Wylogowaliśmy Cię z Twojego konta. Zaloguj ponownie

Logowanie

  1. ... Strona główna
  2. / Produkty
  3. / Certyfikaty TLS (SSL)
Image
SSL_TLS_certyfikaty.png

Certyfikaty TLS (SSL)

Certyfikaty do zabezpieczania dostępu do serwera www. Do wyboru wersja Premium z ochroną do 3 domen lub wersja Wildcard z nieograniczoną liczbą subdomen.

od 538,00 zł netto
Wybierz opcję

Zabezpiecz swoją stronę internetową certyfikatem TLS (SSL). 
Certyfikaty TLS (SSL) służą do zestawiania bezpiecznych połączeń w ramach protokołu SSL (TLS) i poświadaczania wiarygodności domeny, z którą zestawiane jest połączenie. W ramach protokołu TLS/SSL wszystkie dane wymieniane pomiędzy urządzeniem, z którego korzysta użytkownik a serwerem, są szyfrowane i zabezpieczone przed odczytaniem przez osoby trzecie.  Certyfikat TLS/SSL może zawierać nazwę domenową potwierdzoną w procesie wydania certyfikatu oraz nazwę i adres właściciela domeny zgodne z danymi rejestrowymi – certyfikat OV TLS (SSL).

Wybierz opcję

Certyfikat Premium – zabezpiecza maksymalnie 3 domeny.
Certyfikat Wildcard – zabezpiecza maksymalnie 3 domeny i nieograniczoną liczbę subdomen do podpisywania i szyfrowania poczty.

Certyfikat TLS (SSL) możesz wygenerować w pełni online, wybierając jedną z dostępnych opcji:

STANDARDOWA

jeżeli posiadasz tzw. żądanie CSR wygenerowane na serwerze (podaj żądanie wydania certyfikatu CSR w trakcie składania zamówienia)

AUTOMATYCZNA

jeżeli serwer, dla którego ma być wystawiony certyfikat TLS (SSL), wspiera protokół ACME, umożliwiający elastyczne zarzadzanie cyklem życia certyfikatów w ramach organizacji, dzięki standardowym mechanizmom walidacji domeny, instalacji i zarządzania certyfikatami. Certyfikaty TLS(SSL) generowane są z okresem ważności 1 rok, liczonym od momentu wygenerowania certyfikatu.

Jeżeli wybierzesz sposób generowania certyfikatu TLS (SSL) z wykorzystaniem protokołu ACME, możesz wskazać pakiety, w ramach których będziesz automatycznie odnawiać certyfikaty:

pakiet na 1 rok

pozwala na wygenerowanie jednego certyfikatu

pakiet na 2 lata

pozwala na wygenerowanie jednego nowego certyfikatu oraz 3 odnowień

pakiet na 3 lata

pozwala na wygenerowanie jednego nowego certyfikatu oraz 5 odnowień

Wybierz wariant certyfikatu i dodaj do koszyka

Wybierz obsługę automatyczną ACME

W ACME walidacja domeny oraz generowanie certyfikatu zostaną przeprowadzone zgodnie z instrukcją. Informację o gotowym do pobrania certyfikacie otrzymasz e-mailem.    

Wybierasz obsługę standardową?

Generowanie certyfikatu w ścieżce standardowej wymaga potwierdzenia, że zarządzasz domeną wskazaną w zamówieniu, na jeden z poniższych sposobów:    

  • umieszczając rekord TXT w bazie DNS,
  • umieszczając otrzymany plik na serwerze
  • wprowadzając żądanie CSR.

ACME to standardowy protokół służący do automatyzacji walidacji domeny, instalacji i zarządzania certyfikatami X.509 do uwierzytelniania serwera.

Poniższe kroki przeprowadzą Cię przez konfigurację automatycznej instalacji certyfikatu z protokołem ACME.

W celu skorzystania z usługi ACME upewnij się, że spełnione są poniższe wymagania:

  1. Działający klient ACME zainstalowany na Twoim serwerze WWW - rekomendowany CertBotot. Instrukcja instalacji CertBota jest dostępna na stronie projektu EFF
  2. Oprogramowanie klasy OpenSSL. Zalecane jest używanie aktualnej, stabilnej wersji.
    Na rynku istnieje również wiele alternatywnych rozwiązań np. KeyStore Explorer, Google Tink itp. Poniższa instrukcja opiera się na openSSL i zakłada, że na komputerze jest już prawidłowo zainstalowany software. Komendy mają przykładowy charakter. Prośba o zwrócenie szczególnej uwagi na nazwy tworzonych plików. Powielanie komend może spowodować nadpisywanie danych!
  3. Dane autoryzacyjne w postaci: --eab-kid=IDENTYFIKATOR_KLUCZA; --eab-hmac-key=KLUCZ_HMAC, które otrzymałeś w podsumowaniu zamówienia na certyfikat TLS z obsługą ACME.
  4. Zamówienie jest potwierdzone.

certbot register -m TWOJ_EMAIL --agree-tos  \
--server https://acme.elektronicznypodpis.pl/directory \
--eab-kid=IDENTYFIKATOR_KLUCZA
--eab-hmac-key=KLUCZ_HMAC

Dla nowej pary kluczy

Za pomocą jednej komendy wygeneruj klucz prywatny w pliku: key.pem oraz żądanie CSR w pliku req.pem.
Dla OV, w temacie certyfikatu, oprócz nazwy własnej CN podaj obowiązkowo pola C - kraj (country), ST - województwo (state), L -miejscowość (locality), O - nazwa organizacji (organization).  Domena podana w nazwie własnej musi być również zawarta w rozszerzeniu subjectAltName.

openssl req -new -utf8 -subj "/C=PL/ST=mazowieckie/L=Warszawa/O=Nazwa Organizacji/CN=domena-testowa.pl"  -addext "subjectAltName = DNS:domena-testowa.pl"  -newkey rsa:2048 -keyout key.pem -out req.pem –nodes

Dodatkowe domeny można określić w powyższej komendzie, zmieniając odpowiednio przełącznik -addext:
-addext "subjectAltName = DNS:domena-testowa.pl,DNS:subdomena1.domena-testowa.pl,DNS:subdomena2.domena-testowa.pl"

 Dla istniejącej pary kluczy

openssl req -new -utf8 -subj "/C=PL/ST=mazowieckie/L=Warszawa/O=Nazwa Organizacji/CN=domena-testowa.pl"  -addext "subjectAltName = DNS:domena-testowa.pl"  -key key.pem -out req.pem

Przekaż wcześniej przygotowane żądanie req.pem na serwer ACME.

sudo certbot certonly --manual -d  domena-testowa.pl  \

         --server https://acme.elektronicznypodpis.pl/directory \
         --eab-kid=IDENTYFIKATOR_KLUCZA
         --eab-hmac-key=KLUCZ_HMAC
         --csr req.pem
         --preferred-challenges dns

W powyższej komendzie wskazano preferowaną metodę walidację poprzez DNS (--preferred-challenges dns). Alternatywnie można użyć http (--preferred-challenges http).

Podobnie jak w przypadku odnowień certyfikatów DV, certyfikaty OV utworzone za pomocą opcji --manual nie obsługują automatycznego odnawiania, chyba że użyte są w połączeniu ze skryptami przekazanymi w parametrach:
--manual-auth-hook, który automatycznie ustawia wymagane wartości HTTP i/lub DNS oraz
--manual-cleanup-hook, który automatycznie czyści ustawione wcześniej wartości HTTP i/lub DNS

openssl req -new -utf8 -subj "/C=PL/ST=mazowieckie/L=Warszawa/O=Nazwa Organizacji/CN=domena-testowa.pl"  -addext "subjectAltName = DNS:domena-testowa.pl"  -newkey rsa:2048 -keyout key.pem -out req.pem –nodes

Przekaż wcześniej przygotowane żądanie req.pem na serwer ACME.

sudo certbot certonly --manual -d  domena-testowa.pl \

         --server https://acme.elektronicznypodpis.pl/directory \
         --eab-kid=IDENTYFIKATOR_KLUCZA
         --eab-hmac-key=KLUCZ_HMAC
         --csr req.pem
         --preferred-challenges dns
         --manual-auth-hook authenticator.sh
         --manual-cleanup-hook cleanup.sh

Powyższa komenda zakłada, że w ścieżce istnieją skrypty: authenticator.sh oraz cleanup.sh

Skrypty automatyzujące ustawienia wartości wymaganych przez serwer ACME dla każdego środowiska mogą być indywidualne. Przykłady ich zastosowań dla http czy DNS można znaleźć w dokumentacji CertBot

Aby wyświetlić listę znanych CertBot’owi certyfikatów, uruchom komendę:

certbot certificates

W celu wyświetlenia informacji na temat konkretnego certyfikatu, użyj przełącznika – cert-name jak poniżej:

certbot certificates --cert-name domena-testowa.pl

Jeśli posiadasz plik klucz prywatny odpowiadający certyfikatowi, który chcesz unieważnić, użyj --key-path, aby wskazać ten klucz oraz --cert-path, aby określić ścieżkę do certyfikatu.

sudo certbot revoke --reason keycompromise  \

               --cert-path /home/user/0001_cert.pem
               --key-path /home/user/key.pem
               --server 'https://acme.elekronicznypodpis.pl'

Brak wskazania powodu odwołania w opcji – reason będzie skutkował przekazaniem na serwer powodu domyślnego - niewyspecyfikowanego (unspecified)

Serwer nie wspiera zawieszania certyfikatów, czyli wartości certificateHold w przełączniku --reason.

Klienci, którzy wybrali e-podpis Szafir

Image
Biuro_obsługi_klienta_desktop.png

Potrzebujesz pomocy?

Skontaktuj się z nami

22 545 55 55

Napisz do nas

lub skorzystaj z centrum pomocy