Чем еще отличаются сертификаты между собой
Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен
На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL Free
Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback
Как получить такой сертификат?
Вариантов и инструкций в Интернете достаточно много. В том числе у нас на вики в статье «».
В следующих разделах — краткие инструкции по самым популярным сервисам:
Lets’ Encrypt и certbot
Потребуется установить программу certbot. Под *nix- системами это сделать проще, но под Windows тоже не потребуется сверхъестественных усилий.
Инструкции могут сильно отличаться от версии операционной системы, одной страницей тут не обойтись, лучше подобрать подходящий для вашей среды вариант в Интернете. Да и задача этой инструкции в другом: дать общее представление о полных цепочках и объяснить, что делать со сгенерированными файлами, чтобы их получить.
Предположим, что certbot у вас установлен. Что дальше? Запускаем несколько консольных команд.
Зарегистрироваться:
certbot register -m emailадминистратора@вашдомен.com
Сгенерировать сертификат:
certbot certonly --webroot -w /var/www/папкасервера -d вашдомен.com -d www.вашдомен.com
Если опасаетесь, что что-то не так и хотите сначала потренироваться, добавьте опцию —dry-run (режим эмуляции для отладки ошибок)
certbot certonly --dry-run --webroot -w /var/www/папкасервера -d вашдомен.com -d www.вашдомен.com
После успешной генерации сертификата у вас появятся 4 файла (их расположение также сильно зависит от вашей операционной системы):
- cert.pem (конечный сертификат),
- chain.pem (цепочка доверия от корневого сертификата, не включающая конечный),
- fullchain.pem (нужная нам полная цепочка, включая конечный сертификат, по сути это сложение cert.pem + chain.pem),
- privkey.pem (ваш приватный ключ, который никому нельзя ни показывать, ни отсылать).
Для веб-сервера необходимы два из них: fullchain.pem и privkey.pem.
Ещё несколько полезных команд certbot
Проверка и обновление сертификатов (полезно поставить запуск этой команды по расписанию):
certbot -q renew
Для проверки и обновления также есть тестовый режим (чтобы убедиться. что ваши домены будут обновляться):
certbot renew --dry-run
Добавление новых доменов и поддоменов к сертификату:
certbot certonly --webroot -w /var/www/папкасервера --expand -d вашдомен.com -d test.вашдомен.com -d www.вашдомен.ru
Изменение адреса администратора:
certbot register --update-registration -m newemail@вашдомен.ru
SSL For Free
Получить сертификат через онлайн-сервис намного быстрее и проще, ничего устанавливать не нужно:
- Выбор настроек (обычно ничего трогать не нужно, просто жмите «Next Step»)
- Подтверждение прав на домен, для которого получаете сертификат, любым из способов:
- на почту его владельца (список готовый, посторонний адрес вписать не получится) — вам должен быть доступен один из перечисленных email.
- изменением полей DNS (CNAME) — для новичков этот способ самый запутанный, но не требует доступности почты и http.
- скачиванием подтверждающего файла и размещением его в подпапке сайта — к домену должен быть http-доступ из Интернета в момент проверки.
- После подтверждения останется выбрать формат: предлагается список шаблонов (Default, Tomcat, AWS, cPanel, Google App, Heroku. nginx, Plesk, итд) — но во всех случаях, кажется, скачивается идентичный архив.
Сертификат готов, но… сервис SSL For Free создаёт три файла:
- ca_bundle.crt (цепочка, исключая конечный сертификат)
- certificate.crt (сам конечный сертификат)
- private.key (ваш приватный ключ, который никому нельзя ни показывать, ни отсылать).
Поэтому fullchain мы склеим вручную из двух первых файлов (сначала certificate.crt, затем ca_bundle.crt), и назовём его fullchain.crt (имена на самом деле могут быть любыми, но принято — и нужно — использовать «говорящие» названия: fullchain.crt/fullchain.pem, или domain.ca-bundle)
Сделать это можно как консольными командами, так и в обычном Блокноте Windows. Пример консольной команды:
cat domain.crt Intermediate1.crt Intermediate2.crt <все промежуточные что есть через пробел> CARoot.crt > fullchain.crt
(предполагается, что «domain.crt» — конечный сертификат домена, затем по восходящей перечислены все промежуточные файлы — их может быть один или несколько — и в самом конце корневой сертификат).
Серверу отдаём, соответственно, fullchain.crt и private.key.
Немного паранойи
Не забывайте, что онлайн-способы генерации не должны применяться для чувствительных данных! Ведь если ваш приватный ключ создан сторонним сервисом, ему известен ваш приватный ключ! А значит, теоретически он уже попал в чужие руки. В этом случае стоит всё же приложить чуть больше усилий и сгенерировать все сертификаты и ключ локально.
Шифрование: Учебные ресурсы
Чтобы узнать больше о симметричном шифровании, просмотрите следующие ресурсы:
Симметричное шифрование — алгоритм, анализ и применение
В этой книге, предназначенной для аспирантов, исследователей и практикующих специалистов, описаны различные методы симметричного шифрования, которые имеют большое значение для безопасности данных и компьютерных систем. Книга начинается с вводных определений, которые читатель встретит в симметричном шифровании, а затем рассматриваются и анализируются различные методы симметричного шифрования и их использование. Книга, в которой приведено множество примеров, помогающих разобрать и проиллюстрировать сложные концепции, является хорошим чтением для всех, кто хочет поднять свои знания о симметричном шифровании на новый уровень.
Алгоритмы симметричных ключей
Эта книга — отличное чтение для новичков, желающих в доступной форме узнать о различных алгоритмах симметричного шифрования. В книге рассматривается вся лексика, используемая в криптографии, и приводятся примеры, дополняющие объяснение концепций. Затем в книге разбираются составные части симметричного шифрования с иллюстрациями и краткими, простыми для понимания объяснениями. Эта книга настоятельно рекомендуется читателям, заинтересованным в широком изучении криптографии и шифрования без глубокого погружения в сложные концепции предмета.
Криптография: Изучите все алгоритмы шифрования
Этот курс Udemy — хороший выбор для тех, кто заинтересован в изучении криптографии, в частности симметричного и асимметричного шифрования. Курс предлагает краткое введение в шифрование и знакомит учащихся со всеми терминами, с которыми они могут столкнуться при изучении шифрования. Затем изучаются различные типы атак на зашифрованные данные и рассматриваются методы криптографии, которые могут быть применены для предотвращения атак. После этого преподаватель предлагает углубленное изучение шифров и рассказывает о различных типах шифров, используемых для шифрования.
Шифрование и криптография для профессионалов
Для всех, кто заинтересован в том, чтобы окунуться в шифрование и криптографию, этот курс Udemy — лучший вариант за ваши деньги. Курс предполагает, что учащиеся совершенно не знакомы с криптографией и шифрованием, поэтому он начинается с введения в криптографию, теории информации и строительных блоков шифрования.
Затем он переходит к промежуточным темам и охватывает алгоритмы симметричного и асимметричного шифрования, хэш-функции и алгоритмы. В книгу также включены более продвинутые концепции, такие как постквантовая криптография, кольцевые подписи, безопасные многосторонние вычисления и доказательства с нулевым знанием.
Ответ 1
SSL появился достаточно давно и существуют определенные форматы контейнеров. Их слишком много, как это обычно бывает. Итак, вот что я знаю, и я уверен, что другие подтвердят мое мнение.
.csr — Это запрос на подписание сертификата. Некоторые приложения могут генерировать их для отправки в центры сертификации. Фактический формат — PKCS10, который определен в RFC 2986. Он включает некоторые/все ключевые детали запрашиваемого сертификата, такие как субъект, организация, штат и т.д., а также открытый ключ сертификата, который должен быть подписан. Сначала его необходимо подписать в центре сертификации. Возвращенный сертификат — это открытый сертификат (который включает открытый ключ, но не закрытый ключ), который сам может быть в нескольких форматах.
.pem — определенный в RFC с 1421 по 1424, это контейнерный формат, который может включать только открытый сертификат (как, например, при установке Apache и файлов сертификатов CA /etc/ssl/certs), или может включать всю цепочку сертификатов, включая открытый ключ, закрытый ключ и корневые сертификаты. Настораживает то, что он также может быть закодирован в CSR, Поскольку формат PKCS10 может быть переведен в PEM. Название происходит от Privacy Enhanced Mail (PEM), неудачного метода для безопасной электронной почты. Но формат контейнера, который он использовал, продолжает жить и является переводом x509 ASN.1 ключей в base64.
.key — Это файл в формате PEM, содержащий только закрытый ключ конкретного сертификата, и это просто условное, а не стандартизированное название. В установках Apache он часто находится в каталоге /etc/ssl/private. Права на эти файлы очень важны, и некоторые программы откажутся загружать эти сертификаты, если они установлены неправильно.
.pkcs12 .pfx .p12 — Первоначально определенный RSA в Стандартах криптографии открытых ключей (сокращенно PKCS), вариант «12» был первоначально усовершенствован Microsoft, а затем представлен как RFC 7292. Это формат контейнера с паролем, который содержит пары публичных и приватных сертификатов. В отличие от файлов .pem, этот контейнер полностью зашифрован. OpenSSL может превратить его в файл .pem с открытым и закрытым ключами:
openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem –nodes
Есть также, несколько других форматов, которые попадаются, время от времени:
.der — способ кодирования синтаксиса ASN.1 в двоичном формате, файл .pem — это просто файл .der, закодированный в Base64. OpenSSL может конвертировать их в .pem (openssl x509 -inform der -in to-convert.der -out converted.pem). Windows воспринимает их как файлы сертификатов. По умолчанию Windows, экспортирует сертификаты как файлы в формате .DER с другим расширением..
.cert .cer .crt — файлы в формате .pem (или редко .der), но с другим расширением, которые распознаются проводником Windows как сертификат, а .pem таковым не является.
.p7b .keystore — Определенный в RFC 2315 как PKCS номер 7, это формат, используемый Windows для обмена сертификатами. Java воспринимает их как нативные, и часто использует .keystore в качестве расширения. В отличие от сертификатов в стиле .pem, этот формат имеет определенный способ включения сертификатов сертификационного пути.
.crl — список отзыва сертификатов. Центры сертификации выпускают их как способ деавторизации сертификатов по истечению срока действия. Иногда их можно загрузить с веб-сайтов центров сертификации.
В целом, существует четыре различных способа представления сертификатов и их компонентов:
- PEM — регулируется RFC, используется преимущественно в программах с открытым исходным кодом. Он может иметь различные расширения (.pem, .key, .cer, .cert и т.д.).
- PKCS7 — Открытый стандарт, используемый Java и поддерживаемый Windows. Не содержит закрытый ключ.
- PKCS12 — закрытый стандарт Microsoft, который позже был определен в RFC и обеспечивает повышенную безопасность по сравнению с обычным текстовым форматом PEM. Он может содержать закрытый ключ. Он используется преимущественно в системах Windows и может быть свободно преобразован в формат PEM с помощью OpenSSL.
- DER — родительский формат PEM. Полезно рассматривать его как двоичную версию файла PEM с кодировкой base64. Редко используется за пределами Windows.
CER vs. CRT – What’s the Technical Difference & How to Convert Them
An Insight Into the Difference Between SSL/TLS Certificate File Difference
But when it comes to SSL/TLS certificate along with which one to purchase, there are many other questions, and one among them is different file formats. Yes, you bought the certificate. Now, what. What to do with different file formats that you often come across.
Don’t worry if you’ve ever come across various file formats of SSL/TLS certificates such as CER, CRT, P7S, P7B, PEM, PFX, and P12. If you’re the first-timer, you won’t be able to understand how come these file formats be helpful to you, how you’ll be able to use every single one of it. You might be thinking, does it even make sense, you want to install one certificate, and all you’re getting is these many files.
Usually, to the first-timers, it happens most of the time. They often get confused about what all these are and what to do about it. And, I can bet on it, you also might be having such questions if you’ve encountered any of the files like we’re going to discuss here, CER and CRT. If you’re among those who landed on this article to know the difference between CER and CRT, then yes, you’re at the right place, we’re going to discuss just that.
CER vs. CRT – How They Differ From Each Other
Also, these extensions are used for SSL/TLS certificates, and each is recorded in ASCII PEM or Binary DER formats. CER & CRT both extensions are commonly used among the Unix operating systems.
Format of X.509 Certificate Filename Extensions
- .der, .cer and .crt – It’s generally in Binary DER format, and Base64-encoded certificates are also quite common among them like below one.
- .pem – It’s an abbreviation of (Privacy-enhanced Electronic Mail) Base64 encoded DER certificate is enclosed between the lines “—–BEGIN CERTIFICATE—–” and “—–END CERTIFICATE—–“
- .p7c and .p7b – PKCS#7 SignedData structure without data. In other words, simply certificate(s) or CRL(s).
- .p12 – a PKCS#12 file format that may contain the certificate(s) along with public or private keys. Its password protected.
- .pfx – PFX is the file format that came before PKCS#12. It usually comes with the data in PKCS#12 format, for example, PFX files generated within IIS.
Here’s Why You Must Know How to Convert a Certificate to Another Format
You might be questioning, as mentioned earlier, aren’t they all X.509 certificates. Well, yes. But, the X.509 certificate is one type of digital certificate that makes use of the PKI standard (X.509 v3) for validating that the server is the rightful owner of that associated public key. When you see extensions such as:
- .der
- .pem
- .cer
- .crt
- .pfx
- .pkcs7
- .p7b
- .pkcs8
- .pkcs12
- .p12
Also, the most common way of encoding standards is ASCII (American Standard Code for Information Interchange), which is used as an encoding system for files containing text.
Here’s Some of the Used Encoded Style
.der – It’s a binary encoding format, which is viewed as certificate files by Windows. It exports certificates as .der format files along with an extension like .cer or .crt encoding format. It’s viewed as certificate files by Windows, and it exports as .der formatted files along with an extension like .cer or .crt.
.pem – It’s quite amusing to see that PEM couldn’t keep up with the function for which it was designed for. However, it proves helpful as a container format. PEM files are Base64 encoded DER files.
If you’re not able to get it, let’s dig it a little further. A DER file is one type of X.509 digital certificate that encodes binary numbers – 1’s and 0’s. And, Base64 is an encoding scheme of binary-to-text. And PEM file is also a Base64 encoded DER file, which is the same as the X.509 certificate, but its encoded in text and represented as ASCII.
Furthermore, these DER files are not often used outside of Windows. But again, another PEM is a type of container which is for anything, including a digital certificate itself. Also, the entire certificate chain and the keypair. However, .PEM extensions are not recognized all the time by browsers, so many times, you get to see another extension affixed to the end of a PEM or DER files, which are .crt, .cert and .cer.
So, whenever anyone talks about converting that certificate to the correct format, it usually means encoding it or the way of presenting.
История
На раннем этапе развития криптографии две стороны полагались на ключ, которым они обменивались с помощью безопасного, но не криптографического метода, такого как личная встреча или доверенный курьер. Этот ключ, который обе стороны должны хранить в абсолютном секрете, затем может быть использован для обмена зашифрованными сообщениями. При таком подходе к распределению ключей возникает ряд существенных практических трудностей .
Предвкушение
В своей книге 1874 г. Принципы науки , Уильям Стэнли Джевонс писал:
Здесь он описал связь односторонних функций с криптографией и продолжил обсуждение конкретно проблемы факторизации, используемой для создания функции лазейки . В июле 1996 года математик Соломон В. Голомб сказал: «Джевонс предвидел ключевую особенность алгоритма RSA для криптографии с открытым ключом, хотя он определенно не изобрел концепцию криптографии с открытым ключом».
Секретное открытие
В 1970 году Джеймс Х. Эллис , британский шифровальщик из штаб-квартиры правительства Великобритании (GCHQ), задумал возможность «несекретного шифрования» (теперь называемого криптографией с открытым ключом), но не нашел способа реализовать его. В 1973 году его коллега Клиффорд Кокс внедрил то, что стало известно как алгоритм шифрования RSA , дав практический метод «несекретного шифрования», а в 1974 году другой математик и криптограф GCHQ, Малкольм Дж. Уильямсон , разработал то, что теперь известно как Обмен ключами Диффи – Хеллмана . Схема также была передана в Агентство национальной безопасности США . Обе организации имели военную направленность, и в любом случае были доступны лишь ограниченные вычислительные мощности; потенциал криптографии с открытым ключом остался нереализованным ни одной из организаций:
Эти открытия не были публично признаны в течение 27 лет, пока исследование не было рассекречено британским правительством в 1997 году.
Публичное открытие
В 1976 году Уитфилд Диффи и Мартин Хеллман опубликовали криптосистему с асимметричным ключом, которые под влиянием работы Ральфа Меркла по распределению открытых ключей раскрыли метод согласования открытых ключей. Этот метод обмена ключами, который использует , стал известен как обмен ключами Диффи – Хеллмана . Это был первый опубликованный практический метод установления общего секретного ключа по аутентифицированному (но не конфиденциальному) каналу связи без использования предварительного общего секрета. «Техника согласования открытых ключей» Меркла стала известна как «Пазлы Меркла» , была изобретена в 1974 году и опубликована только в 1978 году.
В 1977 году Рон Ривест , Ади Шамир и Леонард Адлеман независимо друг от друга изобрели обобщение схемы Кокса, работавших тогда в Массачусетском технологическом институте . Последние авторы опубликовали свою работу в 1978 году Мартин Гарднер «s Scientific American колонке, и алгоритм стал известен , как RSA , с их инициалами. RSA использует возведение в степень по модулю произведения двух очень больших простых чисел для шифрования и дешифрования, выполняя как шифрование с открытым ключом, так и цифровые подписи с открытым ключом. Его безопасность связана с чрезвычайной трудностью факторизации больших целых чисел , проблемой, для которой не существует известной эффективной общей техники (хотя разложение на простые множители может быть получено с помощью атак грубой силы; это тем труднее, чем больше простые множители). Описание алгоритма было опубликовано в колонке « Математические игры» в августовском выпуске журнала Scientific American за 1977 год .
С 1970-х годов было разработано большое количество разнообразных методов шифрования, цифровой подписи, согласования ключей и других методов, включая криптосистему Рабина , шифрование Эль-Гамаля , DSA и криптографию на основе эллиптических кривых .
КОНВЕРТАЦИЯ SSL СЕРТИФИКАТОВ В OPENSSL
Данные команды OpenSSL дают возможность преобразовать сертификаты и ключи в разные форматы. Для того чтобы сделать их совместимыми с определенными видами серверов, либо ПО. К примеру, Вам необходимо конвертировать обыкновенный файл PEM, который будет работать с Apache, в формат PFX (PKCS # 12) с целью применения его с Tomcat, либо IIS.
- Конвертировать PEM в DER openssl x509 -outform der -in certificate.pem -out certificate.der
- Конвертировать PEM в P7B openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
- Конвертировать PEM в PFX openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
- Конвертировать DER в PEM openssl x509 -inform der -in certificate.cer -out certificate.pem
- Конвертировать P7B в PEM openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
- Конвертировать P7B в PFX openssl pkcs7 -print_certs -in certificate.p7b -out certificate.ceropenssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer
- Конвертировать PFX в PEM openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
Поля сертификата
Со временем появились три версии сертификата. В каждой из версий добавлялись новые поля. Версия 3, которая действует в настоящий момент, содержит все поля версий 1 и 2, дополненные полями версии 3. Версия 1 определяет следующие поля:
- Version (Версия) — значение 1, 2 или 3, которое указывает используемую версию сертификата.
- Serial Number (Серийный номер) — уникальный идентификатор, который присваивается каждому сертификату ЦС.
- CA Signature Algorithm (Алгоритм подписывания ЦС) — имя алгоритма, который ЦС использует для подписывания содержимого сертификата.
- Issuer Name (Имя издателя) — различающееся имя ЦС, который выдал этот сертификат.
- Validity Period (Период действия) — период времени, в течение которого сертификат считается действительным.
- Subject Name (Имя субъекта) — имя сущности, которую представляет сертификат.
- Subject Public Key Info (Данные открытого ключа субъекта) — открытый ключ, принадлежащий субъекту сертификата.
В версии 2 добавлены следующие поля с информацией об издателе сертификата, хотя эти поля редко используются:
- Issuer Unique ID (Уникальный идентификатор издателя): уникальный идентификатор центра сертификации, который выдал сертификат. Он определяется самим центром сертификации.
- Subject Unique ID (Уникальный идентификатор субъекта) — уникальный идентификатор субъекта сертификата, который определяется ЦС, выдавшим сертификат.
В сертификатах версии 3 добавлены следующие расширения:
-
Authority Key Identifier (Идентификатор ключа центра) — может содержать одно из двух значений:
- субъект ЦС и серийный номер сертификата ЦС, который выдал сертификат;
- хэш-код открытого ключа ЦС, который выдал этот сертификат.
- Subject Key Identifier (Идентификатор ключа субъекта) — хэш-код открытого ключа сертификата.
-
Key Usage (Использование ключа) — определяет службу, для которой можно использовать сертификат. Здесь могут содержаться одно или несколько значений из следующего списка:
- Цифровая подпись
- Неотрекаемость
- Шифрование ключа
- Data Encipherment (Шифрование данных);
- Key Agreement (Согласование ключей);
- Key Cert Sign (Подпись сертификата с ключом);
- CRL Sign (Подпись списка отзыва сертификатов);
- Encipher Only (Только шифрование);
- Decipher Only (Только расшифровка).
- Private Key Usage Period (Период использования закрытого ключа) — период действия закрытого ключа из пары ключей.
- Certificate Policies (Политики сертификатов) — политики, используемые для проверки субъекта сертификата.
- Policy Mappings (Сопоставления политик) — сопоставляет политику в одной организации с политикой в другой.
- Subject Alternative Name (Альтернативное имя субъекта) — список альтернативных имен для субъекта.
- Issuer Alternative Name (Альтернативное имя издателя) — список альтернативных имен для ЦС, выдавшего сертификат.
- Subject Dir Attribute (Атрибут DIR субъекта) — атрибуты из каталога X.500 или LDAP.
- Basic Constraints (Базовые ограничения) — позволяет определить в сертификате, кому он выдан: ЦС, пользователю, компьютеру, устройству или службе. Это расширение также включает ограничение длины пути, которое ограничивает допустимое количество подчиненных ЦС в цепочке.
- Name Constraints (Ограничения имен) — определяет, какие пространства имен разрешены в сертификате, выданном ЦС.
- Policy Constraints (Ограничения политики) — позволяет запретить сопоставления политик между ЦС.
- Extended Key Usage (Расширенное использование ключа) — указывает, как можно использовать открытый ключ сертификата, кроме целей, определяемых расширением Key Usage (Использование ключа).
- CRL Distribution Points (Точки распространения списков отзыва сертификатов) — содержит один или несколько URL-адресов, в которых публикуется базовый список отзыва сертификатов.
- Inhibit anyPolicy (Запрет любой политики) — запрещает использование значения All Issuance Policies (Все политики выдачи) с идентификатором OID (2.5.29.32.0) в сертификатах подчиненного ЦС.
- Freshest CRL (Актуальный список отзыва сертификатов) — содержит один или несколько URL-адресов, в которых публикуется разностный список отзыва сертификатов ЦС, выдавшего этот сертификат.
- Authority Information Access (Доступ к информации центра) — содержит один или несколько URL-адресов, в которых публикуется сертификат ЦС, выдавшего этот сертификат.
- Subject Information Access (Доступ к сведениям о субъекте) — содержит сведения о том, как можно получить дополнительные сведения о субъекте сертификата.
Какие файлы нужны для установки SSL-сертификата
После того, как вам выпустили SSL-сертификат, его необходимо установить на сайт. Для этого понадобятся файлы сертификата и доступ на сервер. В инструкции разберёмся, где их взять.
Где взять файлы сертификатов
Для установки SSL-сертификата потребуются специальные файлы.
- Секретный ключ генерируется при создании запроса на выпуск сертификата.
- Сертификат и цепочка сертификатов высылаются на почту, которую указали в качестве технического контакта. Также они доступны в Личном кабинете FirstSSL.
Чтобы скачать файлы в Личном кабинете, перейдите в раздел Товары — SSL-сертификаты. Кликните по приобретенному сертификату и нажмите «Просмотр»:
Внизу доступны файлы: секретный ключ, сертификат, запрос на сертификат.
Для установки понадобятся первые два: секретный ключ и сертификат.
Запрос на сертификат на этапе установки не нужен — он используется для продления услуги.
Важно: автоматическое продление сертификата позволяет только своевременно запустить выпуск нового сертификата. Чтобы новый сертификат начал действовать, потребуется подтвердить выпуск и установить его на сервер вручную, заменив старый
Поэтому даже при использовании автоматического продления рекомендуем вам регулярно следить за уведомлениями: при успешном продлении на почту, указанную при заказе сертификата, придёт письмо с инструкциями.
Если вы не нашли файлы SSL-сертификата, проверьте:
- Соответствует ли ваш адрес электронной почте адресу, указанному в заявке на получение сертификата
- Одобрил ли сертификационный центр ваш запрос на получение сертификата. Сертификационный центр может отказать в выпуске сертификата, если заявка заполнена с ошибками
- Была ли отправлена заявка на получение сертификаты
- Был ли сохранён секретный (приватный) ключ
Обращайтесь в техподдержку, если у вас возникли вопросы
Секретный ключ
Секретный ключ — это файл с расширением . Иногда секретный ключ отсутствует в Личном кабинете. Это может произойти, если при создании запроса на сертификат вы выбрали настройку «Не сохранять ключ». Если у вас нет ключа, сертификат необходимо перевыпустить.
Файл с приватным ключом
Секретный ключ, открытый в текстовом редакторе, представляет собой набор символов. Они заключены между пометками — (начало ключа) и (конец ключа). Секретный ключ используется для расшифровки данных, поступающих на сервер, поэтому не передавайте его посторонним.
Сертификат
Файл «сертификат», скачанный из личного кабинета, представляет собой архив . Распакуйте его. Внутри вы найдёте ещё два файла: сертификат и цепочку сертификатов.
Сертификат — это файл с расширением . Он же является публичным ключом.
Скачанный файл секретного ключа с расширением
Внутри содержится заголовок — начало сертификата, тело сертификата и отметку — конец сертификата:
Содержимое сертификата
Цепочка сертификатов
Цепочка сертификатов — файл с расширением
Скачанный файл цепочки сертификатов с расширением
В текстовом редакторе цепочка сертификатов выглядит как набор символов. Начало и конец помечены и .
Фрагмент цепочки сертификатов
Цепочка для сертификата от сертификационного центра GlobalSign
После выпуска сертификата от GlobalSign вы получаете архив с 4 файлами ключей:
- Файл с расширением .p7b содержит сертификат и цепочку сертификата. P7B формат поддерживается такими платформами, как Microsoft Windows и Java Tomcat.
- Файл с именем домена, на который выпускался сертификат, и расширением .crt содержит в себе открытый ключ сертификата.
- Файл с именем GlobalSign Root CA.crt содержит корневой ключ цепочки сертификата.
- Файл с именем AlphaSSL CA — SHA256 — G2.crt содержит промежуточный ключ цепочки сертификата.
Для создания цепочки сертификата вам необходимо поместить в один текстовый файл корневой ключ сертификата, за ним с новой строки промежуточный ключ и дать ему название GlobalSign.ca. Сделать это вы можете, открыв файлы с ключами цепочки через любой текстовый редактор. Для копирования всего содержимого файла лучше использовать комбинации клавиш Ctrl + A далее Ctrl + C, это необходимо, чтобы не пропустить символы при копировании текста.
Что делать, когда все файлы готовы
Когда все файлы готовы, можно переходить к установке сертификата. Процесс состоит из двух основных этапов:
- Загрузка на сервер файлов сертификата, которые мы рассмотрели: секретный ключ, сертификат, цепочка сертификатов.
- Переключение сайта на работу через защищенное соединение.
Конкретные шаги зависят от панели управления хостингом или типа сервера. Вы можете уточнить детали установки у своего хостинг-провайдера или воспользоваться инструкциями по ссылкам ниже.