уровень верификации)



Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы

Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы — у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Далее вам нужно будет ввести данные своей кредитной карты\PayPal. Идем в Tool Box ->Add Credit Card | PayPal | Ticket



Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Несколько фактов о StartSSL


  • 25 мая 2011 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
  • StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
  • StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
    После установки промежуточного сертификата пришло соответствующее письмо.
  • StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
  • Дружелюбная поддержка на русском языке
  • Сравнительная таблица вариантов верификации
  • За 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат + 2 года, на которые можно выдать сертификат).
  • Отзыв сертификата платный — 24,90$. 2-й класс верификации позволяет пересоздать сертификат (насколько я понял, всего один раз). Extended Validation сертификаты освобождены от этого сбора.
Андрей @xaker1
карма
66,2
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (133)

  • –7
    Учимся использовать поиск
    habrahabr.ru/blogs/sysadm/106252/
    • +13
      Умею. Именно поэтому был задан этот вопрос.
  • +6
    сертификаты для подписи ПО ???(Object code signing certificates).
    Именно. Вот пример:
    • 0
      Благодарю. Помню было что-то такое, но не был уверен)
  • +5
    Бесплатный сертификат за 60 долларов или я что-то не понял? :)
    • +3
      Вы можете получить абсолютно бесплатный сертификат. Это первые 3 пункта.
      За 60$ вы получаете возможность генерировать неограниченное количество WildCard сертификатов, и использовать SSL сертификаты для финансовых операций и электронной коммерции.

      Сертификат можно получить проверив только email адрес и владение доменом, но в таком случае вы не можете создать wildcard сертификат, использовать сертификат для финансовых операций и электронной коммерции. Сертификат выдается сроком на год.
  • +1
    Благодарю! Очень кстати!
  • 0
    Хм… почему так дешево?
    сертификат для подписи ПО стоит в среднем 12т.р. а тут 1800 получается…
    • +6
      А почему бы ему не быть дешевым? За 12000 openssl другой? :)
    • +1
      У них такая ценовая политика.
      Еще раз повторю, что 1800 не за сертификат, а за возможность создавать сертификаты. Вы можете создать 1800 сертификатов, и каждый выйдет вам примерно в 1 рубль.
      • 0
        Вы не совсем поняли о чем идет речь. По барабану на wildcard, он не применим к code signing, который обсужаем.
        • 0
          Так code signing можно получить только со 2-м уровень верификации. 2-й уровень верификации дает не только возможность создавать WildCard. В конце статьи есть ссылка на сравнительную таблицу верификации, где различия описаны.
          • 0
            Я к тому, что для code singning задач, стоимость сертификата действительно на удивление мала и ее тяжело оправдать wildcard'ами и прочими web-only плюшками. По крайней мере к этому клонил автор предыдущего комментария в треде.
      • 0
        имеется ввиду, что эта возможность создавать сертификаты для разных доменов?

        Правильно ли я понял, что если я такую возможность за $60 куплю, то я хоть всей планете могу сделать wildcard-сертификаты на все виды доменов?
  • +1
    Сертификаты — прекрасный пример торговли воздухом. Причем за вполне себе реальные деньги получаешь набор байт, который ничего не гарантирует и ни от чего не защищает.

    Интересно, кто первый пробьется в root ca основных браузеров и начнет раздавать бесплатно любые сертификаты? Может тогда хоть люди начнут думать верхним отростком тела?..
    • 0
      Слетать в космос — круче, чем раздавать бесплатно ;)
      • +1
        Ну или собрать народу и сделать Ubuntu =)
    • +21
      Нотариальные услуги — прекрасный пример торговли воздухом. Не?
      • 0
        Там четко видно, кому доверяешь — имя нотариуса прописано. А у вас хранится в браузере история заходов в ваш банк, с историей использованных сертификатов? Вчера это был thawte, а сегодня — арабский шейх. И браузер ничего не скажет.
    • +4
      Предложите свой вариант защиты от MiM! Тогда вы будите торговать воздухом или станете на столько богатым и популярным, что вообще ничего не нужно будет делать.
      • 0
        Сертификаты должны защищать от MtM, но при теперешнем подходе они якобы защищают. Гуглите на тему Етисалата и блэкберри.

        Вчера вы заходите в свой банк с помощью сертификата, подписанного, например, Thawte, а завтра вам подсунут штатный сертификат какого-нить арабского шейха. И браузер вам ни слова по этому поводу не скажет. Это и есть проблема.
      • 0
        Ну, с технической точки зрения, web of trust уже лет 15-20 как предложенный «свой вариант»…
        Да реализация есть на gnupg — которая Enigform
    • +2
      Вы не можете «пробиться» в root CA основных браузеров без значительных финансовых затрат. Требования к CA и его сертификация стоят очень больших денег, так что бесплатно раздавать сертификаты после того как вы вбухали $$$ в бункеры, хардверную PKI инфраструктуру, проверки, аудит и т.п. можно только ОЧЕНЬ большому альтруисту. А таких мало :)
      • 0
        Такое бывало не раз и будет. Нужна просто компания, для которой эти деньги — не существенные, а основной заработок к сертификатам относится косвенно. Это вопрос времени, когда такая появится.
        • +1
          Во-первых, эти деньги существенны для любой компании: там действительно надо много денег и процесс *очень* долгий. Во-вторых, CA — уже более-менее зрелая индустрия, игроки которой помимо прочего стараются свою индустрию защитить. Изобретение EV сертификатов и дикие сложности со вступлением в «клуб» отшивают практически всех случайных людей и халявщиков.
  • +1
    Потерял сертификат авторизации со сгоревшим жестким диском. Хотя я был уверен что на ноуте он у меня забекаплен, я ошибался. Восстановить не получается.
  • +1
    Чет мне так понравилась первая картинка с блестящими кредитками, что не удержался.

    А так прикольно. Может Verizon и их купит и появится еще один Шаттлворт :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Кстати да, но как поддерживаемый браузер он заявлен.
    • 0
      Официальный ответ:
      С нашей стороны исправлять нечего. Как правило, если сертификат установлен в браузер то проблем со входом в панель управления не возникает. Возможно ваша проблема и решение уже были описаны тут forum.startcom.org/viewtopic.php?f=15&t=1792
      В Google Chrome есть баг, не позволяющий правильно генерировать клиентский сертификат, возможно это будет исправлено в последующих версиях Хрома. Пока мы не даем возможности регистрации с этим браузером.

  • +1
    Кстати, у меня почему-то больше вариантов при выборе размера ключа сертификата
    • 0
      А в Safari только 256/512/1024
  • –3
    The proxy server received an invalid response from an upstream server.

    Сайт оставляет впечатление сделанного на коленке.
  • 0
    делал у них сертификат для jabber сервака, давно правда, сейчас все браузеры нормально с ними работают?
    • 0
      Вроде все основные. Пока проблем с браузерами не замечал.
      • 0
        Тогда опера точно не принимала, приходилось корневой сертификат импортировать чтобы ошибка постоянно не выскакивала.
        • 0
          Сижу под оперой — сертификаты нормально берет.
          Правда зайти в личный кабинет на startssl с оперы не удалось( Но это уже другая история.
          • 0
            у меня только что удалось, помнит опера еще их :)
          • 0
            Я делал сертификат под оперой. Сам личный кабинет прекрасно работал. А вот с генерацией что-то не ладилось. Экспортнул сертификат из оперы в хром и там доделал.
  • –1
    Спасибо за статью, для меня получение ssl сертификата было проблемой. Правда нужен еще и выделенный IP.
    • 0
      собственно если на шаред хостинге то да, на впс можно поколдовать с mod_guntls
      • 0
        на впс поставить nginx и забыть о gnutls.
        • 0
          Извиняюсь за оффтоп, но где можно про такую реализацию почитать?
          У меня даже не впс, а собственный железный сервак, всё моё вплоть до рут доступа. Но IP у меня один, а сайтов на нём 7. Есть возможность все домены по https запустить?
          • 0
            SSL SNI
  • 0
    Не могли бы Вы поподробнее описать ограничения бесплатной версии?

    «вы не можете создать wildcard сертификат, использовать сертификат для финансовых операций и электронной коммерции» — получается, что с бесплатным сертификатом нельзя принимать платежи от пользователей или я что-то неправильно понимаю?
    • +1
      Выданные cертификаты обеспечивают относительную безопасность и предназначены для защиты персональныx сайтов, публичных форумов или веб-почты.

      Веб-сервер cертификаты(SSL/TLS)
      Личные и почтовые сертификаты (S/MIME)
      128/256-битное шифрование
      US $ 10,000 гарантированная страховка
      Сертификат действителен один год


      www.startssl.com/?app=39

      В политике все ограничения описаны. Увы, английский знаю на весьма плохом уровне. Для финансовых операций предназначен Удостоверенный аттестат.

      Сертификаты StartSSL™ Verified предназначены для:
      вебсайтов, производящих финансовые транзакции, такие как детали кредитных карт или других платежных средств: таким образом посетитель может быть уверен, что человек и компания, которые его обслуживает могут быть отнесены к реально существующей организации.
      компаний и частных лиц которые должны взаимодействовать по всему миру с предполагаемыми клиентами и партнёрами и нуждаются в гарантиях того, что информация предоставляемая ими — корректна.
      облегчённого управления ключами и сертификатами, комплексными конфигурациями и множественными вебсайтами на одном сервере и с общим IP адресом и IIS/ISA установками.
      • 0
        То есть принимать платежи через посредников, не обрабатывая данные карты самостоятельно, можно.
        А вот если собираемся принимать карты напрямую, то банк-эквайер потребует соответствия PCI DSS, а этот стандарт в свою очередь требует Verified сертификат.
        Я так понимаю.
    • –1
      Просто вы не сможете получить сертификат на поддомены вроде billing,payments итп. Вы можете смело сделать сертификат для www. и продавать там че-нить, это хоть и противоречит полиси, но работать будет:)
    • 0
      Уточнил у StartSSL, у них кроме ограничений на прием платежей и электронную коммерцию еще:
      Верно, кроме того нельзя создавать сертификаты вида, например, facebook.yourdomain.com paypal.yourdomain.com, либо с именем других, широко известных брендов.
      Также нельзя создавать сертификаты, для доменов, созданных меньше чем 2 дня назад, т.к. домен еще можно вернуть регистратору в этот период.
  • –1
    Хм… Зарегестрировать зарегестрировался и даже успел заказать сертификат… А при повторном входе на auth.startssl.com ошибка в IE9 :-(
    • 0
      Какая ошибка? Работаю с StartSSL через IE9 — все ок.
      • 0
        вот он запрашивает сертификат, я говорю «ОК»… а потом (причем сразу) «Internet Explorer не может отобразить эту веб-страницу»… IE как-то не очень щедр на описание ошибок :-)
        • 0
          У меня таже хрень, а если пробую через оперу, то заходит, но бывает что винда падает в дамп, вот такая жесть.
    • 0
      StartSSL после первой регистрации прописывает в бровзер client-certificate.
      И эта «прописка» не всегда проходит гладко. Можно попробовать без «захода» на StartSSL экспортировать только этот сертификат из броузера и импортировать его в другой.

      ФАК тут: www.startssl.com/?app=25#4

      Если не поможет
      — тогда к Серт-Мастер.

      14.) I've lost my client authentication certificate, what shall I do?
      Make sure that you are using the same computer and browser you used to register. If you are certain that you've lost the client certificate and you can't login anymore, register once again by using a different email address (if the original certificate hasn't expired yet). Contact the CertMaster with your details and we'll try to associate your new client authentication certificate with your original account.

      • 0
        Я в принципе так и сделал — захожу через Firefox…
        • 0
          У нас в Firefox что-то не работает. В Chrome и IE — нормально.
          • 0
            Работает же)
            • 0
              Что-то ему потребовалось прочухаться.
  • +1
    На этапе поисков StartSSL не впечатлил, остановился на cacert.org. Как-то все проще, быстрее и доступнее.
    • 0
      очень показательно что хром ругается на сам сайт cacert :)
      • 0
        Ну, если обращаться к нему, как «cacert.org.», а сертификат выписан на «cacert.org» — боюсь, кто угодно будет ругаться.
        • +1
          как из хрома не обращайся, все равно не доверенно
          • +1
            Почему нет-то? Я вот наблюдаю, что всё в порядке:

            • +1
              Piccy.info - Free Image Hosting
              Piccy.info - Free Image Hosting

              Что я делаю не так?
              Скорее всего у Вас дополнительно установлен их корневой сертификат, что делает эти сертификаты непригодными для нормального использования, и ничем не отличается от самоподписанных.
              • 0
                Ну, в общем, если вы таки серьезно — то да, все сводится к тому, есть ли в системе CA-сертификат cacert.org или нет и отдельному вопросу — как он туда попал.

                Сейчас ради интереса проверил на нескольких системах, куда имею доступ — где-то есть, где-то нет. Показательно нет на Ubuntu, что отдельно смешно :)

                Я уже довольно давно не слежу за тем, как cacert.org прогрессирует в плане включения себя в основные ОС и браузеры, но сейчас поискал немножко какие-то списки и совместимости — всё действительно относительно грустно — видимо, с момента bugzilla.mozilla.org/show_bug.cgi?id=215243#c158 толком ничего не изменилось.
                • 0
                  Ну сертификаты так сказать призывают к серьезности:)
                  Смысл от ca если о нем никто не знает :)
                  • +1
                    Ну, в том-то и дело, что «никто» — в данном случае такое очень растяжимое понятие. Я так понимаю, что официально cacert.org находятся все еще в стадии типа бета-тестирования и сами _не_ стремятся попадать ни в какие ОС и браузеры. Тем не менее, так как cacert.org де факто используют, их уже стали включать, против воли создателей cacert, в некие коллекции. Например, большинство Jabber-клиентов, насколько я знаю, этот CA имеют.

                    Интересно было бы собрать статистику, как с этим у более-менее массовых современных операционных систем и браузеров.
                    • 0
                      У них на сайте была информация, в каких Root CA они присутствуют.
                      В Мозилле их так и не приняли, например. Это долгая процедура, обсуждения включения нового сертификата в Root CA занимают минимум полгода-год.
                    • +1
                      wiki.cacert.org/InclusionStatus
                      Вот и информация по присутствию.
                • 0
                  Вчера свой сертификат, который был только на Jabber и Mumble впилил в Apache и оказалось, что под убунтой только в Opera нормально определяется сертификат. Под виндой Firefox жалуется.
                  К примеру тут: skobkin.ru/facepalm.jpg
                  • 0
                    Никакого секрета нет, просто вы не умеете читать инструкцию и не вписали intermediate сертификат. Если установить все правильно, то файрфокс, как и любой популярный браузер(список в топике), ругаться не будет
                    • 0
                      Вы правы. Я ошибся в указании SSLCertificateChainFile. Но если бы я не умел читать инструкции, то не работало бы вообще ничего :)
                      • 0
                        А вот так это диагностируется —
                        openssl s_client -connect skobkin.ru:443 и смотрим в начале на certificate chain
                        А еще можно посмотреть на ваш жабер, в котором вы вообще цепочку забыли:)
                        openssl s_client -connect skobkin.ru:5222 -starttls xmpp
                        • 0
                          Спасибо. Что-то совсем забыл что в openssl встроены фичи для диагностики. Сам пока пользовался только мини-сервером встроенным для проверки сертификата.
                        • 0
                          В жаббере цепочка не указана потому, что у Prosody документация довольно скудная, а с SSL я знаком плохо и сам не догадался копнуть глубже т.к. клиент и так уже не жаловался.
                          • 0
                            Позже нашел все-таки подсказку слить два сертификата в один.
                            Это как раз тот случай, о котором я говорил тут.
        • 0
          Почти все будут ругаться на сертификаты от cacert.org, потому что их сертификат в Root CA браузеров не присутствует.
          ЕМНИП, из-за того, что они не проходили, либо не прошли аудит.
      • +1
        Да Opera тоже. Так что не вариант.
  • –1
    А для локальных доменов можно получить free версию? Не понятно как их подтверждать.
    • +1
      На локальные адреса выдача невозможно. Иначе как CA проверил бы валидность доменного имени машины, на которой предполагается установка этого сертификата.
    • +1
      А для локальных доменов используйте собственный CA.
      • –1
        Собственный CA надо впихивать в систему — не гуд.
        • 0
          Впихивать и на сервер, и на все машины сети, которые его использовали бы. Если это Windows-окружение, то удобнее было бы использовать эти доменные штуковины для автоустановки на все хосты сети. IMHO.
        • +1
          Пардон, а вы как хотели — чтобы вы сами создали какую-нибудь локальную зону, ну, скажем, ".com", в ней понасоздавали каких-то доменов, которые никому, кроме вас не видны, и за вас какой-то серьезный CA поручился для практически всех систем на планете, что ваш ebay.com — это легитимный сайт?
          • –2
            При чем тут зона .com, меня интересует сугубо локальный вариант допустим с зоной .local, речь идет о хом провайдере. Уже есть свой CA, но всем его не поставить, но и объяснять всем, что надо нажать кнопочку «Я понимаю риск», когда в этом же сообщение написано много страшного…
            • +2
              1. Если вы думаете, что создавать домены в зоне ".local" — хорошая идея — вы сильно заблуждаетесь. Это домен де факто выделенный под протоколы динамической конфигурации сети типа Bonjour, Avahi, Rendezvous, Zeroconf, UPnP SSDP и т.д. Как правило, для работы с доменами .local современные операционные системы используют механизмы, отличные от централизованного DNS. Попытка создать зону .local и начать раздавать ее с DNS сервера грозит тем, что у половины клиентов (все Mac, почти все Linux, половина Windows) будут проблемы с ресолвингом.

              2. Вы действительно не понимаете, что как только речь заходит о «сугубо локальном варианте», то вы там можете создавать какие угодно зоны (*особенно* если вы домашний провайдер и запросто еще и сможете реализовать DNS spoofing популярных сайтов) и за ваши действия никто никакой ответственности нести не захочет? Этот механизм («Я понимаю риск») как раз и нужен, чтобы «домашние провайдеры» не могли прослушивать/модифицировать шифрованный трафик между конечным абонентом (отправляющим номер своей кредитки, скажем) и доверенным получателем (например, платежной системой).
              • –2
                1. Вы игнорируете мои слова, но .local был пример, может и не удачный. Текущий домен используется совсем в другой зоне и она ничего общего не имеет к существующим зонам первого уровня.

                2. У меня есть мой маленький проект в локальной сети и мне хочется, чтоб авторизация происходила в защищенном режиме, но при этом пользователи не сталкивались с этой «табличкой», у меня нет желания, делать и слушать других, я просто хочу найти путь по которому я смогу получить сертификат для локальной зоны с минимальными капитала вложениями.
                • 0
                  Ваш вариант CONTOSO.COM и сертификаты от OPENSSL. Удачи.
                  • 0
                    Не работает уже CONTOSO.COM. Есть ли альтернативы?
  • +2
    В свое время поигрался со StartSSL. На поддомен billing бесплатный сертификат давать упорно не хотели, забил и взял RapidSSL, в конце концов 20 с хвостом баксов в год ничего не решают, зато броузеры с ним нормально работают.
  • +1
    В марте у них делал бесплатный сертификат. Поставил на Jabber и Mumble сервера. Все хорошо работает.
    Правда, с установкой не все тривиально, но мануалы есть.
    • 0
      А при чем тут установка и выписка сертификата, или вы ошиблись и сложности с выпиской?
      • 0
        Э? Я просто поделился тем, что есть положительный опыт работы со StartSSL и что их сертификат работает на http-сервере, jabber-сервере и сервере mumble…
  • 0
    Что-то у них проблемы

    <img src=«habrastorage.org/storage1/c90c69d1/7d82c133/aaacec3c/1ab3fa51.png»" alt=«auth.startssl.com произошла ошибка.(Код ошибки: ssl_error_handshake_failure_alert)»/>

  • 0
    подскажите пожалуста. Если я потерял key файл который генерировал с помощью startssl, значит я не могу использовать теперь сертификат для свего сервера?
    • 0
      Ключевой файл сертификата? Попробуйте еще раз создать.
      • 0
        да он самый. То есть файл .key можно создавать сколько угодно, а сертификат только один раз?
        • 0
          Только что создал еще один сертификат с новым ключем. Главное — что бы был домен верифицирован
          • 0
            Вы наверно платный пользователь. На бесплатном варианте выдает: A certificate with domain mail.zet.com.ua already exists at Class 1 level.
            Please try it again and choose a different (sub) domain, upgrade your validation status to a higher level or request revocation of the existing certificate at the Tool Box.
            • 0
              Нет, еще не успел.
              Попробуйте, как и написано — отозвать старый сертификат.
              • 0
                Вроде бесплатный акаунт не может отозвать сертификат?
                • 0
                  Если честно — уже не помню.
                  Попробуйте в поддержку написать, они подскажут.
  • 0
    Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Ошибка протокола SSL.
    При попытке зарегистрироваться вылетает ошибка. Это нормально?
  • 0
    Вопрос: а что будет через год (когда сертификат кончится)?
    • +1
      Заказываете новый, без проблем.
  • 0
    Chrome Версия 24.0.1312.57 m
    Не удается создать безопасное соединение с сервером. На сервере могла возникнуть проблема, или необходим сертификат клиентской аутентификации, который у вас отсутствует.
    Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Ошибка протокола SSL.

    Firefox 18.0.2
    При соединении с auth.startssl.com произошла ошибка.
    SSL-узлу не удалось договориться о приемлемом наборе параметров безопасности.
    (Код ошибки: ssl_error_handshake_failure_alert)
    • 0
      Это при попытке входа на страницу регистрации auth.startssl.com/
      • 0
        Регистрация тут www.startssl.com/?app=11&action=regform
        • 0
          Спасибо, зарегистрироваться получилось.
          Но согласитесь, странно, что на сайте организации, выдающей SSL сертификаты, ошибка SSL…
          • 0
            У них вроде сама авторизация/аутентификации по клиентскому сертификату, а так как у вас он не установлен, то и появляется ошибка.
  • 0
    Хоть статья и давняя, но все еще актуальна в виде инструкции, поэтому думаю стоит поправить это:
    Итого за 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат + 2 года, на которые можно выдать сертификат).

    Насколько я понял из FAQ и прочего, для перевыпуска Wildcard-сертификата нужно отозвать старый, а это стоит 25 долларов. Таким образом считерить не получится.
    Revocations carry a handling fee of currently US$ 24.90. Class 1 subscribers may use a different sub domain in order to create additional certificates without the need to revoke a previously created certificate. Alternatively it's possible to upgrade to Class 2 level which allows to create the same set of certificates once again (besides all the other benefits), because different levels are issued by different issuers, making revocation unnecessary.

    Extended Validation certificates are exempt from the revocation handling fee.
    • 0
      Это действительно только для 1-го уровня. Для бесплатных сертификатов.
      Если заплатите 60$ — то сможете перевыпустить, без отзыва.
      Alternatively it's possible to upgrade to Class 2 level which allows to create the same set of certificates once again (besides all the other benefits)
      • 0
        Конец фразы «because different levels are issued by different issuers, making revocation unnecessary.» намекает на то, что речь про выпуск class2 сертификата на домен, на котором ранее был выпущенный class1 без отзыва class1, т.к. разные ЦС. А вот если у вас уже wildcard (class2) и вы хотели бы повторно выпустить его, то нужно будет отзывать прежний сертификат, ведь тут уже один ЦС.
  • 0
    Получается что бесплатный действует всего месяц и в ежемесячном порядке его придется переделывать и переустанавливать на сервер? Жестоко.
    • 0
      Прочитайте повнимательнее, бесплатный действует год, и без проблем перевыпускается. Месяц действует верификация домена, т.е. в течении месяца после подтверждения домена по e-mail вы можете выпустить сертификат, однако пройти повторно верификацию домена можно в любой момент
  • 0
    сертификаты они не всем выдают

    >The problem is the word «bank» in your domain name.

    вот из-за одного словосочетания которое попалось в имени домена, не выдали
    • 0
      Для операций с деньгами нужен второй уровень валидации (это который $60 за валидацию личности), это правило StartSSL, и они не будут смотреть что у вас всего лишь обсуждение банков скажем, автоматически по ключевым словам отбрасывают.
  • 0
    Любое подозрение на коммерческую активность на сайте — и отказывают в выдаче. Бесплатный сыр известно где.
    • 0
      Thank you for requesting a digital certificate with us. However Class 1 certificates are not meant to be used for commercial activities or financial transactions according to our policy. For this purpose please consider upgrading to Class 2 or higher verification level.
  • 0
    Столько лет прошло, а стоимость все та же — $59.90 и руководство этой статьи вполне актуально. Зарегистрировал сертификат довольно быстро)
    И техподдержка у них на высшем уровне)
    Правда, квитанции оплаты штрафа в ГИБДД им недостаточно было (на нем содержится ФИО и домашний адрес), поэтому жду когда придет письмо с кодом активации по бумажной почте :)
  • –3
    Загадочный сайт… подтвердил адрес эл. почты и перешёл к подтвержденею домена. Показала пачку несуществующих адресов почты с домена и «нормальный» адрес администратора на gmail… код пришел но на его система отреагировала бесконечными часиками. Ctrl+F5 и при попытке повторного подтверждения показывает только вымышленные адреса типа postmaster@doman.name… зашел в HTML и перебил value в первом radiobutton на свой норм адрес и нажал далее… выскочило сообщение что произошла ошибка мне следует связаться с ними и… и сайт уже третий день не открывается… тоесть совсем… меня забанили по IP, я им всё сломал этой шалостью или совпадение?
    • –1
      По поводу «вымышленных» адресов можно почитать здесь и здесь.
      • –1
        Nothing new in your links…

        И к адресу approver email есть определенные требования, он должен быть либо в том же домене для которого вы заказываете сертификат, либо он должен быть указан в whois домена.
        Если вы указываете email в том же домене, что и сертификат, то указывать любой emal тоже нельзя, он должен соответствовать одному из шаблонов:


        My address specified in whois but not belong to the domain. And yes, I know that its not convenient, but having email in the domain is not a requirement :)

        Sorry for English, don't have Russian layout and don't like on screen keyboards.
        • 0
          Павел, в гугле искать «транслит». Первая ссылка ваша. Не благодарите.
          • –2
            Детский сад :)
  • +2
    Спасибо большое за статью — все отлично работает. Небольшая подсказка, для тех, кто будет ставить сертификаты на nginx. У них есть мануал вот тут https://www.startssl.com/?app=42, так вот если все сделать строго по нему — сертификат не работает и nginx не стартует из-за ошибки:
    SSL_CTX_use_certificate_chain_file failed (SSL: error:0906D066:PEM routines:PEM_read_bio:bad end line error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib)

    Проблем и ее решение описаны вот тут http://jerodsanto.net/2013/04/be-careful-when-you-create-a-unified-ssl-certificate-for-nginx/ — их ssl.crt не содержит символа переноса строки в конце файла и поэтоу не правильно клеится, соответственно, исправляется одним нажатием Enter :)
  • 0
    > Далее у нас 2 варианта — либо нажать на Skip и ввести запрос на генерацию
    > сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас
    > нет, поэтому будем генерировать все в данном мастере.

    Подскажите, а какую команду нужно выполнить, чтобы сгенерировать приватный ключ и создать запрос csr на своей стороне?
    • +1
      Сначала нужно поставить OpenSSL, затем
      openssl req -nodes -newkey rsa:2048 -keyout PrivateKeyFile.key -out CertRequest.csr


      Либо же с заранее введенными значениями
      openssl req -nodes -newkey rsa:2048 -keyout PrivateKeyFile.key -out CertRequest.csr -subj "/C=RU/L=Moscow/CN=Ivan Ivanovich"
      • 0
        Благодарю
  • 0
    А если выпустить сертификат в одном УЦ, потом можно до окончания действия текущего сертификата выпустить новый в другом УЦ, и заменить старый новым?
    • 0
      То есть сертификационный центры как-то обмениваются информацией, что для данного домена уже создан сертификат в таком-то УЦ? И чтобы выпустить в другом, надо сначала отозвать в передыдущем.
      Прошу прощения если глупый вопрос. Все перерыл — этот вопрос так и не понял.
      • 0
        Нет, отзывать не обязательно — можете выпустить хоть в каждом УЦ по сертификату.
        • 0
          Спасибо!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.