Сравнительно недавно владельцам доменов предоставилась возможность, абсолютно бесплатно получить криптографический сертификат для TLS-шифрования подключения к своим сервисам. Такую возможность всем нам дал центр сертификации Let’s Encrypt. В духе лучших традиций семейства GNU/Linux, прежде всего сервис абсолютно бесплатный и автоматический. Не знаю как у остальных, но у меня душа поет, когда я пользуюсь подобными сервисами.
В нашем капиталистическом это несомненно лучик света, который показывает нам как может работать сервис на благо многих. Не буду рассказывать про этот сервис, все описано в этой статье. К сожалению, как бы энтузиасты этого мира не вели его к светлому будущему, всегда найдётся какой-нибудь Роскомнадзор, который попытается это у нас отобрать. Статья ориентирована на снижение такой возможности. В ней я приведу пример двух сервисов, которыми можно будет воспользоваться для получения бесплатных сертификатов. В прошлом году, комитет IETF (Internet Engineering Task Force) завершила формирование RFC для протокола ACME. Данный протокол разработала команда Let’s Encrypt. Повлияло ли это, или что-то другое, но ACME вошёл в нашу жизнь. Им начали пользоваться многие, и его популярность растет. Сегодня речь пойдет о двух таких УЦ, BuyPass и ZeroSSL.
BuyPass
Это норвежский УЦ, у которого есть услуга выдачи бесплатных сертификатов, услуга называется BuyPass Go SSL. У них есть автоматическая выдача и продление сертификатов, а так же поддержка ACME. Все манипуляции будет производить с известным нам Certbot. Для начала нам надо зарегистрироваться
$ sudo certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'
Под флагом -m указываем свой адрес электронной почты, а флаг --agree-tos служит для принятия пользовательского соглашения. Переходим к получению сертификата
$ sudo certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'
Флаг --server указывает нам адрес API нашего сервиса по выдаче сертификата. Для автоматического продления сертификата, добавляем задачу в Cron
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.log
Обращаю внимание, у BuyPass есть лимиты на разные операции, подробнее можно почитать в технической документации.
ZeroSSL
Следующий сервис из Австрии, он выдает бесплатные сертификаты на 90 дней. К нему мы будем обращаться с помощью скрипта acme.sh. Изначально он настроен на работу с Let’s Encrypt, но это легко поправить. Для начала регистрируемся
$ sudo acme.sh --register-account -m foo@bar.com --server zerossl
Под флагом -m указываем почту для уведомления, а под флагом --server указываем имя сервиса, в самом скрипте уже прописаны адреса API. Затем следует генерация сертификата
$ sudo acme.sh --issue --dns dns_cf -d example.com --server zerossl
У данного сервиса нет лимитов на подключение. Плюс ко всему есть возможность получить сертификат на год, удобную веб панель, и техподдержку.
Заключение
Список сервисов, поддерживающих протокол ACME растет, с ним можно ознакомиться на странице. Тот факт, что такие сервисы как Let’s Encrypt развиваются, вселяет некую уверенность в работу.
Источник статьи пост GlobalSign на Хабре.
Все статьи можно посмотреть на сайте или на Zen Yandex