WEB-приложение Сведение отчетности- Получение SSL-сертификата (раздел целиком) (21.01.2025) | (одним файлом) |
Получение SSL-сертификата |
1. Протокол SSL |
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) SSL это криптографический протокол использующий протокол TCP/IP, т.е. он (SSL) находится между транспортным протоколом TCP/IP и протоколами прикладного уровня HTTP, SMTP, преобразуя их сообщения в шифрованный вид. Для работы по протоколу SSL требуется, чтобы на сервере был установлен SSL-сертификат. Безопасность соединения обеспечивается с помощью аутентификации (сертификат привязан к одному конкретному домену) и шифрования (передаваемая информация может быть расшифрована только с помощью специального ключа). Каждый сертификат содержит в себе информацию о:
SSL-cертификат подтверждает, что домен принадлежит реальной компании и что его владелец вправе пользоваться секретным ключом на законных основаниях. Выпуск SSL-сертификатов осуществляется Центрами сертификации. Существует большое количество Центров сертификации во всем мире, в том числе и в России. Однако, для того чтобы Ваш сертификат принимался во всем мире, желательно получить сертификат в большой международной организации. Наиболее известные мировые центры сертификации: В России интересы Центров сертификации представляют многие компании-регистраторы. Для примера далее рассматривается процесс получения SSL-сертификатов от Компании Thawte Products через российскую RU-CENTER. |
2. Виды сертификатов | ||||||||||||||||||||||||||||||||||||||||
Компания RU-CENTER предлагает получить SSL-сертификаты крупнейших международных Центров Сертификации. Для примера рассмотрен процесс получения сертификатов компании Thawte. Эта компания предлагает следующие виды SSL-сертификатов, наиболее востребованных в российских реалиях:
|
3. Получение SSL-сертификатов |
Процедура получения SSL-сертификата для юридического лица состоит из двух этапов:
|
3.1. Предварительная подготовка |
Перед подачей заявления на выпуск SSL-сертификата необходимо выполнить следующие условия: |
3.1.1. Пакет документов | ||
|
3.1.2. Доменное имя | ||
Для того чтобы иметь возможность получить SSL-сертификат, ваше доменное имя должно быть зарегистрировано и иметь запись в международном сервисе WHOIS. Для того чтобы узнать наличие записи о Вашем доменном имени, перейдите по ссылке whois.
|
3.1.3. IP-адрес |
Для установки и корректного функционирования SSL-сертификата обязательно наличие выделенного IP-адреса. Если у вас несколько субдоменов на одном IP вы можете воспользоваться Wildcard SSL сертификатом. |
3.1.4. Адрес электронной почты | ||
По требованию Удостоверяющего центра при заказе SSL-сертификата необходимо указать адрес электронной почты (approver email), на который будет отправлен запрос на подтверждение выпуска сертификата. E-mail получателя может принимать одно из следующих значений:
где [имя_домена] должно соответствовать полю «Common Name» (CN), указанному в CSR. В случае если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня.
|
3.1.5. Создание аккаунта RU-CENTER | ||
Для заказа любого вида SSL-сертификата, например через компанию RU-CENTER, предварительно необходимо создать аккаунт на сайте RU-CENTER.
Заходим на страницу регистрации нового аккаунта .
|
3.1.5.1. Для физического лица | ||||||||||||||||||||||||||||||||
Заполнение анкеты:
После заполнения всех необходимых полей нажать кнопку "Отправить анкету" Будет выведено сообщение об успешном заполнении анкеты. На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты. Для продолжения работы нажать кнопку "Начать работу". |
3.1.5.2. Для юридического лица | ||||||||||||||||||||||||||||||||||||
Заполнение анкеты:
После заполнения всех необходимых полей нажать кнопку "Отправить анкету" Будет выведено сообщение об успешном заполнении анкеты. На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты. Для продолжения работы нажать кнопку "Начать работу". |
3.1.5.3. Для индивидуального предпринимателя (ИП) | ||||||||||||||||||||||||||||||||||||||||
Заполнение анкеты:
После заполнения всех необходимых полей нажать кнопку "Отправить анкету" Будет выведено сообщение об успешном заполнении анкеты. На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты. Для продолжения работы нажать кнопку "Начать работу". |
3.1.6. Внесение денежных средств на личный счет |
Для того чтобы заказать SSL-сертификат через компанию RU-CENTER необходимо, чтобы перед отправкой запроса на личном счету в личном кабинете вашей компании было достаточно средств для оплаты данной услуги. Текущий баланс можно проверить в личном кабинете (Оплата - Баланс личного счета): Откроется страница внесения денежных средств: Здесь нужно ввести сумму в рублях, на которую Вы планируете пополнить баланс и нажать кнопку "Пополнить". После этого откроется страница выбора способа пополнения, на которой можно выбрать нужный вариант.
Рассмотрим процесс безналичного перевода:
|
3.2. Создание и отправка запроса |
3.2.1. Выбор типа сертификата |
Для заказа SSL-сертификата необходимо авторизоваться в личном кабинете на сайте nic.ru. Для этого в правом верхнем углу нажать "Вход" и в открывшейся странице ввести свои номер договора и пароль, полученные в процессе регистрации. При этом суффикс договора оставить "NIC-D". После ввода данных нажать кнопку "Вход" ниже. Откроется личный кабинет. В разделе "Заказать услугу" выбрать пункт "SSL-сертификат". Откроется окно выбора типа сертификата: Подробная информация о типах SSL-сертификатов: Виды сертификатовВыбрать необходимый сертификат и срок его действия, нажать "Продолжить". Откроется окно для ввода CSR-запроса. Подробно Создание CSR запроса |
3.2.2. Отправка CSR-запроса |
После того как Вы определились с видом желаемого сертификата, необходимо Создать CSR запрос и внести его в форму на странице: Заполнение поля запроса производится прямым копированием текста запроса из буфера обмена. После этого необходимо выбрать используемый Вами тип сервера из списка ниже. В случае если Вы планируете работу с Платформой "Мельница данных" - выберите пункт "Other" ("Другой"). Нажмите кнопку "Продолжить". На следующей странице: некоторые из реквизитов будут заполнены автоматически на основании данных введенных Вами ранее при создании запроса и при регистрации аккаунта. Проверьте эти данные и заполните все остальные поля достоверной информацией. Все поля заполняются латинскими символами. Название организации в поле «Organization name» должно соответствовать данным указанным в CSR, в Whois домена и в свидетельстве о регистрации юридического лица. Длина названия организации не должна превышать 64 символов. В поля формы «Данные контактного лица» необходимо вводить корректную информацию, так как Удостоверяющий центр может воспользоваться ей для запроса дополнительных сведений. Нажмите кнопку "Продолжить" после заполнения всех полей. На следующей странице Вам будет предложено проверить все введенные данные. Если данные введены верно, нажмите кнопку "Отправить заказ". Данные будут отправлены. |
3.2.2.1. Создание CSR запроса | ||||||
Для генерации CSR-запроса существует несколько путей. Наиболее защищенным вариантом (рекомендуемым) является создание такого запроса с использованием OpenSource (свободно распространяемого) программного обеспечения OpenSSL Project (http://www.openssl.org/). На сайте проекта представлены открытые исходные коды программного обеспечения для обслуживания SSL-сертификатов. Коды находятся в свободном доступе на странице Исходные коды и могут быть скомпилированы под используемую конечным пользователем Платформу. Для Платформы Microsoft Windows готовые скомпилированные файлы проекта можно найти на сайте партнера проекта Shining Light Productions . В открывшемся списке файлов на этой странице выбрать вариант используемой операционной системы Windows компьютера, на котором будет производиться генерация CSR-запроса.
После нажатия на выбранную ссылку начнется процесс скачивания файла программного обеспечения (около 16 Мб). По завершении скачивания, необходимо запустить с локального диска файл Win32OpenSSL-1_0_0g(1).exe (для 32-хбитных систем) или Win64OpenSSL-1_0_0g(1).exe (для 64-хбитных систем). Процесс установки (на примере для 32-хбитных систем): Предупреждение системы безопасности - нажать "RUN" ("Выполнить") 1-й экран установщика - нажать "Next" ("Далее") Лицензионное соглашение - ознакомиться, выбрать пункт "I accept the agreement" и нажать "Next" ("Далее"). Выбор папки для установки - выбрать путь для установки программного обеспечения на жестком диске, нажать "Next" ("Далее"). Выбор папки установки в меню "Start" ("Пуск") - выбрать наименование папки, нажать "Next" ("Далее"). Выбор месторасположения дополнительных библиотек - установить библиотеки в папку установки программного обеспечения C:\OpenSSL\bin . Оставить без изменений, нажать "Next" ("Далее"). Проверка информации - проверить введенную ранее информацию, нажать "Install" ("Установить"). Начнется процесс установки программного обеспечения (около минуты). Далее появится окно: Здесь разработчики предлагают внести посильный вклад в развитие проекта путем перечисления определенной суммы. Данное действие добровольное и, если Вы не хотите перечислять денежные средства разработчикам, просто уберите все галочки из этого окна и нажмите "Finish" ("Завершить"). Установка завершена. Для создания CSR-запроса необходима следующая последовательность действий:
На этом этап создания CSR-закончен. Можно переходить к следующему шагу Отправка CSR-запроса |
3.3. Дальнейшие действия | ||
После отправки запроса вам придет запрос от компании RU-CENTER на предоставление дополнительных документов с инструкцией. По запросу предоставьте все необходимые материалы, собранные ранее на этапе предварительной подготовки. После получения ваших документов, специалист компании RU-CENTER, направит запрос с вашими данными в центр сертификации THAWTE. Производитель SSL-сертификатов производит обязательную проверку корректности CSR и предоставленных документов, а также осуществляет контрольный звонок в организацию, получающую сертификат. Обычно эта процедура занимает от 3 до 10 рабочих дней, в зависимости от типа заказанного сертификата. Если домен, на который оформляется сертификат, не принадлежит организации-заказчику, от владельца домена понадобится письменное разрешение (шаблон будет предоставлен при необходимости).
Сертификат выпускается, как правило, в течение трех суток после завершения процедуры проверки данных. После выпуска сертификат будет доступен для загрузки в вашем личном кабинете. Для того чтобы получить SSL-сертификат необходимо в личном кабинете перейти "Услуги - SSL-сертификаты". В выведенном списке выберите ссылку получить сертификат. Откроется страница для скачивания SSL-сертификата. Также, для дальнейшей работы потребуется корневой сертификат центра сертификации. В нашем случае - это сертификат компании Thawte. Скачать его можно на сайте Thawte . На открывшейся странице выделите весь текст, скопируйте его в блокнот и сохраните на жестком диске под именем SSL_CA_Bundle.pem . |
4. Самостоятельная генерация сертификата |
|
4.1. Самостоятельная генерация сертификата на основе ГОСТ алгоритмов |
|
5. Конвертация различных форматов сертификатов в требуемый | ||
Для корректного использования сертификатов в текущем сервисе требуется, чтобы сертификаты были в формате PEM (закодированными в Base64 кодировке), аналогично формату, использующемуся в Apache. Также необходимо, чтобы сертификаты хранились каждый в своем файле, т.е.
Рассмотрим наиболее часто встречаемые форматы и способы конвертации каждого из них в PEM формат. Формат PEM. Это целевой формат, в который нужно сконвертировать свои сертификаты, в случае если они находятся в других форматах. Формат DER. Это бинарная форма PEM формата. При открытии файлов данного типа в текстовом редакторе, строки BEGIN и END отсутствуют. Конвертация из DER в PEM : openssl x509 -inform der -in c:\cert.der -out c:\cert.pem Формат PKCS#7 или P7B. Данные сертификата обычно закодированы в формате Base64, и он не может содержать приватных ключей. При открытии файлов данного типа в текстовом редакторе можно увидеть строки "BEGIN PKCS7" и "END PKCS7". Конвертация из P7B в PEM : openssl pkcs7 -print_certs -in c:\cert.p7b -out c:\cert.pem
В случае затруднения в разделении на отдельные файлы, возможно, будет проще сконвертировать полученный на предыдущем шаге PEM файл и имеющийся приватный ключ (в PEM формате) в PFX формат, который затем сконвертировать в PEM формат, с разделением на отдельные файлы: Конвертация из PEM в PFX : openssl pkcs12 -export -out c:\cert.pfx -inkey c:\cert.key.pem -in c:\cert.pem Где:
Формат PKCS#12 или PFX. Данные представлены в бинарной форме. Это файл контейнер который содержит все сертификаты - сертификат(ы) центра сертификации, сертификат домена и его приватный ключ. Конвертация из PFX в PEM :
Назначение, удаление или изменение пароля приватного ключа : openssl rsa -des3 -in c:\old_cert.key.pem -out c:\new_cert.key.pem -passin pass:old_password -passout pass:new_password Для удаления пароля не указывайте параметр passout. В случае если исходный файл без пароля, то не указывайте параметр passin. |