Процесс валидации для SSL-сертификатов
Валидация — это процесс, во время которого центр сертификации проверяет точность и достоверность информации, которая будет указана в SSL сертификате. В зависимости от типа сертификата, валидация может занимать разное время и требовать различные документы.
Валидация домена
Проверка домена (Domain Control Validation, DCV) — самый быстрый способ получить SSL-сертификат как для бизнес-клиентов, так и для частных лиц. При проверке домена не требуется бумажных документов, звонков и прочего — все происходит он-лайн. Процесс проверки быстрый и простой: требуется получить e-mail и ответить на него либо перейти по ссылке.
Обратите внимание: валидация домена в общем случае может быть проведена только для доменов, у которых не скрыты данные в Whois. Если данные скрыты, эту опцию будет необходимо отключить на время прохождения проверки.
Обычная проверка
В рамках обычной проверки домена клиенту отправляется проверочное письмо, которое содержит уникальный проверочный код и ссылку.Переход по ссылке и введение кода подтверждают принадлежность домена клиенту.
Проверочное письмо отправляется по выбору пользователя на один из следующих стандартных адресов домена, для которого выпускается сертификат: admin@, administrator@, postmaster@, hostmaster@, webmaster@.
Альтернативная проверка (только сертификаты Comodo)
HTTP-проверка. CSR (файл запроса сертификата), который отправляется в Comodo, хешируется в уникальный код. Этот код предоставляется клиенту, после чего необходимо создать текстовый файл и разместить его в корне сайта, для которого заказывается сертификат.
DNS CNAME-проверка. CSR (файл запроса сертификата), который отправляется в Comodo, хешируется в уникальный код. Этот код необходимо добавить в DNS-зону домена как CNAME-запись для самого домена.
Альтернативная проверка (Остальные)
HTTP-проверка. CSR (файл запроса сертификата), который отправляется в центр сертификации, хешируется в уникальный код. Этот код предоставляется клиенту, после чего необходимо создать текстовый файл и разместить его в корне сайта, для которого заказывается сертификат.
Проверка компании
Проверка компании (business validation) требует прохождения проверки домена и отправки документов компании для ее идентификации. Проверка происходит вручную и занимает несколько рабочих дней. Рекомендуется для интернет-бизнеса, который официально зарегистрирован.
Шаг 1 — Проверка домена
Процесс проверки быстрый и простой — необходимо получить проверочное письмо и выполнить инструкции из него — перейти по ссылке либо ответить.
Шаг 2 — Предоставление бизнес-документов
Потребуется отправить документы компании в центр сертификации. Это можно сделать по почте, факсом или по E-mail в формате PDF. Если сертификат заказывается для коммерческой организации, потребуется предоставить один из следующих документов: Устав организации, бизнес-лицензии, номер компании в каталоге Dun & Bradstreet.
Шаг 3 — Проверка контактов
Чтобы завершить процесс валидации, центр сертификации совершает проверочный звонок в компанию. Как правило, для звонка используется контактный номер, найденный в публичных источниках.
Расширенная проверка
Расширенная проверка (extended validation) требует прохождения проверки домена и отправки документов компании для ее идентификации. Проверка происходит вручную и занимает от нескольких рабочих дней. Рекомендуется для интернет-бизнеса, который официально зарегистрирован и хочет дополнительно повысить свою репутацию в глазах посететилей сайта с помощью зеленой строки браузера.
Шаг 1 — Проверка домена
Процесс проверки быстрый и простой — необходимо получить проверочное письмо и выполнить инструкции из него — перейти по ссылке либо ответить.
Шаг 2 — Предоставление бизнес-документов
Потребуется отправить документы компании в центр сертификации. Это можно сделать по почте, факсом или по E-mail в формате PDF. Если сертификат заказывается для коммерческой организации, потребуется предоставить один из следующих документов: Устав организации, бизнес-лицензии, номер компании в каталоге Dun & Bradstreet.
Шаг 3 — Предоставление документов для расширенной проверки.
Потребуется предоставить в центр сертификации соглашение пользователя EV (EV SSL Subscriber Agreement) и форму запроса сертификата. Этот процесс занимает определенное время, но результат того стоит.
Шаг 4 — Проверка контактов
Чтобы завершить процесс валидации, центр сертификации совершает проверочный звонок в компанию. Как правило, для звонка используется контактный номер, найденный в публичных источниках.
Как проверить валидность сертификата?
Проверить валиден ли сертификат можно двумя способами:
К сведению: валидный — соответствующий требованиям, действующий, допустимый, приемлемый, правильный.
Установите корневой сертификат удостоверяющего центра АЙТИКОМ, воспользовавшись Программа для установки корневых сертификатов и обновления списков отзыва УЦ ООО «АЙТИКОМ». Методика установки корневых сертификатов смотрите в этом документе.
Откройте подписанный документ или саму электронную подпись и перейдите на вкладку «Путь сертификации». В окне «Состояние сертификата» должно быть написано «Этот сертификат действителен».
Проверьте сертификат на портале Госуслуг (потребуется открытая часть ключа, сертификат подписанта (файл с расширением .cer).
Особенности использования валидных SSL-сертификатов
SSL-сертификаты можно создавать самому, это так называемые самоподписанные сертификаты. В некоторых сферах использования разницы по сравнению с покупными нет. Примером такой сферы может быть настройка использования SSH без пароля, а с авторизацией с помощью асинхронного шифрования.
Проверяемые (валидные) сертификаты выдаются специальным поставщиком и им же верифицируются. Если установить такой сертификат для веб-сервера, то в адресной строке будет красивый зелёный замочек. Если же точно так же установить самоподписанный сертификат, то вместо входа на сайт, браузеры (по крайней мере некоторые браузеры) покажут страшные надписи о разных страшных вещах. Такой сертификат может только отпугнуть потенциальных посетителей, да и защиты никакой он не несёт, поскольку специализирующиеся по перехвату трафика программы могут генерировать на лету любое количество подобных сертификатов.
Аналогично и при отправке почты. Вот такой вид будет иметь письмо, если оно поступило без шифрования:
Вот так выглядит письмо с шифрованием:
Сейчас некоторые поставщики сертификатов предоставляют валидные сертификаты на три месяца с автоматическим проодлением совершенно бесплатно! О том, как получить их бесплатно я описывал в статье «Для чего нужны SSL-сертификаты и как получить бесплатно валидный сертификат». Самое важное то, что хостер разрешает выгружать частный ключ и все другие необходимые данные. Т.е. вы можете бесплатно получить сертификат здесь, а использовать его на любом своём сервере.
Теперь, когда мы разобрались где их брать, давайте рассмотрим, как их использовать.
Один и тот же сертификат можно использовать и для почтового сервера, и для веб-сервера!
Поскольку сертификаты нам дают бесплатно, то они являются самыми простыми, без субдоменов (точнее, с одним поддоменом www.), то это нужно учитывать при настройке postfix. Например, для домена suip.biz у меня в файле
vim /etc/postfix/main.cf
myhostname = mail.suip.biz mydomain = suip.biz
Поскольку на поддомен mail. сертификат не распространяется, то я подправил файл, чтобы получилось так:
myhostname = suip.biz mydomain = suip.biz
Функциональность почты из-за этого не изменилась.
С валидными сертификатами поставляется файл ca-bundle.crt (это корневые сертификаты CAcertificates). Поскольку для самоподписанных нет нужды их прописывать, то некоторые забывают добавить соответствующие настройки. К примеру, в файле (для настройки postfix)
vim /etc/postfix/main.cf
теперь должно быть три строки, связанные с сертификатом (добавилась информация о корневых сертификатах):
smtpd_tls_CAfile = /etc/ssl/certs/ca-bundle.crt smtpd_tls_cert_file = /etc/ssl/certs/server.crt smtpd_tls_key_file = /etc/ssl/private/server.key
При настройке dovecot также должно быть три строки:
vim /etc/dovecot/dovecot.conf
ssl_ca =И это же касается веб-сервера (виртуальных хостов):
SSLCertificateFile "/etc/ssl/certs/fullchain.crt" SSLCertificateKeyFile "/etc/ssl/private/server.key"Вы можете бесплатно получить действительный (валидный) SSL-сертификат, а также настроить автоматическое продление с помощью программы acme-tiny. Инструкция по использованию программы acme-tiny здесь.
Близкие статьи
- Решение проблемы Failed to configure CA certificate chain!, Fatal error initialising mod_ssl, exiting. (68.2%)
- Решение проблемы Unable to load dynamic library 'mcrypt.so' (tried: /usr/lib/php/modules/mcrypt.so (60.1%)
- PHP Warning: PHP Startup: imap: Unable to initialize module (РЕШЕНО). Как установить imap модуль для PHP в Arch Linux (56.7%)
- Привязка доменного имени к серверу на VDS (53.2%)
- Ошибка phpMyAdmin «Error: Undefined constant "SODIUM_CRYPTO_SECRETBOX_KEYBYTES"» (РЕШЕНО) (53.2%)
- Как установить Varnish в Arch Linux — кэширование для Apache (RANDOM - 3.2%)
Пошаговое описание процессов валидации при заказе сертификата
Все сертификаты должны проходить процесс валидации домена, используемый для подтверждения прав на владение доменным именем.
Услуги 1cloud
SSL-сертификаты от 550 руб.
- Все доверенные центры сертификации
- Большой выбор сертификатов
- Пошаговые инструкции по выпуску и установке
Существует 3 способа проверки:
Проверка с помощью электронной почты
Вы получите письмо на административный почтовый ящик для вашего домена. Письмо будет содержать уникальный код подтверждения и ссылку. Перейдя по ссылке и введя уникальный код, вы пройдете проверку.
Допустимые почтовые адреса:
- admin@
- administrator@
- webmaster@
- hostmaster@
- postmaster@
Cледующие способы проверки домена доступны только для сертификатов Comodo.
Проверка с помощью DNS-записи
CSR, который Вы предоставите будет хеширован. Вам будут предоставлены хеш-значения, далее необходимо ввести DNS CNAME запись вашего домена.
Формат записи CNAME будет выглядеть следующим образом:
- хеш SHA-256 разделен символом “.” (точка) на две метки, каждая длиной 32 символа;
- чтобы сделать запись полностью правильной, необходимо поставить точку в конце полного доменного имени;
- если вы заказываете Мультидоменные сертификаты, отдельные CNAME записи должны быть созданы для каждого полного доменного имени в вашем заказе.
- мнемоническое имя в CNAME записи для домена с www, на который заказывается сертификат, должна быть без www (т.е. если ваш домен www.example.com , то запись будет вида: _.example.com.)
| _09f7e02f1290be211da707a266f153b3.subdomain1.yourdomain.com. CNAME 3d874ab7b199418a9753111648448163.9eb1f2608f4da5aa3560154ca1b0df53.comodoca.com. |
| _9e107d9d372bb6826bd81d3542a419d6.subdomain2.yourdomain.com. CNAME 899826c9c46f25fc70ed08b5811dbb2b.ddf3e6b932e44c6a6a9dc5285057e9db.comodoca.com. |
Проверка с помощью HTTP(S)
CSR, который вы предоставите будет хеширован. Вам будут предоставлены хеш-значения, далее необходимо создать текстовый файл и поместить его в корневой каталог вашего сайта.
Файл и его содержимое должно быть следующим:
- валидация не будет совершена, если на сайте присутствуют перенаправления;
- проверьте наличие директорий /.well-known/ и /.well-known/pki-validation/ на веб-сервере;
- если вы заказываете мультидоменный сертификат, каждый защищаемый домен в сертификате должен иметь txt файл в корневом каталоге.
- для доменов с www проверка проходит по URL без www (т.е. если вы заказываете сертификат для домена www.example.com , то файл должен быть доступен по ссылке http(s)://example.com/.well-known/pki-validation/.txt)
| Имя файла | Содержимое |
| subdomain1.yourdomain.com/.well-known/pki-validation/09F7E02F1290BE211DA707A266F153B3.txt | 770423513bd0765c18e500000baec91976bcd8267a245437b32572665c6ac370 comodoca.com |
| subdomain2.yourdomain.com/.well-known/pki-validation/9E107D9D372BB6826BD81D3542A419D6.txt | 87428fc522803d31065e7bce3cf03fe475096631e5e07bbd7a0fde60c4cf25c7 comodoca.com |
Проверка организации (Organization Validation - OV)
Шаг 1 Проверка домена
Процесс валидации домена описан в предыдущем пункте.
Шаг 2 Проверка организации
Может быть выполнена следующими способами:
- Центр сертификации проводит проверку существовании компании через государственный реестр организаций.
- Публичные реестры данных, такие как: Duns & Bradstreet, Hoovers, Companies House GOV.UK, Lursoft.lv
- Подтверждения адреса может быть выполнено одним из следующих документов:
- устав организации (с указанием адреса);
- выданная правительством лицензия на ведение коммерческой деятельности (с указанием адреса);
- копия выписки о состоянии счета компании за последние 6 месяцев; (вы можете указать номер счета)
- копия телефонного счета компании за последние 6 месяцев;
- копия счета за коммунальные услуги компании (т.е. электричество, вода, и т.д.) за последние 6 месяцев или текущий договор аренды для компании.
- Нотариально заверенное письмо (Legal Opinion Letter)
Шаг 3 Обратный звонок
Сотрудники сертифицирующего центра (как правило это робот) звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.
После успешного завершения всех шагов сертификат будет подписан и выпущен.Расширенная проверка (Extended Validation - EV)
Шаг 1 Заполнение форм сертифицирующих центров
Центр пришлет вам специальные формы, которые необходимо заполнить.
Шаг 2 Проверка организации
Процесс валидации организации описан в пункте OV.
Шаг 3 Проверка домена
Процесс валидации домена описан в пункте DV.
Шаг 4 Обратный звонок
Сотрудники сертифицирующего центра звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.
После успешного завершения всех шагов сертификат будет подписан и выпущен.P. S. Другие инструкции:
- Заполнение полей при генерации CSR
- Тестирование SSL-сертификата
- Генерация CSR-запроса на Linux/MacOS
- Генерация CSR-запроса в IIS 8
Поделиться в соцсетях:
Средняя оценка: 4,9, всего оценок: 19 Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже