Блог программиста Еремина Вячеслава Викторовича
(Notes) Notes (2012 год)

Установка SSL-сертификата Comodo WILDCARD.

В моем блоге очень содержится очень много информации о сертификатах, о том как ими манипулировать программно, о том, как создавать их по российским чудо-алгоритмам (заточенным на ускорение доступа к защищаемым данным со стороны ФСБ), о том как писать собственные самописыне реализации SSL - начните читать все это отсюда - Организация SSL транспортного уровня по программно загружаемому клиентскому сертификату.

В этом топике я расскажу как сделать самую тупую и простую операцию - создать узел, доступный по SSL.


Для начала надо выбрать продавца сертификата. Вообще идея торговать воздухом - не новая. Еще Иисус Христос мог взять две рыбки и накормить ими 5000 человек. Торговля сертификатами - это то же самое. Создание потока кеша из ничего, кормление страждущих пустотой. Как бы некто удостоверяет, что некая компания действительно является компанией VOTPUSK.RU - при этом заполнить формы запроса сертификата на сайте торговца сертификатами может даже хорошо обученная обезьяна. Ну и идея все-все-все в инете делать анонимно и бесплатно (или почти бесплатно) - начиная от хостинга и регистрации домена - а подписывание ключей сертификата делать за нехилые деньги - это стоящая идея конечно! Не хуже чем накормить двумя рыбками пять тысяч человек.

Исходя из сказанного - поставщик сертификата значения не имеет, имеет значения только цена (и каким способом его можно оплатить). В моем случа был выбран http://ssl.comodo.com/ (и его дилер https://www.reg.ru/ssl-certificate/ - тем более он подписывает сертификаты WILDCARD (на проивольное количество поддоментов основного домена).

Для начала создается запрос сертификата - его можно сделать прямо в IIS - он выглядит как куча буковок (кодировка BASE64) в обрамлении тегов -----BEGIN CERTIFICATE REQUEST----- и -----END CERTIFICATE REQUEST-----.



После оплаты почтовый робот присылает на мыльце требуемый сертификат и корневой сертификат организации, промышляющей торговлей воздухом (в данном конкретном случае COMODO.COM)

Все эти данные доступны не только в мыльце, но и на формах REG.RU:



Теперь, после получения сертификата - его надо загрузить в IIS. К сожалению, напрямую загрузить кнопкой Complete sertificate request (там же где делали запрос) - не получится, ибо присланный сертификат не содержит закрытого ключа. А как же IIS должен шифровать без закрытого ключа?



Поэтому придется чуток напрячься. Для начала создадим себе остнастку СЕРТИФИКАТЫ (которая стандартно недоступна от кнопки ПУСК). Обратите внимание на ГЛАВНУЮ ФИШКУ - IIS работает с сертификатами локального кампутера, а не с сертификатами какого-нибудь юзера или какой-нибудь учетной записи кампутера. Строго говоря - это прихоть индусов Билла Гейтса, если бы я писал этот кусок кода - я сделал бы логичнее - IIS бы работал с сертификатами своей учетной записи, но... что сделано, то сделано. Итак, только учетка Local Computer.



Далее импортируем корневые сертификаты - и убеждаемся, что они оказались в нужном месте.



Теперь займемся главным сертификатом, ключи которого собственно и используются для шифрования сессионных ключей SSL. Для начала придется поставить Microsoft Visual C++ 2008 SP1 Redistributable Package (x86), а затем и OpenSSL.



И теперь собственно собираем нужный нам серфтификат с открытым и закрытым ключем вместе.



Импортируем собранный сертификат в хранилище Personal для учетки локального кампутера (за этим громким абстрактным названием скрывается нужный ключ реестра) - именно здесь его увидит IIS.



И наконец, приступим к заключительному аккорду этой песни - загрузим этот сертификат на конкретный узел IIS. Остается напомнить только, что на одном айпишнике может быть только один SSL.



Ну вот собственно и вся песня с самым примитивным способом использования сертификатов (для организации SSL). Без программного манипулирования, с самым распространенным RSA-алгоритмом. Все сдеалано в пару тычков мышкой и одной строкой в OpenSSL.

Я опубликовал эту заметку именно в силу ее классической постановки и радикальной простоты задачки. О более интересных случаях почитайте тут - Организация SSL транспортного уровня по программно загружаемому клиентскому сертификату.



Комментарии к этой страничке ( )
ссылка на эту страничку: http://www.vb-net.ru/ComodoWildcardSSL/index.htm
<На главную>  <В раздел ASP>  <В раздел NET>  <В раздел SQL>  <В раздел Разное>  <Написать автору>  < Поблагодарить>