Jak wygenerować i pobrać darmowy certyfikat SSL?


30 maja 2017 / Michał Kortas


Spróbowałem wczoraj podpiąć certyfikat do mojej aplikacji postawionej w chmurze Azure. Udało się. Proces ten opisałem w innym poście na blogu, choć jest on bardzo prosty. Tutaj za to skupię się na szybkim generowaniu darmowego certyfikatu SSL, bez konieczności robienia tego na serwerze (tak, myślę tutaj bezpośrednio o Let’s Encrypt – też pojawi się wpis!). Wykorzystam w tym celu możliwości webowej usługi ZeroSSL

Generator certyfikatu SSL

Zamiast opisywanej wersji webowej możesz użyć wersji lokalnej.

Uruchamianie kreatora

Wejdź na stronę ZeroSSL, na której znajdziesz kreator certyfikatu.

Kreator generowania certyfikatu SSL

Kreator generowania certyfikatu SSL

  1. Wpisz adres e-mail. Jest to opcjonalne, lecz dzięki temu otrzymywał będziesz powiadomienia (np. o wygasaniu certyfikatu),
  2. Wklej klucz z Lets’ Encrypt lub zostaw pole puste, aby system wygenerował nowy,
  3. Podaj domenę, którą objąć chcesz certyfikatem (jeśli nie masz jeszcze CSR),
  4. Wklej swój CSR lub zostaw pole puste, aby system wygenerował nowy,
  5. Wybierz rodzaj weryfikacji:
    • HTTP – jeśli chcesz zweryfikować stronę, umieszczając na niej odpowiedni plik,
    • DNS – jeśli chcesz zweryfikować stronę, umieszczając odpowiedni wpis w tablicy DNS (opisuję ten drugi przykład!),
  6. Zaakceptuj warunki (oczywiście po zapoznaniu się z nimi ;-)).

Po kliknięciu przycisku NEXT, zostaniesz zapytany, czy obejmować zasięgiem certyfikatu również subdomenę www. W moim przypadku zrezygnowałem z tej opcji, gdyś jej zwyczajnie nie używam.

SSL na subdomenę www

SSL na subdomenę www

Pobieranie CSR

Zostanie wygenerowany CSR. Kiedy to nastąpi, najlepiej jest pobrać go i zachować.

Zachowaj CSR

Zachowaj CSR

Ponownie kliknij NEXT.

Pobieranie klucza Lets’ Encrypt

Tym razem system wygeneruje klucz RSA od Let’s Encrypt, przydatny (jak również CSR) przy przedłużaniu certyfikatu SSL. Pobierz go i zachowaj.

Zachowaj klucz Let's Encrypt

Zachowaj klucz RSA od Let’s Encrypt

Kliknij znowu na NEXT.

Potwierdzanie domeny

Teraz musisz potwierdzić, że zarządzasz domeną, dla której generujesz certyfikat. Jeśli wybrałeś potwierdzenie HTTP, zostaniesz poproszony o umieszczenie specjalnie wygenerowanego pliku na serwerze. Jeśli wybrałeś opcję z DNS, powinieneś ustawić odpowiedni nagłówek TXT. Będzie on podobny do poniższego.

Ustawianie nagłówka TXT

Ustawianie nagłówka TXT

Po raz kolejny przejdź dalej.

Pobieranie certyfikatu

Jeśli poprawnie ustawiłeś strefę DNS, certyfikat został pomyślnie wygenerowany.

Pomyślnie wygenerowany certyfikat SSL

Pomyślnie wygenerowany certyfikat SSL

Pobierz certyfikat i klucz prywatny na dysk, zachowaj je w bezpiecznym miejscu!

Działanie w praktyce

Testowałem w praktyce, wszystko gra!

Certyfikat SSL w praktyce

Certyfikat SSL w praktyce

Podsumowanie

Wystarczy, że wgrasz certyfikat na swój serwer. Jeśli nie wiesz jak to zrobić, zapytaj o pomoc swojego dostawcy hostingu.

Minusy? Są, owszem. Korzystając z ZeroSSL generujesz certyfikat na 90 dni. To mało. Ponowne generowanie SSLa wiąże się z powtórzeniem powyższej akcji. Często jednak 90 dni wystarcza, aby przekonać się o słuszności istnienia swojej aplikacji, więc jeśli będzie to dla Ciebie uciążliwe, później zamienisz to na inną, automatyczną formę odnawiania – płatną lub darmową (albo, o zgrozo, wyłączysz aplikację :-)).

Drugą bolączką jest korzystanie z pośrednika. Istnieje ułamek szansy, że jednak ktoś ma dostęp do certyfikatu i klucza prywatnego. Należy na to zwrócić uwagę.

Jednak na start, dla szybkiego prototypu lub małej aplikacji to w zupełności wystarczy.

Miłego i bezpiecznego korzystania z SSL.


Tagi:


10 odpowiedzi na “Jak wygenerować i pobrać darmowy certyfikat SSL?”

  1. Krylan pisze:

    Ogromne dzięki za tę stronę. Już kiedyś próbowałem skorzystać z Let’s Encrypt, ale od strony dostawcy hostingu nie było łatwo, a ten Certbot i jego obsługa chyba mnie wtedy przerosła. A przez narastającą niechęć Chrome’a do stron bez SSL i coraz bardziej potrzebnych korzyści płynących z posiadania takiego certyfikatu, dobrze, że coś takiego się znalazło. Chwila moment i udało mi się wszystko zrobić.

  2. Adrian pisze:

    Bardzo schludnie napisany poradnik, dzięki, z takim poradnikiem zainstalowanie SSL przyszło mi łatwo :)

  3. p3p pisze:

    Super opis – działa pysznie – dzięki, nie cale 5 min roboty – jeszcze raz dzięki za opis – teraz zostaje tylko zautomatyzować to jakoś

  4. Krzysztof pisze:

    Potkałem pewien problem po wgraniu plików na serwer i próbie weryfikacji otrzymuję komunikat z błędem. Wiecie co mam poprawić? Treść komunikatu:

    Invalid response from http://moja-domena.pl/.well-known/acme-challenge/HFs6RT1ULgfS8TXVICOywLfr9BzbwkW-6MDEDLMvt9k: <link rel="profile"

  5. GOLDWEB pisze:

    Na szczęście coraz więcej hostingów oferuje LE za free :)

  6. Rafał pisze:

    Witam niestety coś robię zle .Po utworzeniu katalogów well-known potem w nim acme-challenge i wkleiłem plik kontrolny na końcu.Ale wyskakuje mi błąd „some domains have failed”.
    Może problem leży w darmowym serwerze a domenie gdzie indziej.
    Mam też pytanie gdzie mam ustawić odpowiedni nagłówek TXT.Przy weryfikacji Dns.

    • Robert pisze:

      Robiłem przed chwilą generowanie i przeszło bez problemów przez 3 certyfikaty. W którym miejscu dostajesz błąd?

  7. radek pisze:

    Nie działa w ogóle ten poradnik {„status”:1,”errors”:[„Http Error”],”params”:[]}

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *