В этой статье коротко будет рассмотрен процесс получения wildcard-сертификата. Запрашивать сертификат будем у Comodo.
Для меня всегда лучше было пообщаться с живым человеком и решить все вопросы с ним, чем полагаться на всяких роботов и автоматику, к тому же в таком тонком вопросе как обеспечение безопасности (сертификаты непременно относятся к этой тематике). Потому я всегда связываюсь с компанией, через которую планирую получать сертификат и объясняю что я хочу получить в итоге. Кто знает, может быть мне посоветуют какой-то другой более гибкий вариант, более подходящий для моей ситуации.
Подробнее о цифровых сертификатах вы можете прочитать в основной статье тематики – Цифровые сертификаты.
Рассуждения
Вот и в этом случае я не счел лишним позвонить и проконсультироваться. В итоге я получил следующие рекомендации касательно сертификата wildcard 1:
- Действительно оправдано использовать данный тип сертификата при изначально большом количестве поддоменов, либо при существовании планов на значительное увеличение их количества;
- Если у вас до 10 поддоменов и в ближайшее время не планируется заведение новых, то в таком случае лучше купить обычный UCC-сертификат 2. В этом случае в него по умолчанию можно бесплатно занести 5 доменных имен и для каждого последующего добавления одного имени берется небольшая плата (в моем случае это было примерно 500 руб.). В итоге по стоимости выйдет дешевле;
- Если у вас до 10 поддоменов и в ближайшее время вы планируете значительно увеличить их количество, то в этом случае лучше сразу брать wildcard.
У меня уже было примерно 15 поддоменов и в ближайшее время их количество должно было расшириться до 25 штук. Мой выбор был определен.
Получение сертификата WildCard
Процесс получения достаточно прост:
- Нужно сообщить о своих намерениях в ЛидерТелеком, передать данные организации и запрос на получение сертификата и т.п. (именно с ними я имел дело. Прошу не считать это за рекламу. У других компаний процесс может незначительно отличаться);
- Вы должны пройти процесс верификации, в котором будет установлен факт владения доменом (на адрес hostmaster@ваш_домен будет отправлено сообщение со ссылкой и кодом);
- Получить сертификат и счет на его оплату;
- Оплатить счет, получить все необходимые для финансовой отчетности документы и передать их в вашу бухгалтерию;
- Делать с сертификатом что вам вздумается.
Теперь подробнее. Сгенерировать запрос нужно на каком-либо целевом сервере, на выходе вы должны получить файл формата .csr (обязательно надежно сохраните пароль и никому его не передавайте), который (или содержимое которого), нужно отправить в компанию, через которую вы будете получать сертификат. Пункт 1 я выполнил и мне пришло письмо с необходимой ссылкой и кодом авторизации:
Проходим по ссылке (отмечена красным прямоугольником) и вводим код (закрашен черным длинным прямоугольником):
После нажатия кнопки “Next” нам ничего не предлагают, кроме как закрыть страницу:
Через некоторое время к вам на почту должно прийти письмо с сертификатом в формате .crt, можете устанавливать его на ваших серверах. На этом процесс закончен. Не забудьте запланировать продление сертификата через год (или через любое другое время, в течение которого ваш сертификат действителен). Желательно это делать как минимум за месяц, чтобы на всякий случай иметь запас времени. Помните, если срок действия вашего сертификата истечет и вы не успеете его заменить, вы столкнетесь как минимум с негодованием пользователей, как максимум – с остановкой сервисов.
Notes:
- Данный тип сертификатов выпускается для одного конкретного домена, но действителен для любого количества его поддоменов. Более подробно написано в Википедии – Wildcard certificate ↩
- UCC (SAN) SSL-сертификаты ↩