Openssl -что это? 21 пример команд openssl, которые помогут вам на практике

Для чего сайту нужен SSL-сертификат?

Как уже было сказано выше, очень важно, чтобы данные, которые передаются между пользовательским компьютером и сервером, не попали в третьи руки. В первую очередь речь идет о данных, связанных с финансовыми операциями: денежных транзакциях, банковских картах и так далее

Так что ответ на вопрос «Для чего нужен SSL-сертификат для сайта» – для того, чтобы обеспечить безопасное соединение между браузером клиента и сервером.

Следующий вопрос, который может у вас возникнуть, – а так ли необходимо устанавливать SSL-сертификат на свой сайт? Ответ один – да, это необходимый элемент любого сайта.

Почему вебмастера все чаще стали устанавливать SSL-сертификаты?

Перед тем, как разобраться в причинах популяризации безопасного протокола передачи данных, нужно понять, как он работает. Если говорить простыми словами, то передача данных при HTTP и HTTPS отличается зашифрованностью. В одном случае вся информация отправляется на сервера в чистом виде, в другом же, соответственно, в зашифрованном.

То есть, вот введете вы свой пароль в поле на каком-нибудь сайте без SSL. Ушлые хакеры легко перехватят эти данные и смогут их использовать в своих корыстных целях или, как правило, просто занесут ваш аккаунт в базу, которую при желании кто-то сможет купить или скачать.

Современные браузеры и антивирусное ПО всегда предупреждают пользователей, что определенный сайт не использует шифрование. Кто-то это проигнорирует, а кто-то закроет такой сайт и больше никогда не откроет.

Поэтому использование HTTPS на коммерческих проектах обязательно! Вы не должны подвергать своих клиентов риску, поэтому не поскупитесь на приобретение сертификата.

Другой, более приземленной причиной, является доступность сертификатов начального уровня. Многие хостеры предлагают установить SSL бесплатно, просто в один клик. Но не думайте, что эти компании уходят в минус, предлагая установить что-то бесплатно.

Сейчас набирает популярность один очень перспективный сервис сертификации. Он носит название Let`s Encrypt и является опенсорсным проектом, т. е. с открытым исходным кодом.

Let`s Encrypt предоставляют сертификаты абсолютно бесплатно всем желающим. Для установки SSL достаточно просто указать домен и пройти проверку с помощью записей DNS или размещения файла на сервере. Многие хостинги подхватили эту идею и организовали быструю и бесплатную установку Let`s Encrypt на сайты клиентов.

Конечно же, и сами вебмастера были готовы поставить себе шифрование, тем более, бесплатно. По этой причине сейчас большая часть всех блогов в Рунете использует защищенное соединение.

Преимущества установки SSL

Какие основные преимущества установки защитного шифрования можно выделить помимо прочих плюшек SSL-сертификата? Их несколько:

• Безопасность ресурса с помощью зашифрованного протокола. Данные, которые собираются на блогах (контактные формы и т. д.), остаются в безопасности. Вы можете без опасений вводить пароль на любом из таких сайтов и не бояться, что его перехватят.
• Приоритетность за счет естественного выбора пользователями защищенных ресурсов с зеленым замком. Не все пользователи готовы рисковать безопасностью своих данных и посещать сайты и блоги, незащищенные HTTPS-протоколом.
• Скорость передачи данных – еще одно выгодное преимущество перевода сайта на зашифрованный протокол. Обновленный протокол передачи HTTP/2 работает быстрее, чем его более старый аналог. И этот самый вариант работает только по защищенному каналу (в большинстве случаев) – то бишь по HTTPS.

Бесплатные сертификаты

Самоподписанные сертификаты

Самоподписанный (самоизданный, самозаверенный, self-signed) сертификат — тот, который вы сами создали для своего домена или IP-адреса. Многим владельцам сайтов может показаться, что это идеальный вариант:

• Бесплатно.
• Доступно. Такой SSL-сертификат может создать любой владелец домена.
• Без обращения к поставщикам услуг. Не нужно ждать ответа от центра сертификации.
• Быстро. Но только если вы знаете, что делать и как пользоваться специальными программами или библиотеками. Например, для Windows можно воспользоваться криптографическим хранилищем OpenSSL или консолью PowerShell. 
• Можно создать сколько угодно сертификатов.

Вам уже кажется, что выбор сделан и читать дальше нет смысла? Всё не совсем так.

Минусы

• Нет надёжной защиты. Браузеры не доверяют таким сертификатам, потому что заверяют их не специальные центры, а неизвестный им человек или юрлицо. 
• Есть риск потерять данные. Причём как пользователей, так и ваши, с сайта компании.
• Отпугивает посетителей сайта. Пользователи, заходя на страницу с самоподписанным сертификатом, видят предупреждение о небезопасности: в результате количество посетителей сайта, готовых совершать на нем действия, снижается. Мало ли что — вдруг сайт мошеннический.
• Возможные ошибки в оформлении и отображении сертификата, если он был создан неправильно.

Если вам нужно провести тесты на внутренних ресурсах компании, а заморачиваться с доверенными сертификатами не хочется, можно сделать самоизданный SSL-сертификат. Но и здесь вы рискуете: если у вас крупная компания, понадобится много труда и времени, чтобы наладить работу и объяснить всем сотрудникам, что делать с этим страшным предупреждением об опасности. В целом же, на практике использовать такой сертификат точно не стоит.

Бесплатные доверенные сертификаты

Такие SSL-сертификаты можно оформить довольно быстро. Часто ими пользуются стартапы, чтобы понять, что вообще такое SSL и как это работает. Бывают только одного вида — DV SSL (Domain Validation). Это сертификаты, удостоверяющие доменное имя. 

Плюсы

• Быстро. Такой сертификат могут выдать вам уже через несколько минут. Всё потому, что тип такого сертификата — DV (Domain Validation) SSL и для его оформления нужно только подтверждение владения доменом, как и у платных DV.
• Просто получать и устанавливать.
• Отлично подойдёт для теста с возможностью сэкономить в первые несколько месяцев.
• Известные компании-поставщики. Те же Let’s Encrypt на рынке с 2012 года и поддерживаются Google, Facebook и другими крупными корпорациями.

Минусы

• Небольшой срок действия. Например, сертификаты Let`s Encrypt необходимо перевыпускать каждые 3 месяца.
• Сложности с продлением. Хостеры автоматически продлевают некоторые бесплатные сертификаты. Но здесь бывают проблемы. Перед выпуском сертификационный центр обращается к сайту за специальным файлом. Иногда он в системе не обнаруживается: не было места на диске и файл не записался, во время проверки почему-то закрылся доступ к сайту и пр. Итог один — сертификат не обновляется, а вы даже не узнаете об этом, если не решите вдруг проверить срок действия вручную.
• Отсутствие поддержки. Для корректной работы SSL-сертификата важна грамотная полноценная поддержка (по телефону, по email, в чатах). Она недоступна для бесплатных SSL. На официальных сайтах удостоверяющих центров, как правило, размещены ответы на часто задаваемые вопросы, которые в основном описывают общие случаи и могут быть бесполезны для решения конкретной проблемы. Также есть неофициальная информация на тематических форумах, но среди неё ещё надо найти нужную.
• Есть вероятность не заметить, что сертификат не работает. Как мы писали выше, посмотреть сроки действия сертификата можно вручную. Есть и другой способ: проверять даты с помощью специального скрипта, который не так просто создать. Поддержки нет. Если не проверять сроки, можно пропустить время продления, и сертификаты будут аннулированы. В безопасности сайта появятся дыры, посетители, увидев уведомление о ненадёжности сайта, станут покидать сайт и трафик снизится.

В 2017 году кредитное бюро Equifax сообщило о масштабном взломе: хакеры украли данные 143 млн человек — почти половины населения США. Это произошло отчасти из-за истечения срока действия сертификата, который был неактивным в течение 19 месяцев.

Что такое SSL?

Secure Sockets Layer (SSL) – это протокол безопасности, который создает зашифрованную связь между веб-сервером и веб-браузером. Это гарантирует, что все переданные данные останутся конфиденциальными.

Вы видели значок замка рядом с URL-адресом в адресной строке, когда вы переходите на определенные сайты, верно? Это означает, что сайт защищен SSL.

На вашем сайте должен быть SSL, особенно если вы используете свой сайт для обработки финансовых транзакций. Это защитит вас от утечки данных и даст посетителям веские основания доверять вам конфиденциальную информацию. Это также улучшает ваш рейтинг в результатах поиска.

Но сертификаты SSL могут быть дорогими, если вы не знаете, где искать и что покупаете.

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

#!/bin/bash

certfile="root.cert.pem"
certname="My Root CA"

for certDB in $(find ~/ -name "cert9.db")
do
	certdir=$(dirname ${certDB});
	certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir}
done

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

bash ./CAtoCert9.sh

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

• В настройках Chrome: Конфиденциальность и безопасность → Безопасность → Настроить сертификаты → Центры сертификации
• В настройках Chromium: Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации

Нажмите кнопку «Импорт»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Нажмите кнопку «Импортировать»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Почему бесплатный сертификат?

Есть несколько видов SSL сертификатов. Чем круче — тем больше компенсация вам на случай, если кто-то взломает соединение, и еще в браузере будет писаться название вашей компании.

Для малого бизнеса это совершенно не нужно. Все, что нам нужно – самый простой сертификат(Essential). Он всего лишь позволяет установить защищенное соединение с вашим сайтом и удостовериться, что посетитель на нем.

Так почему же бесплатный? Потому что покупая этот самый простой сертификат за деньги вы платите за воздух. Никаких сложных вычислений не происходит. Все делается автоматически. Даю зуб, что на сервере за 300 руб/мес. можно сгенерировать сертификаты для всего Рунета максимум за 1 месяц, если не 1 день.

А почему же тогда их продают за деньги, спросите вы? Да просто потому что это халявные деньги. На официальном сайте Комодо они просят $76 в год минимум. На другом же сайте можно найти их же сертификат за $8. Вообще, они могли бы его и бесплатно отдать, но 76 баксов то не лишние

Минусы платных сертификатов:

1. Платите деньги за воздух и поощряете продавцов воздуха
2. Будете платить еще в 10 раз больше денег если вам нужен сертификат для субдоменов (потому что потребуется другой сертификат — Wildcard или нужно покупать по сертификату на каждый поддомен)

В любом случае не платите за них более чем $8 в год.

Минусы бесплатных сертификатов:

1. Не работают в старых браузерах и операционных системах(там где не поддерживается SNI)

Эту проблему кстати можно достаточно легко решить, просто не включая SSL для этих старых браузеров/ОС. Если вам кто-то будет настраивать это или вы сами, то вот ссылка (правило для .htaccess).

Создание центра сертификации

Настройка атрибутов базы CA в конфигурации ssl

lan# cat /etc/ssl/openssl.cnf

...

...
dir           = /root/CA

certificate   = /var/www/html/ca.crt

crl           = /var/www/html/ca.crl

private_key   = $dir/ca.key
...

cd
mkdir CA
mkdir CA/certs
mkdir CA/newcerts
mkdir CA/crl
touch CA/index.txt
echo "01" > CA/serial
echo "01" > CA/crlnumber

Создание зашифрованного приватного ключа

lan# openssl genrsa -des3 -out CA/ca.key 2048

Generating RSA key, 2048 bits
Enter PEM pass phrase:Pa$$w0rd
Verifying - Enter PEM pass phrase:Pa$$w0rd

Настройка атрибутов организации в конфигурации ssl

lan# cat /etc/ssl/openssl.cnf

...

...
countryName_default           = RU
stateOrProvinceName_default   = Moscow region
localityName_default          = Moscow
0.organizationName_default    = cko
organizationalUnitName_default = noc
emailAddress_default          = [email protected]


...

Создание самоподписанного корневого сертификата

lan# openssl req -new -x509 -days 3650 -key CA/ca.key -out /var/www/html/ca.crt

Enter pass phrase for ca.key:Pa$$w0rd
...
Common Name (eg, YOUR name) []:corpX.un

Шаг 7. Подтверждение права владения

Теперь у вас есть сертификаты для корневого и подчиненного ЦС. Вы можете подписывать сертификаты устройств с помощью любого из них. Тот, который вы выберете, следует отправить в Центр Интернета вещей. В следующих шагах предполагается, что вы используете сертификат подчиненного ЦС. Чтобы отправить сертификат подчиненного ЦС в Центр Интернета вещей и зарегистрировать его:

1. На портале Azure перейдите к нужному Центру Интернета вещей и выберите Параметры > Сертификаты.

2. Щелкните Добавить, чтобы добавить новый сертификат подчиненного ЦС.

3. Введите отображаемое имя в поле Имя сертификата и выберите ранее созданный PEM-файл сертификата.

Примечание

Созданные выше сертификаты CRT совпадают с сертификатами PEM. Вы можете просто изменить расширение при отправке сертификата, чтобы подтвердить принадлежность, или использовать следующую команду OpenSSL.

1. Щелкните Сохранить. Сертификат появится в списке сертификатов с состоянием Не проверено. Процесс подтверждения позволит подтвердить, что вы владеете сертификатом.

2. Выберите сертификат, чтобы открыть диалоговое окно Сведения о сертификате.

3. Щелкните Создать код проверки. Дополнительные сведения см. в руководстве Подтверждение владения сертификатом центра сертификации.

4. Скопируйте код проверки в буфер обмена. Этот код проверки необходимо задать в качестве субъекта сертификата. Например, если код проверки имеет вид BB0C656E69AF75E3FB3C8D922C1760C58C1DA5B05AAA9D0A, добавьте его в качестве субъекта сертификата, как показано на шаге 9.

5. Создайте закрытый ключ.

1. Создайте запрос на подписывание сертификата (CSR) на основе закрытого ключа. Добавьте код проверки в качестве субъекта сертификата.

1. Создайте сертификат, используя файл конфигурации подчиненного ЦС и CSR, чтобы подтвердить владение сертификатом.

1. Выберите новый сертификат в представлении Сведения о сертификате. Чтобы найти файл PEM, перейдите в папку certs.

2. После отправки сертификата щелкните Проверить. Состояние сертификата ЦС должно измениться на Проверено.

Использование алгоритмов с открытым ключем

Создание пары приватный/публичный ключ

user1@server:~$ openssl genrsa 2048 > key.private

user1@server:~$ openssl rsa -pubout < key.private > key.public

user1@server:~$ scp key.public user2@www:

Шифрование данных

user2@www:~$ openssl rsautl -encrypt -inkey key.public -pubin < data.txt > data.enc

user2@www:~$ scp data.enc user1@server:

user1@server:~$ openssl rsautl -decrypt -inkey key.private < data.enc > data.txt

Цифровая подпись

user1@server:~$ openssl dgst -sha256 -sign key.private -out data.sign data.txt

user1@server:~$ scp data.* user2@www:

user2@www:~$ openssl dgst -sha256 -verify key.public -signature data.sign data.txt

Повысьте безопасность своего сайта с помощью SSL / TLS сертификата

Безопасность важна для любого сайта. Она позволяет завоевать доверие посетителей и поисковых систем. Высокий уровень безопасности обязателен для сайта, на котором осуществляются транзакции или подписки. В таких случаях необходимо шифровать конфиденциальные данные при их передаче от клиента серверу.

Использование сертификата HTTPS также позволяет улучшить ранжирование сайта в поисковых системах.

Ниже приведен список сертификационных центров (поставщиков SSL), которые помогут вам обзавестись сертификатом совершенно бесплатно.

Расшифровка используемых аббревиатур.

• SSL — Защищенный сокет;
• TLS — Безопасность транспортного уровня;
• CDN — Сеть доставки контента;
• DV — Проверенный домен;
• ACME — Автоматизированная среда управления сертификатами.

Let’s Encrypt

Это совместный с Linux Foundation проект, который спонсируется Mozilla, Akamai, SiteGround, Cisco, и т. д. Он предоставляет бесплатный HTTPS сертификат.

Сервис является автоматизированным. Это означает, что вам не нужно тратить время на создание CSR, чтобы заверить сертификат. Все это происходит на серверах в автоматическом режиме:

Comodo

Comodo предлагает бесплатный SSL-сертификат на 90 дней. Это подходит для тех случаев, когда вы хотите проверить, какова будет разница при использовании сертификата и без него. Или для какого-то краткосрочного проекта.

Вы можете за считанные минуты получите бесплатный SSL-сертификат, защищенный надежным алгоритмом шифрования. Все основные браузеры распознают сертификаты Comodo:

Cloud Flare

Компания, специализирующаяся на кибербезопасности и технологиях CDN. Они помогают сделать ваш сайт более быстрым и безопасным. Услугами Cloud Flare пользуются многие популярные сайты, включая Reddit, yelp, Mozilla, StackOverflow и т. д.:

Недавно Cloud Flare анонсировала универсальный сертификат для сайтов HTTPS для всех пользователей. Если вы используете Cloud Flare и еще не активировали SSL, это можно сделать быстро:

• Войдите в аккаунт Cloud Flare;
• Выберите сайт, на котором вы хотите включить SSL;
• Нажмите иконку Crypto;
• Убедитесь, что у вас задан параметр “Flexible”, а статус отображается как “ACTIVE CERTIFICATE”:

Внесение всех изменений займет несколько секунд.

StartCom

StartCom предоставляет бесплатный SSL-сертификат для личного использования. Чтобы получить его, необходимо подтвердить право собственности на домен:

Таким образом, можно бесплатно получить DV-сертификат класса 1! Он отлично подойдет для личного сайта / блога.

WoSign

WoSign является еще одним сервисом, предоставляющим сертификат безопасности HTTPS сроком на 2 года без какой-либо оплаты. Он поддерживает алгоритм SHA2. «WoSign CA Free SSL Certificate G2» является эмитентом сертификатов:

SSL For Free

ACME SSL For Free и Let’s Encrypt предоставляют услуги валидации домена для выдачи SSL-сертификата. Это полностью бесплатно, и SSL-сертификаты выдаются в течение нескольких минут:

Как получить SSL-сертификат

Итак, есть два варианта: платный и бесплатный. Рассмотрим оба:

• Платный: вы покупаете сертификат в центре сертификации. Стоимость может очень сильно различаться. Однако здесь, в отличие от бесплатного варианта, есть возможность покупки более продвинутых версий.
• Бесплатный: SSL-сертификат, который выдается центром сертификации Let`s Encrypt или посредниками.

Статья посвящена бесплатному SSL-сертификату, поэтому далее я в подробностях расскажу как и где можно получить бесплатный сертификат с защищенным шифрованием.

Теперь нас перекинет на страницу с выбором способа добавления. Всего их три штуки:

Вы можете:

1. Провести сертификацию в автоматическом режиме. Для этого нужны данные от FTP-аккаута
2. Последовать инструкциям в мануале, и загрузить на хостинг проверочные файлы
3. Последовать инструкциям в другом мануале, и добавить DNS-записи к вашему домену

Что именно выбрать — решайте сами. Обычно я использовал третий способ, то есть создание записей DNS. Сейчас я думаю, что лучшим вариантом была автоматическая верификация с использованием FTP. А самый лучший и быстрый вариант — через хостинг. Об этом и пойдет речь далее.

Получить SSL в Таймвеб

Если вы используете виртуальный хостинг от Таймвеб, то получение бесплатного сертификата для вас вообще не проблема. Не забудьте добавить домен, перед тем как выполнять все дальнейшие инструкции.

Итак, находим в боковом меню «Дополнительные услуги», и переходим на нужную страницу. Она будет выглядеть так:

Видим «SSL-сертификаты», радостно кликаем на эту кнопку:

Вылетает окошко, открываем меню «Сертификат», выбираем «SSL Let`s Encrypt» (0 рублей). Точно таким же способом выбираем домен, нажимаем «Заказать». Сертификат будет выпущен и установлен в течение 10-15 минут. Иногда больше, но в случае чего вы можете обратиться в техническую поддержку.

Получить SSL в Beget

Здесь все делается почти также. Идем в раздел «Домены», кликаем на «Управление SSL-сертификатами», которое находится в конце полоски нужного домена:

Теперь нужно выбрать вкладку «Бесплатный SSL сертификат», после чего клацнуть на кнопку «Установить»:

Все! Сертификат установлен.

Получить SSL в других хостингах

Я рассмотрел два наиболее популярных сервиса. Не расстраивайтесь, если ваш хостинг не вошел в эту статью. Принцип действия там точно такой же. Вы должны найти аналогичные разделы, выбрать «Бесплатный SSL», и кликнуть на кнопку «Установить», «Заказать», или аналогичную. Если возникают какие-то проблемы, то можно обратиться в техническую поддержку вашего хостинг-провайдера. Скорее всего они будут рады вам помочь.

Получить SSL-сертификат через Cloudflare

Вы можете подключить свой сайт к платформе Cloudflare. Там также положен бесплатный SSL-сертификат. То есть ваш сайт будет доступен по защищенному соединению https. Также вы сможете рассчитывать на защиту от DDos-атак, возможность подключения кэширования и CDN.

Генерация CSR запроса на сертификат

CSR (Certificate Signing Request) – это зашифрованный запрос на получение сертификата, включает в себя информацию о домене и организации.

CSR может быть сгенерирован одним из способов:

1. Автоматически в процессе заказа SSL-сертификата.
2. Онлайн, через CSR генератор, например у или .
3. Самостоятельно на собственном веб-сервере.

В независимости от способа, в результате вы должны получить 2 файла (или их текстовое содержание) — файл запроса (domain.csr) и файл приватного ключа (private.key). Файл запроса потребуется для генерации сертификата. А приватный ключ понадобится в дальнейшем, его вместе с сертификатом нужно будет установить на хостинг или сервер.

Первые два способа не должны вызвать трудностей, генерация на собственном сервере описана ниже, но для начала несколько важных замечаний:

Все данные запроса должны заполняться на английском языке.

При заказе сертификатов типа WildCard доменное имя необходимо указывать со знаком звездочка (Пример: *.domain.com).

У домена, для которого заказывается SSL-сертификат (за исключением зон .ru и .рф), должно быть отключено сокрытие персональных данных.

В некоторых случаях, для того, чтобы сертификат защищал домены с префиксом www и без него, необходимо указать домен с префиксом, например: www.domain.ru. В противном случае сертификат не будет защищать домен с www даже если он поддерживает его.

Далее при генерации запроса CSR вам потребуется указать адрес электронной почты. Рекомендуется заранее создать почтовый ящик вида admin@domain, administrator@domain, hostmaster@domain, postmaster@domain или webmaster@domain и указать в контактных данных его. Этот же адрес пригодится позже для подтверждения владения доменом.

Генерация CSR запроса на собственном сервере

Потребуется криптографический пакет с открытым исходным кодом – . Он входит в состав большинства UNIX-подобных операционных систем.

Во многих инструкциях рекомендуется генерировать закрытый ключ и CSR запрос на том же сервере, для которого выпускается сертификат. Однако, на самом деле, это не обязательно должен быть один и тот же сервер.

Подключитесь к серверу по SSH и перейдите в домашнюю директорию.

Сгенерируйте закрытый ключ.

В команде выше:

• private.key – выходной файл, который будет содержать ключ;
• 4096 – размер ключа, резже 2048.

На запрос «Enter pass phrase for private.key» укажите пароль для защиты закрытого ключа, а затем «Verifying – Enter pass phrase for private.key» – подтвердите его, повторив ввод пароля еще раз.

Закрытый ключ будет создан и сохранен в файл под именем private.key.

Сохраните копию закрытого ключа на своем компьютере. При компрометации ключа или утрате пароля сертификат придется перевыпустить.

Далее сгенерируйте CSR запрос.

В команде выше:

• private.key – созданный на предыдущем этапе закрытый ключ;
• domaine.csr – выходной файл с CSR запросом.

На запрос «Enter pass phrase for private.key» введите пароль от закрытого ключа.

Далее последовательно латинскими символами укажите следующие данные:

• Country Name – двухсимвольный код страны согласно ISO-3166, например RU для России;
• State or Province Name: область или регион без сокращений;
• Locality Name: название города или населенного пункта;
• Organization Name: название организации, для физ. лиц укажите «Private Person»;
• Organizational Unit Name: подразделение (необязательно), для которого заказывается сертификат, например для IT-отдела можно указать IT;
• Common Name: доменное имя (полностью) для которого заказывается сертификат;
• Email Address: контактный e-mail адрес, вида admin@domain, administrator@domain, hostmaster@domain, postmaster@domain или webmaster@domain;
• A challenge password: не заполняется;
• An optional company name: альтернативное имя компании (необязательно).

CSR запрос на сертификат будет сохранен в файле domain.csr в виде закодированного текста.

Проверить корректность введенных данных можно, выполнив следующую команду.

Файлы закрытого ключа и CSR запроса или их содержимое потребуются далее. Вывести (чтобы затем скопировать) содержимое файла можно командой cat.

или

Для выхода нажмите клавишу Q.

Запускаем HTTPS

Первым делом идем на страницу настройки шифрования, кликнув значок в виде замка.

Тут справа в выпадающем списке выбираем «Flexible».

Спускаемся чуть ниже до пункта «Always Use HTTPS».

Кликаем переключатель, он должен позеленеть.

Спускаемся ещё ниже до пункта «Automatic HTTPS Rewrites» и также включаем этот режим.

Этот режим исправит ссылки, у которых вместо https будет http. Очень полезная штука для тех, кто не хочет рыться в исходном коде и искать где что исправить.

Этим самым мы говорим cloudflare что хотим использовать SSL для своего сайта.

В этом разделе все. Переходим в раздел «Page Rules».

Тут нам потребуется создать два правила переадресации. Перед созданием правил подумайте какой адрес сайта вам нужен, с www или без www и потом уже приступайте к этапу настройки. Я же приведу два варианта и вам всего лишь потребуется реализовать тот, что вам подходит.

Для создания правила нам необходимо нажать кнопку «Create Page Rule».

Теперь переходим к нужному пункту.

Для домена без www

Создаем правило. В верхнем поле пишем имя домена с www. В списке ниже выбираете пункт «Forwarding URL», рядом в списке выбираете пункт «301 — Permanent Redirect». Во второе поле пишите адрес сайта с https и с $1 на конце.

Жмем кнопку «Save and Deploy».

Для домена с www

Если вам необходимо чтобы сайт работал на домене с www, то поля необходимо заполнить как на скриншотах ниже.

Через несколько минут все наши настройки начнут работать.