Неважно каким веб-сервером вы пользуетесь, но вам обязательно придется столкнуться с сертификатами и запрос сертификата – это одна из основных задач, стоящих в самом начале их администрирования. Так уж сложилось, что моим постоянным партнером в этом деле является компания ЛидерТелеком, через которую я получаю все сертификаты, предназначающиеся для широкой публики. Речь идет о сертификатах для публичных веб-серверов, порталов организации и так далее. В статье я рассмотрю процесс получения сертификата IIS с проверкой домена.
Подробнее о цифровых сертификатах вы можете прочитать в основной статье тематики – Цифровые сертификаты.
Запрос сертификата IIS
Счастливым обладателям веб-сервера Apache можно сгенерировать запрос один раз и получать все последующие сертификаты с его помощью. Администраторам IIS такая роскошь недоступна. Может быть оно и к лучшему, ведь это однозначно более безопасный путь. Выходит в IIS любое продление сертификата фактически является получением сертификата заново.
Итак, открываем оснастку IIS, ставим указатель на имя текущего сервера и в центральном окне консоли выбираем пункт Сертификаты сервера:
Далее в левой панели нажимаем Запрос сертификата сервера:
В открывшемся окне заполняем данные организации. Если сертификат будет использоваться как публичный, например для веб-доступа на портал организации, то лучше укажите реальные данные, а не набор цифр и букв. Реальную информацию вам нужно будет указать также в том случае, если вы планируете получить сертификат в публичных центрах сертификации, как в моем случае.
В следующем окне указываем настройки, обратите внимание на длину ключа:
Ну и в конце концов нужно прописать путь для сохранения файла:
Далее отправляем запрос в центр сертификации, снабжаем его необходимыми комментариями. Организация-поставщик сертификатов может включить в него дополнительные имена по вашему запросу. Обычно несколько имен (как минимум от 2 штук) добавляется бесплатно, а все последующие за небольшую плату (если имен слишком много, то вам имеет смысл задуматься о получении сертификата WildCard, подробнее о них читайте в статье Получение сертификата WildCard).
Я традиционно пользуюсь услугами ЛидерТелеком, с помощью которых получаю сертификаты от Comodo. В данном случае я ограничился проверкой владения доменом, проверка организации в данном случае мне не нужна. Чтобы пройти проверку домена, нужно принять письмо с кодом на один из административных ящиков вашего домена (admin@.., postmaster@.. И другие). Письмо выглядит примерно так:
Переходим по ссылке, вставляем код:
Дальше можно просто закрыть окно:
Выполняйте действия в одном браузере, желательно в IE (его советуют в большинстве случаев, но в хроме у меня все тоже работало). После проверки домена сертификат должен прийти к вам на почту в архиве, распакуйте его и установите на сервере. Чтобы экспортировать сертификат, не забывайте включить в него закрытый ключ, придумав для защиты сложный пароль. Расширение экспортируемого файла сертификата должно быть .pfx.
