SSL-сертификат для бедных

Опубликовано

Задумал я тут один сайтик завернуть полностью в HTTPS, типа секурность и т.п. Пошел смотреть сколько стоят сертификаты. В общем пришла жаба в подкованых берцах и начала меня давить и задавила в итоге...Решил я как и большинство юзать самоподписанные сертификаты. Только вот ругань браузера на то что сайт не безопасен и нажатия кучи кнопок для того чтобы все-таки сайт посетить меня немного достали и я решил стать сам себе центром сертификации.

В общем-то ничего сложного в этом нет, openssl устанавливается на любую Unix-систему (вот про не unix не знаю, но думаю тоже их есть).Собственно приступим, в первую очередь создадим какую-нибудь диру, в которой будет наш центр сертификации раполагаться

# mkdir CA# cd CA

Генерируем ключ, которым будем подписывать сертификаты

# openssl genrsa -des3 -out ca.key 4096

Теперь создаем корневой сертификат

# openssl req -new -x509 -nodes -sha1 -days 3650 -key ca.key -out ca.crt

Теперь можно выдать в нашем центре сертификации сертификат для нашего web-сервера

# openssl genrsa -passout pass:test -des3 -out server.key 1024# openssl rsa -passin pass:test -in server.key -out server-nopass.key# openssl req -new -key server.key -out server.csr# openssl ca -batch -out server.crt -infiles server.csr

Ну и проверим сразу

# openssl verify -CAfile ca.crt server.crt

Собственно все, сертификат и ключик можно скармливать нашему Web-серверу. Конкретные действия тут зависят от используемого ПО, поэтому на них я подробно не останавливаюсь.Ну и к чему это все? А к тому. Скачиваем ca.crt себе на компьютер, тыкаем на него крысой два раза. Видим окошко с информацией о сертификате, внизу окошка две кнопки одна из них - "Установить", устанавливаем и вуаля, Google Chrome показывает в строке адреса https:// зелеными буквами, а не красными.Кто-то скажет что все это хрень, однако подобная схема широко применяется в локальных сетях, да и в интернете тоже нередкость, ярким примером можно назвать Webmoney Transfer, работают и не парятся.Дабы не мозолить пальцы о клавиатуру если серверов больше одного лучше написать скриптики, а уж если планируется использовать клиентские сертификаты (например, для авторизации, об этом в следующий раз), то тем более надо.Мне писать было лениво поэтому я пошел в Google и нашел на просторах ЖЖ искомое.