Как Let's Encrypt, только роднее: автоматическое получение бесплатного RSA DV-сертификата НУЦ

Значимый прорыв формирует отрасль ИИ: isinelobov 6 минут назад Как Let's Encrypt, только роднее: автоматическое получение бесплатного RSA DV-сертификата НУЦ Простой 3 мин 17 Системное администрирование * Веб-разработка * Туториал Из песочницы Зарубежные корневые центры сертификации (root CA) продолжают отзывать серверные сертификаты российских компаний, но есть способ не попасть под раздачу отзыв. Отечественный SSL сертификат для сайта можно бесплатно получить на портале " data-abbr="ЕПГУ ">ЕПГУ, заполнив несколько полей и выполнив несложное задание - добавить в DNS поле TEXT или положить файл к остальным файлам вашего сайта. Этот процесс наглядный, но не слишком быстрый и неудобный, особенно если сайтов у вас несколько или вы не уверены (например, как я), что через 89 дней вспомните, что сертификат на сервере пора обновить.

Да, сертификат для сайта (DV-сертификат) выдаётся на 90 дней. К счастью, специалисты НУЦ выпустили программу и инструкцию, как автоматизировать действия с сертификатом. Мой сайт статичный, использует nginx и работает на Ubuntu Linux (так дешевле хостинг).

Технические детали

Действовал я по инструкции от НУЦ и теперь сертификат для моего сайта будет обновляться автоматически. Для выпуска, обновления, отзыва сертификата используется модифицированная версия acme. 2 Использование программы оказалось для меня удобнее и быстрее, чем заполнение полей на ЕПГУ, а главное, не нужно помнить про периодическое обновление сертификата, так как программа ещё настроила и автообновление сертификата.

Итак, что делал:Получил корневой сертификат НУЦС портала ЕПГУ из раздела "Сертификаты для Linux" cкачал архив с корневыми сертификатами НУЦНа портале сертификаты НУЦ почему-то называются сертификатами Минцифры, хотя в самих сертификатах о Минцифры ни слова. И почему-то нет инструкции для Ubuntu, а только для RedHat, который ушёл из России. Так как автоматизация НУЦ выпускает DV-сертификаты безопасности с применением международных криптографических алгоритмов (читай RSA), из архива нам понадобится корневой сертификат с названием russian_trusted_root_ca_pem.

crt , который надо скопировать на сервер в Вашу домашнюю папку. Добавил сертификат НУЦ в LinuxСкопировал сертификат НУЦ, куда положено sudo cp ~/russian_trusted_root_ca_pem. crt /usr/local/share/ca-certificates/ и добавил его в список доверенных сертификатов sudo update-ca-certificates3.

Отраслевые последствия

shСкопировал и распаковал архив с программой , для этого пришлось установить разархиватор sudo apt install unrar-free, и лишь затем распаковать архив пограммы unrar -x acme_client_fix. rarСоздал папку mkdir ~/. sh, так как сама программа почему-то не смогла, установил acme.

sh --install -m myemail@example. ru и перезашёл в терминал. Настроил программу на НУЦ acme.

sh --set-default-ca --server и зарегистрировался в НУЦ acme. sh --register-account --email myemail@example. ru --accountkeylength 2048 myemail@example.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.