SSL-сертификат для бедных
Задумал я тут один сайтик завернуть полностью в HTTPS, типа секурность и т.п. Пошел смотреть сколько стоят сертификаты. В общем пришла жаба в подкованых берцах и начала меня давить и задавила в итоге...
Решил я как и большинство юзать самоподписанные сертификаты. Только вот ругань браузера на то что сайт не безопасен и нажатия кучи кнопок для того чтобы все-таки сайт посетить меня немного достали и я решил стать сам себе центром сертификации.
В общем-то ничего сложного в этом нет, openssl устанавливается на любую Unix-систему (вот про не unix не знаю, но думаю тоже их есть).
Собственно приступим, в первую очередь создадим какую-нибудь диру, в которой будет наш центр сертификации раполагаться
# mkdir CA
# cd CA
Генерируем ключ, которым будем подписывать сертификаты
# openssl genrsa -des3 -out ca.key 4096
Теперь создаем корневой сертификат
# openssl req -new -x509 -nodes -sha1 -days 3650 -key ca.key -out ca.crt
Теперь можно выдать в нашем центре сертификации сертификат для нашего web-сервера
# openssl genrsa -passout pass:test -des3 -out server.key 1024
# openssl rsa -passin pass:test -in server.key -out server-nopass.key
# openssl req -new -key server.key -out server.csr
# openssl ca -batch -out server.crt -infiles server.csr
Ну и проверим сразу
# openssl verify -CAfile ca.crt server.crt
Собственно все, сертификат и ключик можно скармливать нашему Web-серверу. Конкретные действия тут зависят от используемого ПО, поэтому на них я подробно не останавливаюсь.
Ну и к чему это все? А к тому. Скачиваем ca.crt себе на компьютер, тыкаем на него крысой два раза. Видим окошко с информацией о сертификате, внизу окошка две кнопки одна из них — «Установить», устанавливаем и вуаля, Google Chrome показывает в строке адреса https:// зелеными буквами, а не красными.
Кто-то скажет что все это хрень, однако подобная схема широко применяется в локальных сетях, да и в интернете тоже нередкость, ярким примером можно назвать , работают и не парятся.
Дабы не мозолить пальцы о клавиатуру если серверов больше одного лучше написать скриптики, а уж если планируется использовать клиентские сертификаты (например, для авторизации, об этом в следующий раз), то тем более надо.
Мне писать было лениво поэтому я пошел в Google и нашел на искомое.
3 комментария на запись "SSL-сертификат для бедных"
Есть еще один вариант — выпустить бесплатный сертификат от Comodo на 90 дней. Когда будет заканчиваться — можно выпустить еще раз. Выпуск занимает обычно около 3-х минут.
URL:
Спасибо за наводку, тоже вполне себе вариант, да и, как я понимаю, заморочек для пользователей в виде установки корневого сертификата в браузер вообще никаких нету, что есть плюс несомненно...
[...] сомнения предложенный Xelon'ом бесплатный сертификат от Comodo избавляет посетителей [...]
Оставить комментарий