@Ukaliika

Как выдать сертификат SSL?

Может быть, кто-нибудь работал в центрах сертификации или просто знает, срочно для работы нужно человеку разобраться как с этим делом работать. Любая ссылка +++ в карму. Гуглили, ничего толком не нашли конкретно по выдаче
  • Вопрос задан
  • 362 просмотра
Решения вопроса 1
DevMan
@DevMan
1. раздача самоподписных сертификатов
2. раздача бесплатных сертификатов (startssl, letsencrypt)
3. стать реселлером крупняков. например, https://www.comodo.com/partners/ssl-reseller.php
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
У людей, незнакомых с X.509 выдача сертификатов ассоциируется обычно с чем-то официальным, либо с чем-то таким с формами, полями, кнопками...

А на самом деле все значительно проще.

Удостоверяющий центр (СA, Certificate Authority) - это просто обвязка для OpenSSL, так как все делается через него (или через его аналог в винде). Требуется сертификат СA, его ключ и небольшой конфиг, в котором прописывается, какие поля будут в сертификате и что они будут содержать. Сам сертификат - это просто бинарный файлик, в котором прописана некоторая информация (какая - задано в шаблоне сертификата, который формируется СA). Вся ценность сертификата, за которую платят деньги - это то, что СА гарантирует правильность этой информации. Именно поэтому для продающих сайтов так не рекомендуется брать сертификаты у разных letsencrypt - да, я могу написать на бумажке "Паспорт", но кто мне поверит?
Для выдачи сертификата собственным СА нужно прежде всего всем, кто будет использовать данные сертификаты, расставить сертификат самого СА и сделать его доверенным. Сделать это можно не всюду - например в андроиде добавление своего корневого СА приведет к появлению желтого треугольника с надписью "АААА, за Вами сделят!", а в виндофоне это просто невозможно. Если этого не сделать, то постоянно при обращении к устройству, которое использует этот сертификат будут постоянные вопли про недоверенный сертификат.

Процесс получения собственно сертификата состоит из:
- формирования запроса на сертификат (CSR, Certificate Signing Request) и ключа
- передачи CSR в CA
- формирования самого сертификата
- возврата сертификата туда, где формировали запрос.

CSR - бинарный файл, формируется он множеством различных способов - через OpenSSL, через виндовые программы, многие устройства сами формируют CSR. CSR - не сертификат, а только исходные данные для него. Одновременно с сертификатом формируется ключ сертификата, который следует хранить в тайне. Утеря ключа сертификата означает, что этим сертификатом сможет свободно пользоваться злоумышленник и никто не сможет сказать, владелец сертификата им воспользовался или нет.
Для передачи CSR в CA его обычно кодируют в base64 и в таком виде отправляют. Если текст сертификата начинается с --- BEGIN CERTIFICATE --- - это как раз оно.

CА, получив CSR, формирует сертификат и возвращает его обратно тому, кто выпустил CSR. Сертификат также кодируется в base64.

Срок действия сертификата ограничен. Для обычных сертификатов он составляет год, но ничего не мешает сделать срок как более длинным, таки более коротким. Срок действия самого сертификата СА обычно большой - 5 - 10 лет.

Изменить содержимое сертификата нельзя - поэтому при формировании CSR нужно быть очень внимательным, если конечно у Вас не корпоративный СА
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы