Как установить личный сертификат

Каждый покупатель веб-хостинга Eternalhost с панелью ISPmanager может подключить бесплатный сертификат Let’s Encrypt. Этот SSL-сертификат с проверкой домена (DV) предоставляется на неограниченный срок. Его можно устанавливать на любое количество сайтов.

Открываем «Хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Подробнее: Как получить права администратора в Windows 7

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Способ 1: Окно «Выполнить»

Способ 2: Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

Установка через меню «Установить личный сертификат»

Для установки понадобится файл сертификата (файл с ). Файл сертификата можно экспортировать из хранилища «Личные». Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу [email protected], указав ИНН и КПП организации и суть проблемы.

1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». В окне Свойства КриптоПро CSP перейдите на вкладку «Сервис» и кликните по кнопке «Установить личный сертификат».

2. В окне «Мастер импорта сертификатов» нажмите на кнопку «Далее». В следующем окне кликните по кнопке «Обзор» и выберите файл сертификата.

3. Далее укажите путь к сертификату и нажмите на кнопку «Открыть»>«Далее».

4. В следующем окне кликните по кнопке «Далее».

5. Нажмите кнопку «Обзор».

6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку «Ок».

7. После выбора контейнера нажмите на кнопку «Далее».

8. В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».

Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта ) или выше, то поставьте галку «Установить сертификат в контейнер».

9. Выберите хранилище «Личные» и нажмите «ОК».

10. После выбора хранилища нажмите на кнопку «Далее», затем «Готово». После нажатия на кнопку «Готово» может появиться вопрос о замене существущего сертификата новым. В окне запроса выберите «Да».

Дождитесь сообщения об успешной установке. Сертификат установлен.

Читайте также:  Как перезапустить Проводник Windows (explorer.exe)

Центры сертификации: как они используются

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи. Логику работы ЦС, как правило, можно описать тезисом «никто не доверяет друг другу, но все доверяют ЦС».

Допустим, условная сущность Аlice имеет сертификат, подписанный ЦС Comp, а сущность Bob пытается проверить подлинность этого сертификата. Проверка будет успешной, если Bob и Alice доверяют одному и тому же ЦС. Для решения такой проблемы в ОС Alice и ОС Bob установлено множество сертификатов различных ЦС.

Установив сертификат ЦС в систему, можно доверять тем сертификатам, которые он подписал. Если сертификат (в частности для HTTPS) выдан, но не подписан каким-нибудь доверенным ЦС, то его называют самоподписанным и он считается недоверенным — если, конечно, не заставить систему доверять такому сертификату.

Здесь могут возникать разные ошибки. Протестировать реакцию браузера на нарушения в работе SSL можно на сайте

Рассмотрим, как браузер реагирует на разные сертификаты. У Firefox, например, для идентификации есть такой набор сертификатов ЦС:

Вот пример с HTTPS. Есть ресурс , соединение с которым браузер считает доверенным:

Если открыть подробности, то можно увидеть почему:

Браузер считает подключение доверенным потому, что сертификат HTTPS подписан ЦС Comodo CA. Эта организация своим сертификатом подтверждает, что сертификату, выданному для сайта GeekBrains, можно доверять. Получается примерно такая схема:

  • браузер доверяет организации Comodo CA;
  • браузер открывает сайт GeekBrains и видит там сертификат HTTPS, подписанный Comodo CA;
  • браузер считает, что если организация, которой он доверяет, уверена в сайте GeekBrains (они же подтвердили их сертификат), то такое соединение для конечного пользователя можно считать доверенным.

Если коротко, то для успешной проверки доверия (в рамках HTTPS) с использованием центра сертификации необходимо, чтобы:

  • в системе были соответствующие корневые сертификаты ЦС, которые будут использоваться для подтверждения сертификата конкретного сайта;
  • у выданных для сайтов сертификатов не было ошибок.

Не вдаваясь в подробности, отметим, что ошибки могут быть разными. К примеру, если в браузере будет отсутствовать сертификат, который подтверждает подлинность сертификата HTTPS, то соединение автоматически пометится как недоверенное:

Если открыть дополнительные сведения (что я всегда советую делать), то можно подробнее узнать о проблеме. Здесь видно, что на сайте установлен самоподписанный сертификат, то есть не подписанный каким-либо другим сертификатам. Его подлинность нельзя проверить, и соединение считается недоверенным.

Читайте также:  Настройка автозапуска программ в Windows

Другой пример — сайт Сертификат выдан для другого хоста, о чём и уведомляет браузер:

А вот пример для сайта, у которого истёк срок действия сертификата:

Другой вариант

Есть и другой способ – через IIS

Но тут вся проблема в том, что нам то нужны pem файлы, и да, мы можем конвертировать pfx в pem с помощью вот этого

pkcs12 –in <your file>.pfx –out <your file>.pem

Но что с этим делать далее – не совсем понятно. В книге Погружение в Indy Анатолия Подгорецкого есть такой момент

Если вы посмотрите созданный .pem файл с помощью блокнота, то вы увидите, что он разделен на две части. Эти две части содержат приватный и публичный ключи. Также приведено некоторое количество информации. Indy требует, что бы данная информация была помещена в отдельные файлы.

Но вот посмотрел я и не увидел этого, у меня получилось так…

А в книге Анатолия Подгорецкого выходит так

18.4.4. Файл С помощью блокнота создайте файл и скопируйте все между двумя, ниже указанными строками: —–BEGIN RSA PRIVATE KEY—– —–END RSA PRIVATE KEY—– 18.4.5. Файл С помощью блокнота создайте файл и скопируйте все между двумя, ниже указанными строками: —–BEGIN CERTIFICATE—– —–END CERTIFICATE—–

Другой вариант

В общем этот способ у меня не сработал, поэтому я привел первый способ.

Существующий

  • Тип сертификата — выберите значение существующий.
  • Имя SSL-сертификата — имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -.
  • SSL-сертификат — содержимое SSL-сертификата в PEM-формате.
  • Ключ SSL-сертификата — содержимое ключа SSL-сертификата в PEM-формате.
  • Цепочка SSL-сертификатов — содержимое файла цепочки SSL-сертификатов (Certificate bundle) в PEM-формате. В письме от центра сертификации обычно приходит архив, в котором есть два файла — сам сертификат и цепочка сертификата (файл с расширением .ca-bundle).

Как установить SSL сертификат в маршрутизатор

Заходим в меню «Объекты» — > «Key Ring» и нажимаем кнопку [Добавить].

Придумываем имя под которым устанавливаемый сертификат будет виден в консоли маршрутизатора, отмечаем чек-бокс, выбираем опцию «Загрузить Сертификат» и нажимаем кнопку [OK].

Нажимаем кнопку [Обзор]…

… и выбираем файл сертификата с расширением crt (у меня в примере это ), нажимаем кнопку [Открыть].

Читайте также:  Ошибка 720 при подключении к интернету в Windows 10

Загружаем сертификат, нажимая кнопку [Загрузить сертификат]

Теперь нам в дополнение к загруженному сертификату необходимо загрузить в маршрутизатора частный ключ. Для этого опять нажимаем кнопку [Обзор]…

… и выбираем файл с расширением key (в моем примере это ), нажимаем кнопку [Открыть].

Загружаем файл, нажимая кнопку [Загрузить частный ключ]

Переходим в меню «Система» -> «Device» -> «Remote Management» и нажимаем кнопку [Расширенные настройки]

В выпадающем меню «HTTPS Root Certificates» выбираем необходимый нам сертификат. Сохраняем настройки и перезагружаем маршрутизатор.

Как установить бесплатный SSL-сертификат

Шаг 1. Откройте панель управления ISPmanager. Перейдите в раздел «WWW» → «SSL-сертификаты» и нажмите на иконку «Let’s Encrypt».

Как установить бесплатный SSL-сертификат

Шаг 2. В появившемся меню «SSL-сертификаты» укажите домен для установки сертификата. Основным условием выдачи сертификата является делегирование домена – по нему должен открываться сайт. Нажмите «Ok»

Как установить бесплатный SSL-сертификат

Шаг 3. На сайт с указанным доменом произойдёт автоматическая установка SSL-сертификата Let’s Encrypt. На этапе проверки сайта на него устанавливается самоподписанный сертификат. Когда процесс выпуска завершиться, в меню «SSL-сертификаты» тип изменится с «Самоподписанный» на «Существующий».

Как установить бесплатный SSL-сертификат

Шаг 4. Бесплатный SSL-сертификат для сайта установлен. Теперь ресурс защищен полноценным сертификатом Let’s Encrypt. Об этом сигнализирует значок зелёного замка в адресной строке. Срок действия сертификата продлевается автоматически.

Установка самоподписанного SSL сертификата

Установка самоподписанного SSL сертификата

Сразу скажу я перечитал 167 страниц с темой как установить SSL и решения не нашел. Возможно я просто что-то не понимаю, и не увидел как правильно это сделать. Не пинайте за подобное.

И так проблема вот в чем, мне надо просто запустить https на домене Руководствуясь этой статьей Я сделал все как там было написано, и все заработало но только в одном браузере в Mozilla так как у него свое хранилище сертификатов. Но вот в Google не хочет запускаться, кеш чистил кучу раз перегружал. Выдает постоянно что Ваше подключение не защищено

А тут все работает и показывает верное подключение

И сразу же 2) вопрос Для отдельного домена сделать ssl надо прописать конфиг в каком именно файле Apache-2.4_ Apache-2.4_

Внутри директивы

Если да, то Apache не грузится И если до этой директивы тоже самое не грузится Apache

источник