The Present Perfect Tense
Поставьте глагол в форму Present Perfect, Past Perfect или Future Perfect.Our taxi… by 9 o’clock yesterday morning. Let’s...
Происходят похожие вещи — аккредитацией на электронных площадках
занимаются спецы IT-отделов (тыжпрограммисты), инженеры и другой технический люд.
Вот и этот пост предназначен для тех, кто уже давно в IT, но самому лень вникать; для молодых специалистов и, вообще, для всех, кому эта информация может быть полезна. Так как основной контингент здесь — люди технически подкованные, мы решили обойтись без скринов, только хардкор текст, если они (картинки) будут нужны — добавим по заявкам читателей:)
Стоит заметить, что предлагаемые шаги аккредитации не единственные правильные в своем роде (существует, как минимум, несколько рабочих вариантов), но многократно проверенные, в том числе и на личном опыте автора.
Аккредитоваться на площадках просто. Это не требует особого вдохновения или творческого размаха. К нам в IST-Budget регулярно обращаются, и платят за помощь в аккредитации, хотя, человек вполне может это сделать сам. Но таки некоторые нюансы все же есть, способные отнять время и попить кровь, особенно, если нет времени и желания с этим подробно разбираться. Вот об этих нюансах речь и пойдет.
Аккредитация – процедура, во время которой Вы сперва настраиваете рабочее место пользователя под каждую ЭТП, потом заполняете заявку на аккредитацию с указанием реквизитов и с прикреплением сканов уставных документов, дожидаетесь ответа от площадки о результатах рассмотрения Вашей заявки (от 1 до 5 дней) и если пришел отказ – устраняете причины отказа, подаетесь снова и переходите в режим ожидания. Процедура аккредитации проходится один раз в три года, и ежегодно нужно прикреплять к действующему аккаунту новую электронную подпись, это совсем просто.
ЭТП – электронная торговая площадка. Сайт, на котором размещаются аукционы (не все, а только принадлежащие к этой площадке) и непосредственно проходят сами процедуры участия в госзакупках: подача заявки на участие в аукционе, участие в аукционе, подписание гос.контракта. ЭТП условно делятся на государственные и коммерческие. Государственные ЭТП представлены в количестве 5:
Порядок действий аккредитации на каждой из площадок примерно идентичен, об этом более подробно расскажем ниже.
Носитель (он же Етокен, Рутокен или Смарт-карта) – привычная взгляду флешка с USB-интерфейсом и электронным сертификатом подписи «на борту». Беречь как зеницу ока!
КриптоПро CSP – криптографическая утилита, необходимая для работы с ЭЦП на компьютере. Стоит копейки, имеет бесплатный период использования (минимум – 1 месяц) Существуют аналоги, например, ЛИССИ-CSP.
_____________________________________________________________________________
Ну а теперь ближе к телу делу. Букв будет много.
— Проверяем версию браузера. Сразу уточним — единственный браузер для работы с ЭЦП — IE. Существуют плагины, для использования ЭЦП в Firefox, но об этом, может быть. мы напишем отдельную статью. Желательно, чтобы версия IE на рабочем месте, где производится настройка ЭЦП, не превышала 9. В версиях 10 и 11 некоторые ЭТП будут работать некорректно. Узнать версию IE можно в разделе браузера “Справка” — “О программе”:).
— Выбираем дистрибутив КриптоПро. Начинаем с дистрибутива утилиты КриптоПро. Скачать его можно с диска, который обычно дают вместе с выпущенной ЭЦП; а также, непосредственно с сайта-производителя www.cryptopro.ru/ или с одного из многочисленных открытых источников, например: http://ift.tt/1neByn9 (кнопка «Дистрибутивы»). При выборе версии дистрибутива стоит руководствоваться двумя критериями: 1. Если Windows не выше, чем 8.0 – выбираем версию КрипроПро 3.6, соответственно, если Windows 8.1 и далее (в перспективе появятся же) – КриптоПро 3.9 и выше. 2. В зависимости от разрядности Windows выбираем разновидность КрипроПро: x64 или x86.
— Устанавливаем дистрибутив КриптоПро. Установить дистрибутив можно без дополнительных настроек, которые, тем не менее, в процессе установки предлагаются на выбор. Если под рукой есть серийный номер – вбиваем сразу, если лицензию сразу не купили – не беда, но лучше в календарь записать и заблаговременно позаботиться о покупке, чтобы потом не было неприятных сюрпризов. После установки утилиты, ОС попросит перезагрузку, что и нужно будет сделать.
— Устанавливаем драйвер носителя. Следующий шаг – установка драйвера носителя ЭЦП. В зависимости от того, рутокен у Вас или етокен, выбираем драйвер и в том же автоматическом режиме устанавливаем. Собственно, сам драйвер находится на заботливо врученном Вам диске или снова по ссылке: http://ift.tt/1neByn9 (раздел «Дистрибутивы» — Драйвера Rutoken/Etoken. Есть небольшое отличие в установке драйвера для разных видов носителей: для рутокена достаточно установить простой драйвер в соответствии с разрядностью Windows; етокен чуть более капризный, для установки ПО под него лучше подойдет eToken PKI Client, который по совместительству является не только драйвером, но и небольшой панелью управления ЭЦП. После установки драйвера вновь перезагружаем компьютер.
— Настраиваем носитель. Открываем панель управления, находим иконку КриптоПро и запускаем утилиту с правами Администратора. Вкладка «Оборудование» — кнопка «Настроить считыватели» — кнопка «Добавить» (при запуске утилиты без прав Администратора кнопка скорее всего будет неактивной) и из списка доступных считывателей выбираем нужные нам: Active co ru Token 0 (вместе с Active co ru Token 1 и Active co ru Token 2) или AKS VR 0 (а также AKS ifdh 0 и AKS ifdh 1), и подтверждаем выбор. Следом в этой же вкладке жмем кнопку «Настроить типы носителей», кнопка «Добавить» и из списка доступных носителей вновь выбираем нужные нам: Rutoken или Etoken.
— Устанавливаем личный сертификат. Снова запускаем утилиту КриптоПро — раздел “Сервис” — кнопка “Просмотреть сертификаты в контейнере” — кнопка “Обзор”. В появившемся окне доступных сертификатов выбираем нужную запись (если ранее на носитель были записаны другие сертификаты — в списке будет несколько строк на выбор) и подтверждаем выбор. В разделе “Сертификат для просмотра” — кнопка “Свойства” — кнопка “Установить сертификат”.
— Устанавливаем сертификат Удостоверяющего Центра. Как правило, сертификат УЦ должен быть на диске в комплекте с ЭЦП и на сайте самого Удостоверяющего центра. При установке сертификата УЦ важно выполнить следующее условие: в разделе “Хранилище сертификатов” необходимо переключить выбор в поле “Поместить все сертификаты в следующее хранилище”, выбрать в списке — Доверенные корневые центры сертификации, и подтвердить свой выбор. Для того, чтобы проверить, корректно ли установились сертификаты, запускаем IE — вкладка “Сервис” — раздел “Свойства обозревателя” — кнопка “Содержание” — кнопка “Сертификаты”. В разделе личных сертификатов находим и открываем нужную запись, в случае успешной установки Вы увидите примерно такую надпись:
Этот сертификат предназначается для:
Защищает сообщения электронной почты
Подтверждает удаленному компьютеру идентификацию вашего компьютера
Класс средства ЭП КС1
Класс средства ЭП КС2
1.2.643.5.5.66.1
В случае, если сертификат УЦ не был установлен или его срок действия закончился, а также если закончился срок действия личного сертификата, появится надпись: “Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации”.
Чаще всего, причиной отказа в аккредитации становится ошибка (или ряд ошибок), допущенная при оформлении документов, требуемых от компании при аккредитации.
— Если в документе больше 1 страницы (например, Устав или Выписка из налоговой) — необходимо упаковать документ в архив. Рекомендуемый формат архива — zip. При попытке прикрепить на площадку архивы в формате rar или 7z — могут возникать сообщения об ошибке.
— Общий объем одного файла не должен превышать 10 Мб. Если Ваш документ весит более 10 Мб, рекомендуется уменьшить разрешение страниц в документе или разделить документ на несколько архивов. При разделении документа на несколько архивов крайне не рекомендуется использовать базовую возможность архиватора автоматически разбивать архив на part1, part2… part100. Оператор ЭТП скорее всего не примет такое оформление документов. Рекомендуемый способ разделения архива — вручную распределить страницы документа по отдельным папкам, присвоить папкам понятные названия (например: Устав_страницы1_15) и добавить в архивы.
— сканировать необходимо ВСЕ страницы требуемых документов. Даже если они пустые. Даже если по-Вашему мнению они не нужны. Площадка (а потом и Госзаказчики) принимают к рассмотрению сканы документов только в том случае. если представлены сканы всех страниц. Самый распространенный пример: при аккредитации ИП требуется прикрепить скан страниц паспорта. Определенное количество аккредитуемых “пролетает” с первого раза, потому что по привычке сканируют только страницу с фотографией и пропиской.
— Все площадки, без исключения, не любят документы в формате “Приказ” (Приказ о назначении, Приказ о продлении полномочий и т.д.). Существенно сэкономить время поможет изначальное создание документов в формате “Решение” (Решение о назначении, Решение о продлении полномочий”).
— Если Ваши сотрудники метаются в поисках шаблонов документов для аккредитации, покажите им ссылку: http://ift.tt/1ly1KgP . Здесь есть всё и бесплатно.
Для корректной работы ЭЦП на электронных площадках необходимо выполнить еще несколько действий:
— В браузере IE раздел “Сервис” — “Свойства обозревателя” — “Безопасность” — “Надежные узлы”. Добавляем в надежные узлы все пять ЭТП в следующем формате (http и https):
http://ift.tt/1neBB2h
http://ift.tt/1ly1HBB
http://*.roseltorg.ru/
https://*.roseltorg.ru/
http://ift.tt/1neBDXH
http://ift.tt/1neBBiB
http://*.rts-tender.ru/
http://ift.tt/1ly1HBF
http://*.etp-micex.ru/
https://*.etp-micex.ru/
Добавляя адреса в надежные узлы, не ставим галочку “Для всех узлов этой зоны требуется проверка серверов (https:).
— там же, в разделе “Безопасность”, открываем раздел “Другой” и в появившемся списке прокручиваем скролл до раздела “Элементы ActiveX и модули подключения”. В этом разделе все переключатели ставим в состояние “Включить” и подтверждаем выбор. После этой процедуры рекомендуется вновь открыть раздел “Другой” и просмотреть раздел ActiveX, иногда некоторые переключатели слетают в состояние “выключить”.
— Сложность в аккредитации могут создать различные надстройки браузера, например: плагин Skype “click to call” и другие. В идеале, если какие-то конкретные надстройки Вам целенаправленно не нужны, отключите все. Открыть список надстроек можно через “Сервис” — “Надстройки”.
— Не лишним будет отключить еще и блокирование всплывающих окон.
Для успешного проведения аккредитации остается преодолеть последнюю сложность: установка библиотеки Capicom. На каждой ЭТП эту библиотеку нужно устанавливать отдельно (Capicom на РТС-Тендер не подойдет для ЭТП ММВБ и т.д.), также необходимо учитывать интересный нюанс: Capicom устанавливается в несколько этапов. Выглядит это так: при попытке открыть аккредитационную форму для заполнения данных появляется табличка или всплывающее окно, призывающее установить библиотеку Capicom или сопутствующий ей плагин. Кликом устанавливаем библиотеку, страница автоматически обновляется и вновь появляется сообщение о необходимости установить библиотеку и так по кругу. На площадке Сбербанк-АСТ необходимо дополнительно установить Capicom по ссылке: 32-bit (http://ift.tt/1neBBiF) 64-bit (http://ift.tt/1ly1HBH). На некоторых площадках эту процедуру (установка Capicom — автоматическое обновление страницы) необходимо повторить 5-7 раз, до полной установки библиотеки и появления другого сообщения, например, с предложением ввести пин-код устройства.
Полезная информация: если Вам не сообщили PIN Вашего токена, можно попробовать ввести стандартный код:
— для Рутокена: 12345678
— для Етокена: 123456789 или 1234567890
— заполнить все поля в формах заявлений на аккредитацию (5 площадок = 5 заявлений), при этом некоторые поля недоступны для ручного редактирования, т.к. автозаполняются информацией из ЭЦП;
— указать банковские реквизиты, в т.ч. и юридический адрес Вашего банка;
— прикрепить документы в соответствующие разделы (на площадках: Сбербанк-АСТ и Заказ РФ необходимо, перед подачей заявки на аккредитацию, отдельно подписать каждый прикрепленный документ);
— отправить заявку на аккредитацию, подтвердить заявку (на почту придет письмо с просьбой подтвердить заявку);
— приготовиться к шквалу звонков на номер телефона, который Вы указали при аккредитации. Будут предлагать — банковские гарантии и кредиты, тендерное сопровождение и прочее сопутствующее.
Несмотря на то, что регулярный вход на ЭТП осуществляется через электронную подпись, рекомендуется аккуратно записать и сохранить пары логин/пароль для каждой площадки.
Не сомневаемся, что у каждого, кто впервые встал на тропу аккредитации (пафос +100) — всё обязательно получится! Но если возникнут вопросы — добро пожаловать в комментарии.
This entry passed through the Full-Text RSS service — if this is your content and you"re reading it on someone else"s site, please read the FAQ at http://ift.tt/jcXqJW.
Сертификат компании GlobalSign
Как вы можете
увидеть, соединение с сервером компании происходит по безопасному соединению.
Это можно заметить, как по названию протокола https (в адресной строке вместо
стандартного fttрs://адрес_сайта.домен
имеется fttрs://адрес_сайта.домен),
так и по статусной строке, где имеется значок, напоминающий по форме замок
(рис. 10.6).
Рис. 10.6.
Шаг 6
Итак, чтобы
посмотреть сертификат (цифровую подпись сайта), дважды щелкните по значку-замку.
Появится следующее окно - информация о сертификате (рис. 10.7).
В окне имеется
несколько вкладок - Общие
(General), Состав
(Details), Путь
сертификации
(Certification Path).
Рис. 10.7.
Окно Сертификат,
вкладка Общие
Итак, сертификат:
После изучения
вкладки Общие
(General) уже можно прийти к предварительным выводам -
компания та, за кого себя выдает. Но пока e-mail еще не пришел, продолжаем изучение
сертификата.
Данные, находящиеся
во вкладке Состав
(Details), вы можете скопировать в файл. Для этого
достаточно нажать кнопку Копировать в файл
(Copy to File).
За время изучения
вами сертификатов GlobalSign уже прошло достаточно времени для генерации и получения
ссылки на вашу персональную электронную подпись. Проверьте почтовый ящик.
Пришло письмо
следующего содержания:
Dear
Sir, Madam,
You
have requested a GlobalSign digital certificate. We are certain that you will
enjoy the advantages!
In
order to download your certificate, please use the hyperlink below: http://secure.globalsign.net/en/receive/index.cfm?id=4272140124
Рис. 10.8.
Окно Сертификат,
вкладка Состав
Рис. 10.9.
Окно Сертификат,
вкладка Путь сертификации
For
an optimal use we would like to inform you that:
You have to notify GlobalSign immediately if there i s an error in your certificate.
Without reaction from your side within, 15 days after receipt you have accepted
the certificate.
When data are changed in your certificate, you have to revoke your certificate.
By accepting a certificate, the subscriber assumes a duty to retain control
of the subscriber"s private key, to use a trustworthy system, and to take reasonable
precautions
to
prevent its loss, disclosure or unauthorized use.
If
you experience any technical problems, please visit our support center for further
help at http://support.globalsign.net
Good
luck with your certificate!
Do
not hesitate to contact us for any information: [email protected]
Kind
regards, GlobalSign.
Для
тех, кто не понимает по-английски, привожу перевод:
Дорогой
сэр, мадам!
Вы сделали
запрос на получение цифрового сертификата GlobalSign. Мы уверены, что вам понравятся
наши преимущества.
Для того чтобы
загрузить ваш сертификат, пожалуйста, следуйте по ссылке:
http://secure.globalsign.net/en/receive/index.cfm?id=*******
Для оптимального
использования, мы бы хотели вас проинформировать:
Принимая сертификат,
подписчик понимает обязанность следить за "личным ключом", использовать
надежную систему, и не создавать ситуаций, ведущих к потере ключа.
Как вы можете увидеть, соединение с сервером компании происходит по безопасному соединению. Это можно заметить, как по названию протокола https (в адресной строке вместо стандартного https://адрес_сайта.домен имеется https://адрес_сайта.домен ), так и по статусной строке, где имеется значок, напоминающий по форме замок (рис. 10.6).
Рис. 10.6 . Шаг 6
Итак, чтобы посмотреть сертификат (цифровую подпись сайта), дважды щелкните по значку-замку. Появится следующее окно - информация о сертификате (рис. 10.7).
Рис. 10.7
. Окно Сертификат, вкладка Общие
В окне имеется несколько вкладок - Общие (General), Состав (Details), Путь сертификации (Certification Path).
Общие (General) - в данной вкладке дается общая информация о сертификате, в частности для чего он нужен, кому выдан, срок его годности.
Итак, сертификат:
Клиент 404260
Сколько будет стоить ЭЦП СМЭВ Сертификат предназначается для
Подтверждает удаленному компьютеру идентификацию вашего компьютера
Защищает сообщения электронной почты
Класс средства ЭП КС1
1.2.643.100.2.1
1.2.643.3.7.8.1
1.2.643.3.5.10.2.12
1.2.643.3.7.0.1.12
Михаил
1500 руб в год
Михаил
процедура следующая
Михаил
Вам необходимо заполнить заявку, оплатить счет, приехать к нам и забрать ЭЦП. Срок изготовления ЭЦП 1 рабочий день после оплаты.
Михаил
укажите емэйл, я вам все сброшу и распишу по ценам, по срокам, какие вам нужно подготовить документы, а также заявку.
Клиент 404260
филиал в Сургуте есть?
Михаил
есть
Клиент 404260
Ключ нужен на сотрудника от организации
Михаил
сделаем
Михаил
укажите почту я вам вышлю всю инфу
Михаил
я вам все выслал, письмо дошло до вас?
Михаил
Заявка на усиленную Квалифицированная электронная подпись для СМЭВа
Михаил
Данная услуга стоит 1500, в стоимость входит ЭЦП и прораммное обеспечение. Если нужен носитель ключевой Етокен (+ 1000 р). Срок изготовления после оплаты 1, 2 дня рабочих. Высылаю Вам заявку и перечень документов. Заявку заполняйте, я сделаю счет и договор. Вопросы будут звоните.
Заявку заполняем тут
Необходимо следующие документы (см. тут)
--
С уважением менеджер по работе с клиентами Куницын Михаил Владимирович (тел.: 8 800 7007 801
(бесплатный по России)), info@сайт
, сайт
Михаил
По вопросам какие нужно ставить галочки сообщите, я подскажу что ставить надо
Михаил
помогу правильно заполнить заявку
Михаил
по всем вопросам обращаться ко мне, меня зовут Михаил
Клиент 404260
Вы выдавали уже бюджетым организациям ключи?
Михаил
ну конечно
Михаил
у нас есть специальный раздел для СМЭВа в заявке
Клиент 404260
Если закажу за иличкудоговорнужебудет
Михаил
что?
Клиент 404260
налик
Михаил
вы можете через кассу сбербанка оплатить
Клиент 404260
я могу к вам приехать и у вас все заполнить
Михаил
вам надо заполнить заявку на нашем сайте
Клиент 404260
Специализированный квалифицированный сертификат для системы межведомственного электронного взаимодействия (СМЭВ) выбираю?
Михаил
да
Клиент 404260
у него точно есть Класс средства ЭП КС1
Пользователь Центра Регистрации, HTTP, TLS клиент
1.2.643.100.2.1
1.2.643.3.7.8.1
1.2.643.3.5.10.2.12
1.2.643.3.7.0.1.12
Михаил
ну конечно
Михаил
не вы первы и последний
Клиент 404260
затем Сертификат для использования должностным лицом
Михаил
да
Клиент 404260
Участник информационного взаимодействия с Росреестром в СМЭВ выираю нет
Михаил
тут вам надо посоветоваться с теме где будите работать
Михаил
я не могу точно сказать что вам надо
Михаил
обычно клиенты это сами знают
Клиент 404260
ключ нужен мне как сотруднику для работы от организации в АИС РППСУ
Клиент 404260
Почему выдачу указывает по другому адресу ООО СИТ
Михаил
указывайте этот адрес
Михаил
по другому адресу нет носителей из-за этого он не показывается
Добрый день, уважаемые подписчики, уверен, что в подавляющем большинстве вы слышали такие слова как сертификат безопасности или шифрования, либо SSL сертификат, и я уверен, что большинство из вас даже знает их назначение., если нет, то я вам об этом очень подробно расскажу на личных примерах, все как полагается, после этого вы уже будите более тонко понимать все рубежи безопасности, которые предоставляют нам SSL сертификаты, без них сейчас уже не возможно представить современный IT мир, с его банковскими переводами, электронной почтой smime или интернет магазинами.
Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:
Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.
SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.
Если рассматривать современный интернет, то там в качестве сертификата безопасности сервера и шифрования используется TLS, просто знайте это
Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.
сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.
В поле о сведениях о сертификате видим его предназначение:
Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.
Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:
Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.
Ну и схема стека SSL/TLS, для наглядности.
Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог сайт, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.
Если бы на сайт стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.
Вот еще одна красивая и наглядная схема создания защищенного канала.
На иллюстрации, черные стрелки показывают сообщения, которые отправляются открытым текстом, синие - это сообщения, подписанные открытым ключом, а зеленые - это сообщения, отправленные с помощью шифрования объёмных данных и того MAC, о которых стороны договорились в процессе переговоров.
Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.
Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.
Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:
там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.
Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.
Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.
Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.
Примеры двух сайтов CSR Decoder:
Состав CSR запроса
Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.
Что такое CA - Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.
В сертификате хранится следующая информация:
Основных видов сертификатов безопасности три:
И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.
approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:
Я обычно беру ящик postmaster@ваш домен
Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.
Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.
И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.
Сам сертификат шифрования extendet Validation - EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.
К расширенным сертификатам шифрования (extendet Validation - EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата
SSL cертификаты extendet Validatio выпускаются примерно от 10-14 дней, подходят как для некоммерческих организаций, так и для государственных учреждений.
Следующим важным вопросом, будет какие типы SSL - TLS сертификатов шифрования существуют, и их отличия и стоимость.
список сертификатов, у которых есть такая поддержка, IDN доменов:
В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.