W dzisiejszych czasach kodowania transmisja przez https to podstawa stron z logowaniem, banków itd. Jednym z rozwiązań jest wygenerowanie własnego certyfikatu. Zaletą jest to, ze darmowy a wadą, że każda przeglądarka ostrzega przed nim. Rozwiązaniem jest darmowy certyfikat StartSSL rozpoznawany przez przeglądarki (jak i również programy pocztowe).
Darmowy certyfikat można wygenerować na 1 rok i dla pojedynczej domeny(bez wildacards) i ty Domain Validation (czyli bez zielonego adresu itd). Ale myślę, że to małe ograniczenie.
Chciałem dokładnie opisać jak stworzyć certyfikat ale znalazłem świetny opis jak to zrobić po Polsku. Stwierdziłem, że nie ma sensu powielać tego opisu bo naprawdę jest dobry. Tylko kilka uwag co do tekstu:
- w tym tekście jako algorytm generowania klucza pokazany jest DHA1,, na szczęście obecnie domyślnym jest już DHA2, który jest bezpieczny. Zawsze można pominąć ten krok (SKIP) i wkleić wygenerowany przez siebie csr.opisane tutaj
- jak skonfigurować certyfikat w Apachu opis jest tutaj , głównie chodzi o sub.class1.server.ca.pem który jest łańcuchem
Aby poprawnie skonfigurować Dovecota(opis
ssl_cert – plik certyfikatu
ssl_key – klucz prywatny wygenerowany
ssl_ca- łańcuch ub.class1.server.ca.pem
Odpowiedniki w Postfixie
smtpd_tls_cert_file plik certyfikatu
smtpd_tls_key_file klucz prywatny wygenerowany
smtp_tls_CAfile łańcuch ub.class1.server.ca.pem
Certyfikat rozpoznawany razem z autokonfiguracją programu TB powoduję bardziej prosty w obsłudze serwer.No i użytkownicy nie będą dzwonić z domu, że im strona nie działa:)
Jeśli chodzi o dłuższe czasowo certyfikaty to najtaniej wychodzi (typ DV) Comodo Positive SSL za 3 lata w Hekko. I nadmieniam,że nie mam nic wspólnego z ta firmą pośrednio ani bezpośrednio po prostu tam kupuje ten certyfikat.
Warto dodac, ze wystawianie certyfikatu czasem jest recznie weryfikowane i w przypadku wykrycia na stronie dzialalnosci komercyjnej spotkamy sie z odmowa wydania (darmowy jest do uzytku prywatnego)
Gdzie tak jest napisane? Z informacji na stronie https://www.startssl.com/Support?v=1 nic takiego nie wynika