HostingInne

Jak wygenerować i pobrać darmowy certyfikat SSL?

Spróbowałem wczoraj podpiąć certyfikat do mojej aplikacji postawionej w chmurze Azure. Udało się. Proces ten opisałem w innym poście na blogu, choć jest on bardzo prosty. Tutaj za to skupię się na szybkim generowaniu darmowego certyfikatu SSL, bez konieczności robienia tego na serwerze (tak, myślę tutaj bezpośrednio o Let’s Encrypt – też pojawi się wpis!). Wykorzystam w tym celu możliwości webowej usługi ZeroSSL

Generator certyfikatu SSL

Zamiast opisywanej wersji webowej możesz użyć wersji lokalnej.

Uruchamianie kreatora

Wejdź na stronę ZeroSSL, na której znajdziesz kreator certyfikatu.

Kreator generowania certyfikatu SSL
Kreator generowania certyfikatu SSL
  1. Wpisz adres e-mail. Jest to opcjonalne, lecz dzięki temu otrzymywał będziesz powiadomienia (np. o wygasaniu certyfikatu),
  2. Wklej klucz z Lets’ Encrypt lub zostaw pole puste, aby system wygenerował nowy,
  3. Podaj domenę, którą objąć chcesz certyfikatem (jeśli nie masz jeszcze CSR),
  4. Wklej swój CSR lub zostaw pole puste, aby system wygenerował nowy,
  5. Wybierz rodzaj weryfikacji:
    • HTTP – jeśli chcesz zweryfikować stronę, umieszczając na niej odpowiedni plik,
    • DNS – jeśli chcesz zweryfikować stronę, umieszczając odpowiedni wpis w tablicy DNS (opisuję ten drugi przykład!),
  6. Zaakceptuj warunki (oczywiście po zapoznaniu się z nimi ;-)).

Po kliknięciu przycisku NEXT, zostaniesz zapytany, czy obejmować zasięgiem certyfikatu również subdomenę www. W moim przypadku zrezygnowałem z tej opcji, gdyś jej zwyczajnie nie używam.

SSL na subdomenę www
SSL na subdomenę www

Pobieranie CSR

Zostanie wygenerowany CSR. Kiedy to nastąpi, najlepiej jest pobrać go i zachować.

Zachowaj CSR
Zachowaj CSR

Ponownie kliknij NEXT.

Pobieranie klucza Lets’ Encrypt

Tym razem system wygeneruje klucz RSA od Let’s Encrypt, przydatny (jak również CSR) przy przedłużaniu certyfikatu SSL. Pobierz go i zachowaj.

Zachowaj klucz Let's Encrypt
Zachowaj klucz RSA od Let’s Encrypt

Kliknij znowu na NEXT.

Potwierdzanie domeny

Teraz musisz potwierdzić, że zarządzasz domeną, dla której generujesz certyfikat. Jeśli wybrałeś potwierdzenie HTTP, zostaniesz poproszony o umieszczenie specjalnie wygenerowanego pliku na serwerze. Jeśli wybrałeś opcję z DNS, powinieneś ustawić odpowiedni nagłówek TXT. Będzie on podobny do poniższego.

Ustawianie nagłówka TXT
Ustawianie nagłówka TXT

Po raz kolejny przejdź dalej.

Pobieranie certyfikatu

Jeśli poprawnie ustawiłeś strefę DNS, certyfikat został pomyślnie wygenerowany.

Pomyślnie wygenerowany certyfikat SSL
Pomyślnie wygenerowany certyfikat SSL

Pobierz certyfikat i klucz prywatny na dysk, zachowaj je w bezpiecznym miejscu!

Działanie w praktyce

Testowałem w praktyce, wszystko gra!

Certyfikat SSL w praktyce
Certyfikat SSL w praktyce

Podsumowanie

Wystarczy, że wgrasz certyfikat na swój serwer. Jeśli nie wiesz jak to zrobić, zapytaj o pomoc swojego dostawcy hostingu.

Minusy? Są, owszem. Korzystając z ZeroSSL generujesz certyfikat na 90 dni. To mało. Ponowne generowanie SSLa wiąże się z powtórzeniem powyższej akcji. Często jednak 90 dni wystarcza, aby przekonać się o słuszności istnienia swojej aplikacji, więc jeśli będzie to dla Ciebie uciążliwe, później zamienisz to na inną, automatyczną formę odnawiania – płatną lub darmową (albo, o zgrozo, wyłączysz aplikację :-)).

Drugą bolączką jest korzystanie z pośrednika. Istnieje ułamek szansy, że jednak ktoś ma dostęp do certyfikatu i klucza prywatnego. Należy na to zwrócić uwagę.

Jednak na start, dla szybkiego prototypu lub małej aplikacji to w zupełności wystarczy.

Miłego i bezpiecznego korzystania z SSL.

Tagi:Daj Się Poznać 2017darmowy certyfikathttpsSSLzerossl

komentarze 2

  • Awatar
    Krylan

    30 maja 2017 22:25

    Ogromne dzięki za tę stronę. Już kiedyś próbowałem skorzystać z Let’s Encrypt, ale od strony dostawcy hostingu nie było łatwo, a ten Certbot i jego obsługa chyba mnie wtedy przerosła. A przez narastającą niechęć Chrome’a do stron bez SSL i coraz bardziej potrzebnych korzyści płynących z posiadania takiego certyfikatu, dobrze, że coś takiego się znalazło. Chwila moment i udało mi się wszystko zrobić.

    Odpowiedz
    • Awatar
      Michał Kortas

      30 maja 2017 22:33

      Cieszę się :) Często to dostawca hostingu jest największą blokadą w tym przypadku (LE).

      Odpowiedz

Zostaw odpowiedź