Как самому выдавать SSL сертификаты?

Question

[Максим Гречушников]

ребят. а могли бы направить меня, хочется понять, как можно не пользоваться letsencrypt, а самому уметь генерировать сертификаты

Answer 1

[SagePtr]

Центр сертификации создать и настроить. Но никто не будет верить вашим сертификатам, кроме тех компьютеров, на которых внесёте ваш корневой сертификат в список доверенных (это удобно делать в рамках предприятия, если корневой сертификат распространять через групповую политику, для внутренних ресурсов, доступных только изнутри организации, извне - никто доверять не будет).

Comments

[Максим Гречушников]

ну я понял, что центр сертификации не потянуть.
вот гляжу на https://www.reg.ru/ssl-certificate/
вроде ж решит мою задачу. но не понимаю какой именно тариф нужен.

я как регистратор и хостер могу выступать, выдавать домены. к ним хочу прикладывать ssl сертификаты

[Максим Гречушников]

или вот к ним сразу https://www.thawte.com/sell-ssl-certificates/becom...

[CityCat4]

Максим Гречушников, Это только за бабки. Thawte, Globalsign предлагают PKI с выпуском через подпись своим корневым. Но за бабки.
Иди на сайт Globalsign и там ищи услугу, я не помню, как называется, нам предлагали

Answer 2

[Владимир Коротенко]

Open SSL CA
Windows CA Role

В принципе достаточно для начала. И там и там есть куча мануалов. В принципе это даже не инженерная задача, а чисто организационная

Answer 3

[CityCat4]

Если для винды и на винде - плюсуюсь к ответу Владимир Коротенко - оснастка CA для работы вполне удобная. Не прям чтобы совсем, но работать можно, если найти софтину, которая CSR генерит.
Если для линуха - openssl ca (man ca). Создается openssl.conf, вдумчиво настраивается, потом берешь - и выпускаешь.
В лохматые времена я написал для этого набор скриптов, могу поделиться :)

Да, про доверие. Годиться они будут только для отладки, поскольку никто им верить не будет, пока не поставишь сертификат своего CA в корневые - в винде это кстати автоматом делается для компов домена.

Comments

[Владимир Коротенко]

Не только делается, но и обновляется автоматом, AD очень удобная штука.

[CityCat4]

Владимир Коротенко, А то. Прилагался бы еще к оснастке составлятель CSR - вообще бы цены не было.

[Владимир Коротенко]

CityCat4, Немного не понял в чем вопрос, вот первый гуглинг https://adamtheautomator.com/automating-iis-ssl-ce...

[CityCat4]

Владимир Коротенко, Не, не про то. Мне нужно устанавливать сертификаты в Outlook для шифрования почты. Причем, ставить их нужно на разные компы - компы меняются, не менять же при смене компа сертификат. Ставить их нужно на андроиды и ноуты с виндой, то есть мне необходимо вручную формировать CSR, куда бы я вносил нужные мне поля. Мне всегда казалось странным - ну почему же нет в оснастке формирователя CSR, который можно засунуть в веб-морду CA?
Сейчас приходится это делать на openssl, потом готовый CSR копипастом вставлять в вебморде. Криво, но другого способа засунуть вручную сформированный CSR в виндовую CA я не знаю