Всем привет!

Хочу рассказать о таком Сертификационном центре как WoSign.

Они дают бесплатные (и вполне рабочие) SSL сертификаты на 3 года.

Плюс в том, что один сертификат может работать на многих доменах (до 100).

 И так приступим.

Переходим на сайт login.wosign.com/reg.html и регистрируемся.

Так как сайт на китайском языке я рекомендую пользоваться для этих целей браузером Google Chrome. Он переведёт этот сайт на приемлемый русский язык.

После регистрации (кстати в подарок дают сертификат для почты) заходим на https://buy.wosign.com/freessl.html и выбирает 3 года и количество желаемых доменов.

Нажимаем зелёную кнопку и идём дальше.

Здесь вводим желаемые домены (не больше количества, указанного ранее.

Так же необходимо пройти вариацию доменов 2 уровня. Для этого WoSign отправит на адрес администратора домена:

После валиками у Вас будет 2 варианта создания сертификата.

1) Ввод своих данных из созданного запроса.

2) Предоставление китайцам самим сделать ключ для сертификата.

Обсудим 1 способ.

На сервере (рекомендую сервера от DigitalOcean) под root’ом выполняем:

openssl req -out mydomain.com.csr \
-new -sha256 -newkey rsa:2048 -nodes \
-keyout mydomain.com.key

Заполняем все предлагаемые поля необходимыми данными и вводим пароль для ключа. Теперь необходимо скопировать текст запроса.

cat mydomain.com.csr

и вставить текст в поле на сайте WoSign.

Вводим капчу и ждём минут 10-15. На почту прийдёт письмо (может упасть в спам) со ссылкой на скачивание архива.

После распаковки выбираем нужный нам веб-сервер содержимое архива кидаем на сервер.

Теперь перейдём к настройке веб-сервера на работу с сертификатом.

Для начала получим все промежуточные сертификаты:

cd /path/to/ssl
wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null 
wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null 
wget -O - http://aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null 
wget -O - http://aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null 
wget -O - http://aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null

Я расскажу как настроить Nginx.

1) редактируем файл /etc/nginx/nginx.conf

В блок http добавляем строки:

#########################################################
#
#
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 5m;
 ssl_prefer_server_ciphers on;

 ssl_stapling on;
 ssl_stapling_verify on;
 ssl_trusted_certificate "/etc/nginx/ssl/ca-certs.pem";

 resolver 8.8.8.8 8.8.4.4 valid=300s;
 resolver_timeout 5s;
#
#
#########################################################

Теперь настройка домена.

В разделе server прописываем

        ssl on;
        ssl_certificate /path/to/ssl/ssl.crt;
        ssl_certificate_key /path/to/ssl/ssl.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

и перезапускаем веб-сервер.

service nginx restart

Можно пройти проверку на SSL-Test или выполнить на сервере

openssl s_client -connect YourDomain.com:443 -tls1  -tlsextdebug  -status

И в результате найти

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL OCSP Responder(G2)
    Produced At: Mar 27 13:35:48 2015 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B
      Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7
      Serial Number: 4C306486969BCBC1AE555A1D8C117B87
    Cert Status: good
    This Update: Mar 27 13:35:48 2015 GMT
    Next Update: Mar 29 13:35:48 2015 GMT

    Signature Algorithm: sha1WithRSAEncryption
         69:f5:99:75:ff:d7:6a:d4:33:8b:32:38:55:44:ed:e2:3c:4a:
         bc:5f:92:50:a6:8e:8c:a0:d5:b1:ea:a5:8b:4e:4e:6d:e7:0a:
         9d:1c:b7:9f:5c:e8:13:7f:c5:93:3c:0c:95:bd:23:67:e5:4a:
         fb:96:9a:06:29:e0:ae:0b:1f:6a:f2:55:9d:4a:84:b3:5c:f8:
         2a:7e:90:4f:a3:48:a4:22:16:83:e1:1d:09:4c:7c:5e:5b:30:
         84:9e:ce:f0:23:69:aa:bd:b0:94:72:cb:2e:96:d2:c5:c5:f4:
         15:a9:de:3e:62:9d:10:78:2a:c7:f2:64:49:a3:6a:d9:14:0d:
         8a:ce:1e:63:59:e4:06:69:dd:bc:3b:10:d9:ae:20:c7:9f:c5:
         02:21:ee:20:d3:24:97:0c:f5:a7:f5:6b:25:5b:a7:b2:80:fc:
         67:23:89:bc:9b:4a:ed:d8:b8:2e:1f:c4:31:d6:e1:83:f9:b7:
         b0:88:e5:87:04:55:a9:42:1c:d4:c0:5a:d2:36:af:86:48:76:
         e8:af:2a:19:63:b4:b2:fd:64:5c:66:20:a8:ad:d1:e6:c2:e4:
         ce:7e:64:45:ea:50:32:ff:84:ea:06:55:74:81:30:20:36:7f:
         3e:5d:0a:b0:f5:78:69:c5:5c:28:8a:cf:96:94:d3:2e:c3:0e:
         68:41:66:c1

Вот результаты теста этого блога. A+ — это отличный результат!

Значение OCSP stapling — Yes. Мы этого добились.

Большое спасибо авторам статей на Хабре:

http://habrahabr.ru/post/252529/

http://habrahabr.ru/post/249529/

Всем спасибо )