Как получить самописный ssl сертификат?

Question

[therealvetalhidden]

Помню давно с генерировал самописный ssl сертификат с помощью какого то сайта, теперь его не могу найти, не подскажите такого рода сайт где можно ввести домен и остальную инфу и получить самописный ssl сертификат?

Comments

[Борис Беньковский]

не самописный, а самоподписанный

Answer 1

[Николай Корабельников]

Используйте openssl и жизнь станет проще:
openssl req -x509 -newkey rsa:2048 -keyout privkey.pem -out cert.pem -days 1095 -nodes
privkey.pem - закрытый ключ
cert.pem - сертификат

Comments

[therealvetalhidden]

Николай Корабельников: спасибо буду пробовать) Может сможешь чем то помочь тут - Нужно настроить apache?

[Николай Корабельников]

therealvetalhidden: Что видите, если открыть текстовым редактором cert.crt? Должен быть файл, который начинается с
-----BEGIN CERTIFICATE-----
И заканчивается строкой
-----END CERTIFICATE-----

Аналогично для cert.pem. Что видите при открытии файла?
Должно быть:
-----BEGIN PRIVATE KEY-----
.......
-----END PRIVATE KEY-----

[therealvetalhidden]

Николай Корабельников: у меня так:
cert.crt
-----BEGIN CERTIFICATE REQUEST-----
.......
-----END CERTIFICATE REQUEST-----

cert.pem
-----BEGIN PRIVATE KEY-----
.......
-----END PRIVATE KEY-----

[Николай Корабельников]

cert.crt - это не тот файл. Это файл запроса, а должен быть сертификат. Посмотрите внимательно, какие файлы у вас есть. Наверняка вы скачали и сертификат, но вместо него залили на денвер не тот файл.

[Николай Корабельников]

Попробую подробнее:
1. Ваш файл cert.crt
-----BEGIN CERTIFICATE REQUEST-----
.......
-----END CERTIFICATE REQUEST-----
представляет собой CSR (Certificate Signing Request). На основании этого запроса создается сертификат.
2. Сам сертификат должен иметь вид
-----BEGIN CERTIFICATE-----
.......
-----END CERTIFICATE-----

[therealvetalhidden]

Николай Корабельников: вот мне тоже кажется что я что то на косячил, смотрите, хочу сразу сказать что я в этом плохо разбираюсь но распишу что я сделал:

1) зашел на сайт https://sslcertificate.ru/online-csr-generator
2) Ввел инфу
Доменное имя - mysite.com
Организация - Mycom, Inc - левое название, не знаю что вводить
Отдел - IT
Город - Moscow - хотя я не из Moscow
Область/Штат - Moscowscaya - хотя я не из Moscowscaya
Страна: - RU Россия
Email: admin@mysite.com - тоже левый мыло
Нажал- Сгенерировать CSR
Нажал - Сохранить как - сохранил в /usr/local/apache/conf/cert/
3) В httpd-vhosts прописал

SSLEngine on
SSLCertificateFile "W:/usr/local/apache/conf/cert/cert.csr"
SSLCertificateKeyFile "W:/usr/local/apache/conf/cert/cert.pem"

После этого сайт у меня по https запустился но! в firefox отображается щит - https://support.mozilla.org/ru/kb/kak-nebezopasnyj...

Я так понимаю что то с сертификатами не так, потому что должно без щита быть если все ок)

[Николай Корабельников]

Сервис, который вы используете не создает сертификаты. Если почитаете внимательно, то увидите, что он только
"поможет вам сформировать запрос на выпуск SSL сертификата"
Вот запрос на выпуск сертификата вы и приняли за сам сертификат. Сертификата у вас нет.

Рекомендую поставить openssl и создать сертификат и ключи командой, которую я указал в ответе. Это не сложно.
openssl для windows:
slproweb.com/download/Win32OpenSSL-1_0_1L.exe

[therealvetalhidden]

Николай Корабельников: спасибо, Вы мне очень помогаете, надеюсь у меня получится и я Вас обязательно отблагодарю)
смотрите, в /usr/local/apache/conf/cert/ у меня в самом начале хранилось 3 денверских файла
1) privkey.pem
2) server
3) server.csr

Когда я открываю server то там

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

наверно это вы и имели виду, он выглядит как сертификат какой то
только как я понимаю они не подойдут для нормальной работы для mysite.com ?
надо создать все специально для mysite.com ?
И что мне нужно дописать или написать в конфиге, какие файлы (1, 2, 3)?

[Николай Корабельников]

только как я понимаю они не подойдут для нормальной работы для mysite.com ?
Смотря что вы делаете. В принципе вы можете игнорировать сообщения о несоответствии сертификата домену и добавить исключение безопасности. Тогда не важно какое значение в поле CN сертификата.
Если вы создадите "правильный" сертификат с CN=mysite.com, но этот сертификат будет самоподписанный, то вы все равно будете получать сообщения браузера об ошибке. Ведь браузер не доверяет самоподписанным сертификатам.

надо создать все специально для mysite.com ?
В принципе да, но технически SSL/TLS будет работать и с сертификатами, выпущенными не для этого домена. (см. выше)

И что мне нужно дописать или написать в конфиге, какие файлы (1, 2, 3)?
В конфиге у вас должны быть фалы 1 и 2. Файл 3 для апача не нужен.

[therealvetalhidden]

Николай Корабельников: Мне нужно что бы я например открывал mysite.com в firefoxe мне браузер говорит что не доверяет, я его добавляю в исключения и после этого у меня иконка закрытого замка, и нету знака щита - https://support.mozilla.org/ru/kb/kak-nebezopasnyj...
а сейчас у меня, я добавил сайт в исключение и у меня и замок и щит( что мне делать?
и киньте свой вебмани)

[therealvetalhidden]

Николай Корабельников: И вообще, я правильно понимаю что если я сделаю все правильно то при загрузке сайта будет только замочек и не будет щита?)

[Николай Корабельников]

Да, после того, как вы добавите сайт в исключения все будет ок.
Вот например я сгенерировал ключ и сертификат для mysite.com.
можете просто записать их в ваши файлы SSLCertificateKeyFile и SSLCertificateFile соответственно. Только не надо так делать в продакшене. Всегда создавайте свои ключи сами. Иначе тот, кто имеет доступ к вашему закрытому ключу (например тот же сайт, на который вы ссылались) может скомпрометировать ваш ресурс.

-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDL/f0h6SS6cPG8
uo8uY/c/wMNWFMSyx8Otb/VGLspWGEHGq0KZyNBjIW3oKw9SRYij/bkAKZplRXVk
0sZmKNy6QdAIGOeE0Ae3N/KuLU05eqWgQHUo6K5QPIJwTNBfeM8UIByoEj08icqR
ONHf4nkDeF8no/NxApsW0GstMmtwQjnpqma/wK0Qz9dgJHn0NagGy91tI238TGDl
1I13gPQd7JVIHbkD0mZArFQKZn3X3ASydqMVNKVjEROjV0KOp4RfeL/Yt2kw8Dm1
TTBhiJfFkJrkXZRVebFJLCOBUQBz9LHRPug5+ue41DlIywNda1ghfL+THD90Rhxw
Krtu/hd/AgMBAAECggEAbcKxNFDdSVBCUhlTt1NkkzImKKguGkAwgp7OK8A7cM3G
fp5hzJtnvR8coyKgMNVnK033ACZihAE2pFRhGlD8S1/kDqdP03+X1zbMZnnLppTe
j3Z/U863FEcqrEA4klZPnfWVVb3So0NE8pTPIJccJAjdsleeQn1zc3gbYwtREeoq
fo6b9q74g5/hj1OU91tNLo3+pB4/EVJDf7VUem6haLAl62onNrOaGs3wjHKUo2C3
wcXgcRxErIXeiGm8ZeiTW69rk72cWyETvIY6AiyFx1RGOpbHcpuDQ2wuS/RsivFP
gWb+F8duCn/Ne9wIVqp8buZeaadYi7r1FVcNuLh2UQKBgQDqKLndRfMed2LQWNIK
6p/WPxYFHg5rqLvLWDODv0e98MhYffoia1wilXqNGWP3eNQIoLGLtb2r3lgETUew
D3qoMtFF9al26W2ZiB/fxs30dXLhhNrOfc7b5vjrU8kU3hGQ/aAtL4GAFL0569yc
NNugyJ1Dtj+GD8Cu6GrrYh6YSQKBgQDfBO76ynWGKMB/oDQmuUL3q3Joae/HonYO
9T3AozpAPGtT3xjrTZ2OL9vGlxUlPlhkebA5qwEfKWQ45Wb+zq1A93iTiqp1U6GA
l56XhZeUvmX55+Y+1JMwg/gZJDnaTCL7SeRa6puDK595Lw2iBcYmIpnELx3i2F5O
drWteyeBhwKBgQCMw0DAQP2esfwn7U0PHO5LGA9/sgrPM1b5LaOCLqnNCAMYF1sX
99wiOiO60KmkqfEk4pz4tJ85w2a7500SDKwakrn1SXG/NyIYqpkmp9dFfpk58uiq
OzzwOtAmf26g6cI7nAv/PdCmk1ERkbVD/g6NgCvx+YwEZlHZk4Q6zfhAaQKBgHBK
ZaG06vO/9RzNpzSQN13I33QfUvHrpRHm/U7PYPcS9N9oB34CuH/tLPWTALyd5ZfB
ha+joI72IlZbez51BdseP4HaYfVtRHYg4WNdinMEYwgvcUjVc78L05GlIdP+Xea0
z9vPILos7sDvpiecTKbK6S1Uo/GiC+np75QH3F5lAoGBAIsjihigMtrxHGx7PeaZ
4nraSYU/cWoI2P+fyNUYuj5EzuZtDwkNsSrDDHat5k+hSjbKVuJi1jUFMUq40YSr
TTtPLwwjU1B4J6O7jBFeiYw0fGxN1Z1KD4MULO5PO/ObOPJfEv1eCRc808M3YMse
U7wkFNSVpt7Ll4d6v/NEORyb
-----END PRIVATE KEY-----

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

[therealvetalhidden]

Николай Корабельников: короче тестил тестил, и методом исключением закомментировал кусок кода, ссылку на сторонний js, и щит пропал) думаю пока так будет, потому что уже нет сил разбираться, в будущем может вернусь к этому, так получается и с стандартными сертификатами все норм) только не могу понять че именно из-за этого куска кода был щит:

На моем сайте много сторонних скриптов и подобного кода, но почему то именно из-за него был щит)
А Вам огромное спасибо, без Вас я бы не решил эту проблему, очень сильно помогли) Если есть вебмани кошелек, кидайте, я Вас не много отблагодарю)

[Николай Корабельников]

Вероятно, этот скрипт подгружает что-то по http с другого ресурса.

По поводу благодарности: "спасибо" достаточно. Рад помочь. Надеюсь, вы немного разобрались в сути сертификатов/запросов/ключей. Удачи!

[therealvetalhidden]

Николай Корабельников: да вроде так и есть) да, разобрался не много, еще раз большое спасибо )

Answer 2

[Борис Беньковский]

Вводим в гугл How to create a self-signed Certificate

Comments

[therealvetalhidden]

Борис Беньковский: смотрите, мне надо настроить ssl на denwere, что бы работал https://mysite.com. https://sslcertificate.ru/online-csr-generator - ввел домен итд инфу и сгенерировал сертификат и приватный ключ, кинул эти 2 фала в папку, в файле .htaccess прописал:

SSLEngine on
SSLCertificateFile W:/usr/local/apache/conf/cert/csr
SSLCertificateKeyFile W:/usr/local/apache/conf/cert/rsa

перезагрузил сервер, и ошибка 500. Я уже не знаю что и делать, может что то подскажите?

[therealvetalhidden]

<VirtualHost mysite.com:443>
	  SSLEngine on
	  SSLCertificateFile W:/usr/local/apache/conf/cert/csr
	  SSLCertificateKeyFile W:/usr/local/apache/conf/cert/rsa
</VirtualHost>

Answer 3

[retaliation]

можно на 3 месяца получить полностью рабочий на всем от Comodo
freessl.su