Настройка SSL для почты

Для почтового сервера сертификат будет самоподписанным.

ISPmanager 6 

В подменю выберите пункт «Почта», после «Почтовые домены». Найдите SSL-сертификаты.

В новом окне измените приватный ключ, сертификат на ваши, после пропишите цепочку.

CentOS 

Подготовка файла конфигурации:

vi /etc/exim/exim.conf

# TLS/SSL

tls_advertise_hosts = *

tls_certificate = /etc/exim/ssl/domain.ru.crt

tls_privatekey = /etc/exim/ssl/domain.ru.key

daemon_smtp_ports = 25 : 465 : 587

tls_on_connect_ports = 465

Поместите сертификат с цепочкой в  /etc/exim/ssl/domain.ru.crt. Ключи разместите по следующему пути: /etc/exim/ssl/domain.ru.key. 

Установите права на файлы сертификата:

chmod 444 /etc/exim/ssl/domain.ru.crt

chmod 400 /etc/exim/ssl/domain.ru.key

chown exim:exim  /etc/exim/ssl/domain.ru.crt

chown exim:exim  /etc/exim/ssl/domain.ru.key

Перезапустите exim:

systemctl restart exim

dovecot

vi /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/exim/ssl/domain.ru.crt
ssl_key = </etc/exim/ssl/domain.ru.key

Перезапустите dovecot:

systemctl restart dovecot

Debian/Ubuntu 

exim

vi /etc/exim4/exim4.conf.template
tls_certificate = /etc/exim4/ssl/domain.ru.crt
tls_privatekey = /etc/exim4/ssl/domain.ru.key

/etc/exim4/ssl/domain.ru.crt —  файл сертификата и цепочки

/etc/exim4/ssl/domain.ru.key — ключ

chown Debian-exim:Debian-exim /etc/exim4/ssl/domain.ru.crt

chmod 444 /etc/exim4/ssl/domain.ru.crt

chown Debian-exim:Debian-exim /etc/exim4/ssl/domain.ru.key
chmod 400 /etc/exim4/ssl/domain.ru.key

Перезапустите dovecot:

systemctl restart dovecot

Установка SSL от Let’s Encrypt на сервер (без панели)

Сертификаты — важный инструмент безопасности. Сертификат обеспечивает шифрование конфиденциальных данных пользователей (например пароли, банковские данные). Проекты, которые только набирают обороты, тоже нуждаются в защите, но для создателя в таком случае нецелесообразно сразу приобретать лучшую криптографическую защиту. Let’s Encrypt — решение, подходящее на старте. 

Let’s Encrypt — это центр сертификации, который предоставляет бесплатные криптографические сертификаты X.509.

Certbot

Подключитесь к серверу через SSH. Установите certbot.

Centos — yum install -y certbot

Debian/Ubuntu — apt install -y certbot

Сертификат WWW

certbot certonly —expand -d lamp.fvds.ru -d www.lamp.fvds.ru -w /var/www/html —webroot —email webmaster@lamp.fvds.ru —agree-tos —dry-run

В случае, если данная команда завершилась успешно — приступите к выпуску сертификата. 

certbot certonly —expand -d lamp.fvds.ru -d www.lamp.fvds.ru -w /var/www/html —webroot —email webmaster@lamp.fvds.ru —agree-tos -n

lamp.fvds.ru — заменить на своё

www.lamp.fvds.ru — заменить на своё

Когда вы закончите выпуск сертификата, перед вами появится сообщение:

IMPORTANT NOTES:

 — Congratulations! Your certificate and chain have been saved at:

   /etc/letsencrypt/live/lamp.fvds.ru-0001/fullchain.pem

   Your key file has been saved at:

   /etc/letsencrypt/live/lamp.fvds.ru-0001/privkey.pem

   Your certificate will expire on 2022-04-15. To obtain a new or

   tweaked version of this certificate in the future, simply run

   certbot again. To non-interactively renew *all* of your

   certificates, run «certbot renew«

 — If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                https://eff.org/donate-le

Путь до сертификата: /etc/letsencrypt/live

Wildcard сертификата

Wildcard защищает домен + все связанные с ним доменные имена (поддомены). 

Чтобы установить Wildcard, нужно настроить DNS. Настройка заключается в добавлении дополнительных записей TXT.

Команда:

certbot —manual —agree-tos —manual-public-ip-logging-ok —preferred-challenges dns certonly —server https://acme-v02.api.letsencrypt.org/directory -d *.lamp.fvds.ru -d lamp.fvds.ru

Вместо значений с * необходимо поставить свои (доменные имена). 

После запуска, появится сообщение:

Please deploy a DNS TXT record under the name
_acme-challenge.lamp.fvds.ru with the following value:

RYHdWpSmMuVjdJFZT9JGBs7zuQOFgN78f1Azt1fwNcc
Before continuing, verify the record is deployed.

Необходимо создать новую запись TXT для имени домена в DNS-реестре.

После того, как вы создали запись, возвращайтесь в терминал и нажмите «Enter» для того, чтобы продолжить инициализацию. Certbot запросит создание второй TXT записи. Чтобы её создать, повторите действия, приведенные ранее.

Установка SSL-сертификата на домен

После получения необходимых файлов и сертификата, необходимо встроить этот сертификат на сервер, чтобы потом им подписать ваше доменное имя. Данный материал описывает установку сертификата с помощью менеджера ISPmanager, а также установку напрямую, не используя утилиты.

Использование ISPmanager 6

Авторизируйтесь в качестве пользователя, который владеет необходимым доменом. Чтобы это сделать, войдите в систему с правами суперпользователя (root), после найдите в меню пункт «Пользователи«, выберите «Войти под пользователем».

Важно: вам необходимо подключить возможность использования SSL. В пункте «Пользователи», в настройках определенного пользователя найдите «Может использовать SSL», отметьте этот пункт.

В подменю «SSL-сертификаты« — «Добавить сертификат».

Тип сертификата — существующий.

Параметры:

Имя сертификата — имя формируется в зависимости от информации, которая содержится в сертификате + «_customX» Если у ваша версия панели < 6.19, то вам необходимо вручную установить имя сертификата. SSL-Сертификат — поле, для загрузки файла .crt. Ключ сертификата — содержимое приватного ключа (файл .key). Также вам необходимо представить в панель файл (.ca/.ctrca). Это цепочка сертификатов (сертификат, которым подписан ваш исходный). Содержимое сертификатов просто скопируйте из файлов и вставьте в подходящие поля.

Например: цепочка сертификатов от GlobalSign 

Вы получаете архив с файлами (файл .p7b сертификат и цепочка сертификата, файл с именем домена + открытый ключ + сертификат, корневой ключ цепочки сертификата, промежуточный ключ .crt).

Чтобы создать цепочки сертификата поместите в один файл .txt корневой ключ сертификата, после за ним, начиная с новой строки, промежуточный ключ и установите для него название GlobalSign.ca. Откройте файлы с ключами цепочки через любой текстовый редактор. Скопируйте содержимое, обязательно проверьте целостность скопированного кода.

Когда вы добавили сертификат, переходите на страницу «Сайты», запустите сервер. Вы увидите установленный сертификат. Но если настройки сайта будут меняться, то файлы конфигурации будут перезаписаны автоматически.

Изменения в файлах, которые вы вносили руками, могут не сохраниться. В случае возникновения подобной ситуации вам нужно перейти в /var/www/httpd-cert/ИМЯ_ПОЛЬЗОВАТЕЛЯ/ИМЯ_СЕРТИФИКАТА и повторно внести нужные изменения.

Проверка сертификата

Используйте ресурс: https://www.ssllabs.com/ssltest/analyze.html

Для проверки валидности работы установленного сертификата: https://www.sslshopper.com/ssl-checker.html

Установка SSL-сертификата без использования внешних панелей

В первую очередь, подключитесь к серверу по SSH. 

Проверьте порт 443 — (netstat -napt | grep 443 или ss -tlpn | grep 443 или sockstat | grep 443 для FreeBSD). 

Образец вывода: root      httpd      83299 19 tcp4   188.120.225.20:443    *:*

Установка с использованием файла конфигурации веб-сервера

Apache

Путь для установки сертификата:

UBUNTU/DEBIAN — /etc/apache2/apache2.conf

Centos — /etc/httpd/conf/httpd.conf

FreeBSD — /usr/local/etc/apache22/httpd.conf

Создайте <VirtualHost>, чтобы осуществить SSL-соединение:

<VirtualHost 10.0.0.1:443>

  DocumentRoot /var/www/user/data/www/domain.com

  ServerName domain.com

  SSLEngine on

  SSLCertificateFile /path/to/domain.crt

  SSLCertificateKeyFile /path/to/domain.key

  SSLCACertificateFile /path/to/ca.crt

</VirtualHost>

Где:

• domain.com — доменное имя вашего домена
• 10.0.0.1 — IP адрес домена
• /var/www/user/data/www/domain.com — путь до домашней директории, где расположен ваш домен
• /path/to/domain.crt — файл с сертификатом
• /path/to/domain.key — файл с ключом для сертификата
• /path/to/ca.crt — файл, содержащий корневой сертификат

После установки изменений, используйте команду:

apachectl -t

Если получено сообщение — Syntax OK, то можете перезапустить сервер — systemctl restart apache2 или systemctl restart httpd или apachectl restart

NGINX

Откройте файл конфигурации сервера. Путь: /etc/nginx/nginx.conf

Инициализируйте модуль SSL:

server {

        listen 10.0.0.1:443;

        server_name domain.com;

        ssl                  on;

        ssl_certificate     /path/to/domain.crt;

        ssl_certificate_key  /path/to/domain.key ;

  }

domain.com — доменное имя
10.0.0.1 — IP, который принадлежит домену
путь — /path/to/domain.crt (сертификат)
/path/to/domain.key — ключ сервера (путь)

Цепочка сертификата добавляется в файл с самим сертификатом.

После того, как вы изменили файл конфигурации, проверьте наличие ошибок в синтаксисе, а также ваши вставленные данные.

nginx -t — проверка конфигурации

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

Если вы увидели подобный вывод, то SSL настроен корректно

systemctl restart nginx — перезапуск сервера

SSL-сертификаты (несколько) на едином IP

Браузер получит сертификат сервера, выставленный по умолчанию. Это не зависит от недостаточной настройки, так работает SSL. Чтобы разрешить работы нескольких сертификатов на одном IP, необходимо воспользоваться расширением SNI протокола TLS. Ссылка на документацию (https://tools.ietf.org/html/rfc6066). Данный модуль позволит установить SSL-handshake, во время которого сервер определит необходимый сертификат для использования. Большинство современных браузеров поддерживает это решение, но стоит обратить внимание также на версию библиотеки OpenSSL, она должна быть > 0.9.8f.

Полезные команды Openssl

• Создание ключа для SSL-сертификата:

openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key

• Сгенерировать CSR-запрос:

openssl req -new -key cert.key -out cert.csr

• Сделать ключ без пароля:

openssl rsa -in cert.key -out cert.key

•  CSR данные:

openssl req -noout -text -in cert.csr

• Данные сертификата (проверить кем выдан, например):

openssl x509 -noout -text -in cert.crt

• Проверить, что ключ соответствует сертификату:

openssl x509 -noout -modulus -in cert.crt | openssl md5

openssl rsa -noout -modulus -in cert.key | openssl md5

Два последних значения должны совпадать, в нашем случае это md5.

• Узнать длину запроса:

echo ‘(‘ `openssl req -noout -modulus -in cert.csr | cut -d’=’ -f2 | wc -c` ‘-1)*4’ | bc

• Проверить HTTPS:

openssl s_client -host  ulanovka.ru -port 443

Установка SSL-сертификата Windows Server

Процесс разделен на этапы, чтобы разобрать каждый этап отдельно.

Добавление сертификата на сервер

Чтобы вы смогли произвести установку сертификата на ваш сервер, перейдите в «Диспетчер серверов». Цепочка кнопок: Пуск — Администрирование — Диспетчер Серверов.

После как вы перешли в данное меню, найдите «Диспетчер служб IIS». В подменю выберите «Сертификаты сервера».

Ваши дальнейшие действия зависят от места, где был сгенерирован CSR.

Способ генерации CSR: самостоятельно с помощью личного кабинета

Если у вас уже есть ключ в вашем личном кабинете, то совершите экспорт этого ключа в формате .pfx файла. Для импорта ключа на сервер, найдите пункт «Действия» в меню, после выберите «Импортировать».

По прохождению данного этапа система оповестит вас о том, что сертификат стал доступным. Посмотреть подробную информацию можно в меню «Сертификаты сервера».

Подключение SSL-сертификата на домен

Перейдите в меню настройки конфигурации сайта. Найдите пункт «Подключения», выберите нужный сайт и нажмите на кнопку «Привязки».

В новом окне введите данные (кнопка «Добавить»). Образец следующий:

• ТИП — https 
• ПОРТ — 443
• Имя узла — имя домена 
• IP — IP сайта 

После заполнения всех полей, нажмите «ОК». Перезагрузите сервер. Чтобы проверить успешность установки сертификата на веб-ресурс, достаточно взглянуть на URL. Если сайт стал доступен по https — установка прошла успешно.

Команды OpenSSL

Создать ключ для SSL-сертификата:

• openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key

Если вы потеряли инициализированный пароль или файл-ключ, то единственное решение — перевыпуск сертификата

Генерация запроса CSR:

• openssl req -new -key cert.key -out cert.csr

Доменное имя (цель запроса) пропишите в Common Name — example.com. Далее нажмите Enter

Единая команда для одновременного создания запроса и ключа:

• openssl req -batch -new -newkey rsa:2048 -nodes -keyout cert.key -subj ‘/C=RU/ST=Moscow/L=Moscow/O=Jingel Inc/OU=Research team/emailAddress=root@example.com/CN=example.com’ -out cert.csr

Единая команда для одновременного создания ключа и самоподписанного сертификата:

• openssl req -newkey rsa:1024 -nodes -keyout server.key -out server.crt -x509 -days 3650 -subj \»/C=XX/ST=XX/L=XX/O=XX/OU=XX/CN=example.com/emailAddress=»root@example.com

Уничтожить пароль для ключа (в случае, если сертификат ставится в ручном режиме для конфигурации Apache, иначе пароль не снимется):

• openssl rsa -in cert.key -out cert.key

после введите новый пароль

Мониторинг данных CSR:

• openssl req -noout -text -in cert.csr

Мониторинг данных сертификата:

• openssl x509 -noout -text -in cert.crt

Проверка на соответствие ключа и сертификата:

• openssl x509 -noout -modulus -in cert.crt | openssl md5
• openssl rsa -noout -modulus -in cert.key | openssl md5

Полученные значения в результате исполнения команд должны быть идентичными

Узнаем длину запроса:

• echo ‘(‘ `openssl req -noout -modulus -in cert.csr | cut -d’=’ -f2 | wc -c` ‘-1)*4’ | bc

Проверка выдачи HTTPS:

• openssl s_client -connect localhost:443 -state -debug 
• GET / HTTP/1.0

Для почты:

• openssl s_client -connect localhost:993 -showcerts

PFX-контейнер, создание из файлов ключа и сертификата:

• openssl pkcs12 -export -in certificate.crt -inkey certificate.key -out certificate.pfx

Изменение SSL-сертификата:

• openssl req -new -newkey rsa:1024 -nodes -keyout /etc/pki/tls/private/localhost.key -x509 -days 5000 -out /etc/pki/tls/certs/localhost.crt

Установка SSL-сертификата на Apache

После того как вы заказали сертификат и сгенерировали запрос на валидацию, нужно установить полученные пакеты .crt/.ca на сервер. 

.ca - файл сертификатов 
.crt - файл, сконфигурированный для сайта

Загрузка необходимых файлов на сервер

В случае, если ваш сервер без графического интерфейса, то лучше перенести файлы, предварительно положив их в другой компьютер.

Переносим файлы с Linux/Mac OS

Опция SCP встроена в терминал системы. Положите .ca/.crt на локальный ПК. После, запустите терминал и найдите директорию, в которую сохранили файлы сертификатов. С помощью SCP перенесите файлы на сервер:

scp crt.crt ca.crt user@1.22.33.444:/etc/ssl

• scp — копирование файлов
• mydomain.ru_crt.crt — сертификат веб-сайте
• mydomain.ru_ca.crt — сертификат Центра Авторизации
• user — root или иное имя пользователя, установленное для подключения к серверу по SSH
• 1.22.33.444 — IP сервера
• /etc/ssl — путь до папки, которую вы сохраните файлы

Переносим файлы сертификатов с Windows

Вам необходимо инсталлировать WinSCP. Ссылка: https://winscp.net/download/WinSCP-5.9.1-Setup.exe 

Запустите программу. Заполните строки валидными параметрами для соединения по SSH. Левая часть интерфейса инструмента — список файлов на локальном ПК, правая — список файлов, которые находятся на сервере. Перетащите сертификаты из левого поля в правое. 

Через терминал это делается следующим образом:

cp /home/root/private.key /<span style="font-size: 12.6px;">etc</span>/ssl/private.key

• cp — копирование
• /home/root/ — путь до ключа
• private.key — файл ключа
• /etc/ssl/private.key — путь, для копирования файла ключа

Чтобы удалить старый ненужный файл конфигурации:

rm /home/root/private.key

Встраиваем SSL-сертификат в Apache

Вы получили заказанные сертификаты. Теперь вам необходимо подогнать настройки вашего сервера под интеграцию с SSL. Произведите подключение к веб-серверу по SSH с правами администратора и выполните следующее: 

1. включите поддержку SSL на сервере — a2enmod ssl (Ubuntu)

yum install mod_ssl (Cent OS)

2. отредактируйте конфигурационный файл сервера, на котором будут развернуты сертификаты с помощью утилиты nano. Вставьте в файл следующий код:

SSLEngine on
SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt

SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt

SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key

Где:

• /etc/ssl/mydomain.ru_crt.crt — путь к сертификату 
• /etc/ssl/mydomain.ru_ca.crt — путь до файла цепочки сертификатов Центра Сертификации (CA)
• /etc/ssl/mydomain.ru_key.key — путь к закрытому ключу

Примечание: если вам необходимо, чтобы после инсталляции SSL ваш сайт был доступен только по защищенному протоколу https, измените его конфигурационный файл (добавьте код):

<strong><VirtualHost *:443></strong>         # The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request's Host: header to
# match this virtual host. For the default virtual host (this file) this
# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.
#ServerName www.mydomain.ru

ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
<strong> SSLEngine on
SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt
SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt
SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key</strong>
</VirtualHost>

При использовании HTTPS + HTTP

<strong><VirtualHost *:443></strong>
# The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request's Host: header to
# match this virtual host. For the default virtual host (this file) this

# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.
#ServerName www.mydomain.ru
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the

# following line enables the CGI configuration for this host only

# after it has been globally disabled with "a2disconf".

#Include conf-available/serve-cgi-bin.conf

<strong>        SSLEngine on

SSLCertificateFile /etc/ssl/mydomain.ru_crt.crt

SSLCertificateChainFile /etc/ssl/mydomain.ru_ca.crt

SSLCertificateKeyFile /etc/ssl/mydomain.ru_key.key</strong>

</VirtualHost>

<VirtualHost *:80>

# The ServerName directive sets the request scheme, hostname and port that

# the server uses to identify itself. This is used when creating

# redirection URLs. In the context of virtual hosts, the ServerName

# specifies what hostname must appear in the request's Host: header to

# match this virtual host. For the default virtual host (this file) this

# value is not decisive as it is used as a last resort host regardless.

# However, you must set it for any further virtual host explicitly.

#ServerName www.mydomain.ru

ServerAdmin webmaster@localhost

DocumentRoot /var/www/html

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,

# error, crit, alert, emerg.

# It is also possible to configure the loglevel for particular

# modules, e.g.

#LogLevel info ssl:warn

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

# For most configuration files from conf-available/, which are

# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
</VirtualHost>

После модификации файла конфигурации, вам необходимо перезагрузить APACHE:

/etc/init.d/apache2 restart (Ubuntu)
apachectl restart (Cent OS)

В случае, если сервер использует межсетевой экран IPTABLES, вам необходимо разрешить внешнее подключение по https:

ufw allow 443/tcp

Проверка настроек

Для проверки валидности конфигурации откройте откройте ваш-веб сайт в браузере по протоколу HTTPS (например, https://mydomain.ru). Если сертификат установлен корректно, в адресной строке вашего браузера вы увидите иконку замка. 

Валидация SSL-certificate

Низший уровень доверия — валидация домена. Для подтверждения владения доменом существует несколько сценариев.

Используя электронный почтовый ящик

Администратору доменного объекта нужно организовать почтовый ящик, на который поступит сообщение от центра сертификации. Возможные варианты имён:

admin@<доменное имя>
administrator@<доменное имя>
webmaster@<доменное имя>
hostmaster@<доменное имя>
postmaster@<доменное имя>

В письме будет специальный код + ссылка для подтверждения. Перейдите по этой ссылке, скопируйте в соответствующую строку код.

DNS-записи

Вы сгенерировали подпись сертификата. У вас появится хеш, который необходимо использовать в настройках доменной зоны, а конкретно в записи CNAME:

_<MD5 hash value from CSR>.<доменное имя>. CNAME <SHA-256 hash value from CSR>.[<uniqueValue>.]comodoca.com.

Запись является валидной при условии, если после доменного имени стоит “.”. CNAME не требует указывать www при любых условиях. Мультидомены должны быть распределены по отдельным записям:

_09f7e02f1975bf211da707a341f153b3.subdomain0.mydomain.com. CNAME 3d874ab7b199418a9014258369048163.9eb1f1472f4da5aa1ab5bcca1b0df53.comodoca.com.

Для домена www:

_81f9e13a1855bf221da717a341f153b3.mydomain.com. CNAME 3d874ab7bacd5f2e3a9e1f2b3a3cc163.1ae0cbd19f4da5aa1ab5bcca1aedf64.comodoca.com.

HTTPS

Вы получили хеш (код). Чтобы подтвердить подлинность, создайте файл .txt и разверните его в соответствии с шаблоном:

http://<mydomain>/.well-known/pki-validation/<хеш-значение MD5 в верхнем регистре>.txt

Файл должен содержать в себе 2 строки: на первой хэш-код, на второй comodoca.com

Обращаем внимание, что если вы используете редиректы — валидация не пройдёт успешно, поэтому перепроверьте заранее организованные каталоги, указанные в пути к файлу, наименование текстового файла должно быть указано в верхнем регистре, содержимая информация в файле не нуждается в разделении “.”, в конце “.” также не ставится.

К примеру, есть url —

http://mydomain.com/.well-known/pki-validation/81F9E13A1855BF221DA717A341F153B3.txt

, текстовый файл (последний элемент в пути) содержит

3d874ab7bacd5f2e3a9e1f2b3a3cc1631ae0cbd19f4da5aa1ab5bcca1aedf64 и comodoca.com

Валидация организации

В первую очередь, подтвердите домен. Центр Сертификации в частном порядке проводит проверку, в результате которой выясняется, существует ли организация или нет. Вы можете добавить организацию в список открытых реестров данных. Местонахождение организации подтверждают с помощью уставов, выданных гос. лицензий, копий выписок из банковских учреждений и тд. Также, вы можете подтвердить домен, если будет существовать нотариально заверенное письмо.

Валидация расширенного уровня

Вам будет необходимо заполнить специальную форму. После пройти валидацию организации, потом валидацию домена. Завершающим этапом является звонок из центра сертификации. Если все данные совпадают и являются валидными, сертификат будет выпущен и подписан.