есть еще такой вариант http://habrahabr.ru/post/270273/
2 января 2016 г., 13:30 пользователь Oleksandr Gavenko <[email protected]> написал: > Хочу SSL/TLS сертификат на домашнюю страничку. > > Что бы пароли не светились по интернету. > > И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При > чем > что бы несведущие пользователи могли работать из существующих > распространенных > браузеров. > > Мне в общем кажется что торговря сертификатами - мыльный пузырь. За деньги > подпишут мать родную, личность никто не идентифицирует. Вроде ж достаточно > почтовый ящик или SMS на телефон и оплату совершить, что бы получить > сертификат своего ключа. По итогу спонсируешь космонавтов. > > Есть на 1 год бесплатно сколько угодно раз от: > > https://www.startssl.com/Support?v=1 > > и есть менее интересные условия от других. > > Я попробовал: > > $ sudo apt-get install letsencrypt # из testing или sid, в stable нету > пакета > $ sudo service lighttpd stop # они запустят слушателя на :80 что бы > подтвердить владение доменом > $ sudo letsencrypt certonly -d defun.work > > $ sudo su > # cat /etc/letsencrypt/archive/defun.work/privkey1.pem > /etc/letsencrypt/archive/defun.work/cert1.pem > > /etc/letsencrypt/archive/defun.work/combined.pem > > В /etc/letsencrypt/live/defun.work/ появятся файлы, обновил > /etc/lighttpd/conf-available/10-ssl.conf > > ssl.pemfile = "/etc/letsencrypt/archive/defun.work/comb.pem" > ssl.ca-file = "/etc/letsencrypt/archive/defun.work/chain1.pem" > > запустил lighttpd: > > $ sudo service lighttpd start > > С локального компа: > > bash# curl -v -o /dev/null https://defun.work > * Rebuilt URL to: https://defun.work/ > % Total % Received % Xferd Average Speed Time Time Time > Current > Dload Upload Total Spent Left > Speed > 0 0 0 0 0 0 0 0 --:--:-- --:--:-- > --:--:-- 0* Trying 149.202.132.30... > * Connected to defun.work (149.202.132.30) port 443 (#0) > * found 182 certificates in /etc/ssl/certs/ca-certificates.crt > * found 732 certificates in /etc/ssl/certs > * ALPN, offering http/1.1 > * SSL connection using TLS1.2 / ECDHE_RSA_AES_256_CBC_SHA384 > * server certificate verification OK > * server certificate status verification SKIPPED > * common name: defun.work (matched) > * server certificate expiration date OK > * server certificate activation date OK > * certificate public key: RSA > * certificate version: #3 > * subject: CN=defun.work > * start date: Fri, 01 Jan 2016 23:16:00 GMT > * expire date: Thu, 31 Mar 2016 23:16:00 GMT > * issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X1 > * compression: NULL > * ALPN, server did not agree to a protocol > 0 0 0 0 0 0 0 0 --:--:-- --:--:-- > --:--:-- 0> GET / HTTP/1.1 > > Host: defun.work > > User-Agent: curl/7.45.0 > > Accept: */* > > > < HTTP/1.1 200 OK > > Срок действия 3 месяца, продлевается также запуском утилиты > > Совсем недавно проект из закрытого тестирования перешел в бету. > > Основанием для проекта - желание бизнеса работать с зашифроваными каналами. > После Сноудена в США все повально перешли на HTTPS. > > Текущая ситуация с регистраторами - просто вымогательство денег, т.к. > регистраторы подписывают шо попало, лишь бы платил. > > Итого - не уничтожить регистраторов (free as beer), а раздавать сертификаты > для шифрования. "Сильные" сертификаты (с выяснением данных по владельцу) > все > также будут за большие деньги. Для этого в браузерах придумали отображать > сайты с такими сертификатами - большой зеленой областью в строке URL. > > Что не понравилось: > > * сделано криво, лишь бы живо > * апстрим какой то заносчивый > * для подстверждения собственности домена - требуют на сервере временно > запустить слушателя на порту 80 или 443 - прерывая свои сервисы, > подтверждение - не плохо, но че бы не на другом порту? > * для получения сертификата нужено запускать от root их поделие (для > записи в > системные каталоги и забиндить порт ниже 2000) > * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, > это > фрейворк > > Что бы Вы порекомендовали? > > -- > Best regards! > >
