Работа через https, получение SSL-сертификата?

← →
MiAn (2011-05-18 13:31) [0]

Всем привет!

Есть сайт в интернете, появилась необходимость с некоторыми разделами сайта работать по HTTPS протоколу. Я никогда с этим не сталкивался, что нужно делать?

Сервер под *nix, Apache, PHP.

Нужно куда-то обращаться, получать сертификат? Нужно не создавать никаких проблем пользователю (там иногда на сайтах бывают предупреждения о том, что сертификат просрочен и прочее, надо без этого). Обрисуйте кратко механизм, пожалуйста!

← →
Dennis I. Komarov © (2011-05-18 13:44) [1]

Краткий механизм:
HTTPS = HTTP + SSL
Дальше что надо - не понятно...

> Нужно не создавать никаких проблем пользователю (там иногда
> на сайтах бывают предупреждения о том, что сертификат просрочен
> и прочее, надо без этого

Как не красиво...

← →
Dimka Maslov © (2011-05-18 15:16) [2]

Вот прямо справа в окошке рекламы написано куда обращаться

← →
MiAn (2011-05-18 17:14) [3]

то есть, вопрос чисто в деньгах, которые нужно отдать посреднику, а без этого никак?

И еще я их политики не понял... Там 30к стоит какой-то сертификат... единственное, что подписано - строка браузера станет зеленой! А почему она станет зеленой и почему не станет такой в других случаях-сертификатах?

А есть сертификат за 2к в год - и вроде он подходит прямо для провайдеров, то есть вообще что хочешь делать можно... Не понял я смысла платить 30к и почему такой тариф существует...

← →
KSergey © (2011-05-18 17:27) [4]

По шагам. А тут не так давно проходил.

1. Покупаем у хостера выделенный IP адрес (такая услуга всегда есть, платная). Перевешиваем свой сайт на этот IP.

2. Набираем в гугле "купить SSL сертификат", ну или "продажа SSL сертификатов". Или смотрим рядом в рекламе :)
Покупаем сертификат (это просто 2 файла текстовых типа в Base-64). Вполне возможно, что их продает ваш хостер.

3. Консультируемся у хостера как установить сертификат на сайт (иногда это возможно только руками саппорта хостера, тогда высылаем им файлы).

4. Включаем на сайте поддержку протокола https (возможно, придется консультироваться с хостером)

5. Набираем https://наш-сайт.рф
Радуемся.

Примечания.
1) Сертификат имеет ограниченный срок действия. Надо будет заново покупать через год, например.
2) Выбрать можно самый дешевый тип сертификата из предлагаемых.
3) Издатель сертификата особого значения не имеет (если бы для вас имел - вы бы тут вопросы не задавали). Лишь бы кто сертификаты не продает. А вот цены от издателя к издателю - разнятся заметно, хотя результат - один.
4) Типа реклама: самые дешевые сертификаты мне попадались тут: komtet.ru

← →
KSergey © (2011-05-18 17:30) [5]

вру, вот тут подешевле будут сертификаты. Это у первых выделенный IP был дешевле, попутал :)
www.logol.ru/ssl/

← →
MiAn (2011-05-18 17:48) [6]

KSergey, спасибо большое, стало понятнее!

У нас немного другая штука, мы хостимся сами. У нас есть выделенный адрес, но на компанию. То есть, по нашему IP и порту 80 идет проброс на сервак с апачем.

Выделенный IP нужен в каком контексте?

Соответственно, вопросы установки сертификата на сайт (машина то полностью наша, с хостером не посоветуешься) и включение поддержки https.

← →
KSergey © (2011-05-18 17:52) [7]

> MiAn (18.05.11 17:14) [3]
> то есть, вопрос чисто в деньгах, которые нужно отдать посреднику, а без этого никак?

Можете покупать непосредственно у издателя, их названия известны (см. название сертификата в прайсе). Возникает только вопрос с бухгалтерией (если через юр. лицо проводить расчет надо), т.к. издатели все импортные, да и особого выигрыша (на дешевых сертификатах) я лично усмотреть не сумел.

> - строка браузера станет зеленой! А почему она станет зеленой и почему не станет такой в других случаях-сертификатах?

Потому что все в цепочке Удостоверяющий Центр - Браузерописатели получили долю от продажи этого вида сертификатов :) (ну я так думаю, иного объяснения не вижу).

Собственно вся эта сертификация строится на доверии к некоему удостоверяющему центру со стороны браузера клиента и всей связанной с этим инфраструктурой. Ну с применением технических мер, препятствующих подмене трафика от удостоверяющего центра, который собственно и подтверждает подлинность полученного клиентским браузером от нашего сервера сертификата.

← →
KSergey © (2011-05-18 17:58) [8]

> MiAn (18.05.11 17:48) [6]
> выделенный адрес, но на компанию. То есть, по нашему IP и порту 80 идет проброс на сервак с апачем.
> Выделенный IP нужен в каком контексте?

Выделенный IP нужен в том смысле, что чисто технически сертификат как бы вешается на IP адрес, а не на сайт. Т.е. каждый сайт, к которому нужен SSL-доступ должен сидеть на разных IP.
У шаред-хостера, понятно, на одном IP сидят сотни сайтов, там же еще и WEB-панель управления, на которую, как правило, доступ по https, т.е. сертификат ан этот IP уже установлен.

Имейте ввиду: нормальный сертификат выдается на точное доменное имя. Т.е. надо будет решиться: получаете вы его на адрес с www или без www
Соответственно если сайт открывается с www и без www - то надо всех https-пользователей перенаправлять на что-то одно. Или закрыть нафик и оставить только один вариант сайта, что проще на мой взгляд (речь только про https доступ)

> MiAn (18.05.11 17:48) [6]
> Соответственно, вопросы установки сертификата на сайт (машина то полностью наша, с хостером не посоветуешься) и включение поддержки https.

Ну ребята, тут вам мануалы по апачу в руки. Это описано в тонне мест в интернете, в том числе и по-русски. Нет смысла пересказывать здесь

← →
KSergey © (2011-05-18 18:01) [9]

> KSergey © (18.05.11 17:58) [8]
> > MiAn (18.05.11 17:48) [6]
> > выделенный адрес, но на компанию. То есть, по нашему IP
> и порту 80 идет проброс на сервак с апачем.
> > Выделенный IP нужен в каком контексте?
>
> Выделенный IP нужен в том смысле, что чисто технически сертификат
> как бы вешается на IP адрес, а не на сайт.

Вообще-то, здесь я вру.
Точнее сказать "сайты с разными сертификатами должны сидеть на разных IP". Связано с реализацией механизма установления https соединения, рассказывать лень

← →
Anatoly Podgoretsky © (2011-05-18 19:10) [10]

> KSergey (18.05.2011 17:27:04) [4]

Сертификат тогда сертификат, когда ему доверяют.

← →
Anatoly Podgoretsky © (2011-05-18 19:11) [11]

> KSergey (18.05.2011 17:30:05) [5]

Не гонялся бы ты поп за дешевизной, был бы цел.

← →
KSergey © (2011-05-18 19:47) [12]

> Anatoly Podgoretsky © (18.05.11 19:11) [11]
> Не гонялся бы ты поп за дешевизной, был бы цел.

Есть обоснования?

← →
iZEN (2011-05-18 20:02) [13]

Вот здесь всё более-менее понятно расписано: http://www.skdev.ru/index.php?view=article&catid=20%3Ajava&id=63%3Assl-connection&tmpl=component&print=1&layout=default&page=&option=com_content&Itemid =44

> То есть, по нашему IP и порту 80 идет проброс на сервак с апачем.
https это 443 порт. т.е. на самом деле он может быть любой (у себя, прога ту прога, делаем настраиваемо, мало ли кто стандартный занял...) но обычно..., и точно не 80.

← →
MiAn (2011-05-19 11:57) [15]

> Вот здесь всё более-менее понятно расписано

спасибо!!

А программа keytool будет работать только при наличии java-окружения или можно отдельно как консольный EXE найти?

← →
iZEN (2011-05-19 13:46) [16]

> MiAn (19.05.11 11:57) [15]
> А программа keytool будет работать только при наличии java-
> окружения или можно отдельно как консольный EXE найти?

Э... там несовместимые форматы хранилищ ключей (и сертификатов) у Java и Apache Server вроде как. Я дал ссылку для того, чтобы был понятен сам механизм работы схемы защищённого соединения.

> Anatoly Podgoretsky © (18.05.11 19:11) [11]
> Не гонялся бы ты поп за дешевизной, был бы цел.

Так будут аргументы или нет в данном случае?

> MiAn (19.05.11 11:57) [15]

Я понимаю не всегда легко понять что-к-чему.
Но просто почитать инструкцию на тему "как сделать то-то" - так и не судьба?!

наберите в гугле "как настроить https на apache"
пошаговых инструкций масса

← →
iZEN (2011-05-22 00:16) [19]

Вот ещё статьи.

SSL-сертификаты Web-сайтов и их применение:
http://www.ibm.com/developerworks/ru/library/l-cerfiticate_management_01/
http://www.ibm.com/developerworks/ru/library/l-cerfiticate_management_02/

Работа через https, получение SSL-сертификата? Найти похожие ветки