Důvěryhodné SSL certifikáty zdarma od StartComu

Myšlenka pořízení důvěryhodného certifikátu pro webový server v praxi obvykle zanikne při zjištění jeho pořizovací ceny. Zásadně nový na věc ovšem přináší certifikační autorita StartCom poskytující některé důvěryhodné certifikáty zcela zdarma!

Pořízení důvěryhodného certifikátu přestává být doménou velkých organizací. Microsoft totiž nedávno přidal certifikační autoritu StartCom mezi Důvěryhodné kořenové certifikační autority ve Windows. Jinými slovy operační systémy Windows nyní důvěřují všem platným certifikátům, vydaným touto autoritou. Pro zabezpečení vašeho webového serveru tedy nemusíte nutně pořizovat placený certifikát, ale vystačíte si s bezplatným od StartComu.

neduveryhodny-certifikat

Známé upozornění na obrázku výše se konečně stává minulostí.

Bezplatně poskytované certifikáty mají některá omezení, ale většinu menších organizací jistě uspokojí. K dispozici jsou SSL či S/MIME (podepisování e-mailů) certifikáty s životností 1 rok. Výhodou je rychlost získání certifikátu díky tomu, že vše probíhá elektronickou cestou přes webového průvodce StartSSL a váš e-mail. Celý proces je otázkou přibližně 30 minut.

Přejděme k ukázce celého postupu. Cílem naší snahy bude Outlook Web Access vypublikovaný do internetu za pomoci důvěryhodného certifikátu.

Založení uživatelského účtu u StartComu

Pro práci s certifikáty a přihlášení do administračního rozhraní StartComu je potřeba mít platný uživatelský účet. Přihlašovacími údaji v tomto případě nejsou uživatelské jméno a heslo, ale osobní certifikát. Po prvním přihlášení je třeba uživatelský účet aktivovat. Příjemné je, že není vyžadována žádná osobní schůzka kvůli ověření totožnosti. Vše nezbytné totiž proběhne během pár minut a výhradně e-mailem.

Předtím, než se pustíte do následujících kroků, byste měli vědět, že webový průvodce StartSSL není plně funkční na moderních prohlížečích a systémech. V případě mé konfigurace Windows 7 RTM CZ + Internet Explorer 8 nebylo možné některé kroky průvodce dokončit. Proto doporučuji pro přihlášení do webového rozhraní a získání certifikátu použít starší operační systém a browser. Uspěl jsem s virtuálním strojem běžícím na Windows XP SP3 CZ a Internet Explorerem 6. Najdete-li další funkční konfiguraci, napište mi.

Další funkční konfigurace
Windows XP Home SP3, Firefox 3.5.7
Mac OS X 10.5.8 s nejnovějším Safari (14.8.2010)
Debian Linux 6.0.6, Google Chrome 24.0.1312.52 (Official Build 175374)
Windows 8.1 Pro 64 bit, Chrome 31

  1. Navštivte webovou stránku průvodce získáním certifikátu na StartSSL. Zde klepněte na Express Lane.
    express-lane
  2. Vyplňte všechny osobní údaje a pokračujte stiskem Continue. Všechny položky jsou povinné. V případě jejich neúplnosti si StartCom vyhrazuje právo na zrušení platnosti certifikátu. Budete přihlášeni do administračního rozhraní.
    osobni-udaje
  3. Zároveň vám je zaslán e-mail s ověřovacím kódem. Kód zkopírujte, vložte do formulářového pole a stiskněte Continue.
    aktivacni-kod
  4. Následuje další ověření, tentokrát pracovníkem StartComu. Vyčkejte několik minut na doručení e-mailu s odkazem a dalším ověřovacím kódem. Jakmile jej obdržíte, klepněte na odkaz a zadejte ověřovací kód. Poté se vám do prohlížeče uloží váš osobní certifikát, jímž se budete přihlašovat do administračního rozhraní. Doporučuji jej ihned vyexportovat na bezpečné místo včetně soukromého klíče pomocí Internet Exploreru (Nástroje – Možnosti Internetu – Obsah – Certifikáty). Zajistíte si tím bezproblémový přístup do webového rozhraní do budoucna.
  5. Nyní jste svým ověřeným účtem přihlášeni.

Vytvoření žádosti o certifikát

K tomu, abyste se mohli ucházet o certifikát, musíte nejprve vytvořit na serveru žádost. Tu posléze elektronicky poskytnete StartComu, který následně vydá finální certifikát.  Žádost o certifikát můžete vytvořit různými způsoby. Například i pomocí Powershellu. My si ukážeme vygenerování žádosti na Small Business Serveru 2003 R2.

Poznámka: Měníme certifikát Výchozího webového serveru, což má dopad na veškeré webové služby běžící přes SSL. Proto v produkčním prostředí veškeré úpravy naplánujte a zamyslete se, zda nepostačí přiřadit certifikát pouze nějakému konkrétnímu webovému serveru.

  1. Otevřete konzolu Správa internetové informační služby (IIS).
  2. Rozbalte větev Webové servery, klepněte pravým tlačítkem myši na Výchozí webový server a zvolte Vlastnosti.
  3. Přejděte na záložku Zabezpečení adresáře a klepněte na tlačítko Certifikát serveru.
  4. V průvodci pomocí tlačítka Další pokračujte k výběru akce.
  5. Vyberte Odebrat certifikát a dokončete průvodce odebráním. Tím odstavíte doposud používaný certifikát. Nebude však nenávratně odstraněn a můžete se k jeho používání kdykoliv vrátit.
  6. Opětovným kliknutím na Certifikát serveru vyvoláte znovu průvodce. Tentokrát v nabídce funkcí zvolte možnost Vytvořit nový certifikát a pokračujte dvojím klepnutím na Další.
  7. Zadejte jméno certifikátu. Zde pozor, délka certifikátu musí být 2048 bitů (či více, což ale nedoporučuji s ohledem na mobilní zařízení)! StartCom totiž nezpracovává žádosti o 1024 bitů dlouhé certifikáty.
    IIS-delka-certifikatu
  8. V dalším kroku zadejte organizaci a organizační jednotku dle vašich potřeb. Pokračujte dále.
  9. Položka Běžný název musí odpovídat DNS jménu pod jakým budete server publikovat do internetu, tedy např. mail.jiribrejcha.net.
    IIS-bezny-nazev
  10. Vyplňte informace v dalších krocích průvodce. Výslednou žádost o certifikát uložte do textového souboru zadost.txt. Obsah tohoto souboru budete potřebovat v následující kapitole pro vygenerování certifikátu.

Získání certifikátu od StartComu

Nyní máte aktivní konto a připravenou žádost o vydání certifikátu. Nastal čas pro přidání a ověření domény, pro kterou chcete získat důvěryhodný certifikát.

  1. Otevřete Validation Wizard a zadejte název domény (např. jiribrejcha.net). Pokud nevidíte záložku Validation Wizard, přepněte se pomocí Control panel nebo Classic view v pravé horní části okna.
  2. Na jednu z e-mailových adres si nechte zaslat aktivační kód. Jakmile jej obdržíte, opište do formulářového pole a stiskněte Continue.
  3. Po dokončení ověření domény přejděte do Certificates Wizardu.
  4. Zde zvolte Skip, vyberte doménu, a do formulářového pole vložte obsah souboru zadost.txt vytvořeného v 10. kroku kapitoly Vytvoření žádosti o certifikát.
  5. V dalším kroku se zobrazí vygenerovaný certifikát. Obsah formulářového pole si uložte do souboru certifikat.cer a zkopírujte jej na server, ze kterého jste generovali žádost.
    ulozeni-certifikatu

Vložení vydaného certifikátu do serveru

  1. Na vašem serveru absolvujte znovu kroky 1. až 4. z kapitoly Vytvoření žádosti o certifikát.
  2. Z akcí tentokrát zvolte Dokončení zpracování žádosti čekající na vyřízení a nainstalovat certifikát.
  3. Zadejte cestu k souboru certifikat.cer vytvořenému v 5. kroku kapitoly Získáváme certifikát od StartComu.
  4. Tím je celá serverová konfigurace u konce. Server v tuto chvíli disponuje soukromým i veřejným klíčem důvěryhodného certifikátu. Certifikát je nyní vhodné vyexportovat včetně soukromého klíče na bezpečné místo.

V tuto chvíli je Outlook Web Access opět dostupný z internetu. Všimněte si, že upozornění na nedůvěryhodnost certifikátu zmizelo a jste rovnou vyzváni k zadání přístupových údajů do vaší schránky.

Klientské operační systémy

Windows 7 a novější systémy již v základu obsahují aktuální seznam důvěryhodných certifikačních autorit včetně StartComu. Naproti tomu do Windows XP a Vista, které nemají přístup k internetu, je nutné doinstalovat aktuální sadu autorit. Instalační balíček najdete ve článku KB931125. Výjimkou jsou Windows XP a Vista mající online přístup k Microsoft Update. Ty jsou schopny automaticky StartCom přidat do důvěryhodných autorit.

Mobilní zařízení

Používáte-li spolu s Exchange Serverem mobilní zařízení (telefony, PDA) synchronizovaná pomocí ActiveSync, pravděpodobně zjistíte, že po změně certifikátu na straně serveru, přestane fungovat synchronizace a zařízení budou hlásit chybu zachycenou na obrázku.

WM-active-sync-chyba

Problém spočívá v tom, že operační systém Windows Mobile 6 nedůvěřuje autoritě StartCom. Ta je totiž Microsoftem uznána za důvěryhodnou relativně krátce a na platformě Windows Mobile 6 se zatím tato změna nestihla projevit. Je tedy na nás, abychom ji do mobilního zařízení přidali.

  1. Stáhněte si tento certifikát certifikační autority StartCom. Nejedná se o ten, který jste si v předchozích krocích nechali vygenerovat.
  2. Nahrajte jej do libovolné složky mobilního zařízení a z prostředí Windows Mobile na něj klepněte.
  3. Automaticky se spustí obslužná aplikace. Akceptujte přidání StartComu do důvěryhodných autorit a pokračujte pomocí voleb DalšíInstalovat.
    WM-instalace-starcom-rca WM-instalace-starcom-rca-2 WM-instalace-starcom-rca-3
  4. Potvrzení o úspěšném přidání certifikátu zavřete pomocí OK a v umístění Start – Nastavení – Systém – Certifikáty si ověřte, že byl StartCom přidán mezi kořenové certifikační autority.
    WM-instalace-starcom-rca-4
  5. Po dokončení těchto úprav není nutné mobilní zařízení restartovat ani provádět kompletní resynchronizaci vůči serveru. ActiveSync tedy ihned při příští synchronizaci začne komunikovat s Exchange Serverem.

Nezapomeňte!

  • Použijte kompatibilní OS a webový prohlížeč
  • Certifikát musí mít délku 2048 bitů
  • Běžný název při generování žádosti na serveru musí odpovídat internetovému DNS jménu publukovaného webového serveru (např. mail.jiribrejcha.net)
  • Do mobilních zařízení nainstalujte cetifikát autority StartCom
  • Do systémů starších než Windows 7, které nemají přístup k internetu doinstalujte balíček s aktuální sadou důvěryhodných autorit (KB931125)

FAQ

Otázka: Stačí ověření provést pouze jednou?
Odpověď: Bohužel nestačí. Ověření je nutné provést znovu každý rok.

Otázka: Je bezpodmínečně nutné instalovat do OS aktuální sadu certifikačních autorit KB931125?
Odpověď: V případě, že má klientský operační systém dostupnou službu Microsoft Update, dokáže provést přidání certifikátu automaticky. Stane se tak při prvním použití certifikátu (návštěvě webu, který používá StartCom certifikát).

Otázka: Je možné použít bezplatný certifikát pro podepisování aplikací?
Odpověď: Ne. Pro tyto účely poslouží ceretifikát StartSSL Verified za 39,90 USD. Aktuálně je tato služba v beta verzi.

Otázka: Mohu si nechat vydat certifikát přímo pro doménu 2. řádu (např. sitarina.cz)?
Odpověď: Pozor! Pokud zažádáte o certifikát pro doménu 2. řádu, nebude možné žádat o certifikát pro její subdoménu, tedy doménu 3. řadu (např. mail.sitarina.cz). Řešením je odvolání původního certifikátu a následné zažádání o certifikát přímo pro doménu 3. řádu.

Děkuji Radku Doleželovi za odpovědi na otázky.

Odkazy

Published by

Jiri Brejcha

Jiri is passionate about mobility ranging from Wi-Fi to folding bikes;-) He is a Wi-Fi Technical Solutions Architect at Cisco UK, proud member of the Cisco Live Network Operations Center deployment team, and WLAN Pi development team. If he is not working, he is most likely riding his Brompton bike.

45 thoughts on “Důvěryhodné SSL certifikáty zdarma od StartComu”

  1. **V případě mé konfigurace Windows 7 RTM CZ + Internet Explorer 8 nebylo možné některé kroky průvodce dokončit.**
    zajímavé mě to ve windows vista s wie8 šlo bez problémů (musel jsem jen povolit spuštění požadovaných doplňků v prohlížeči).

  2. Diky za skvele informace. Zkousim nasadit MSX2010 a OWA se mi podarilo s timhle certifikatem rozchodit bajecne. Ale zatim se mi nedari zprovoznit Outlook Anywhere. Zkousim problem analyzovat pomoci https://www.testexchangeconnectivity.com/ coz je podle DNS web Microsoftu (tedy predpokladam, ze maji koreny aktualizovane spravne) a ten hlasi, ze certifikat StarComu nepochazi z duveryhodnych CA. ???
    Podarilo se nekomu na zaklade tohoto cert rozchodit RPC over HTTP?

  3. ähoj Jirko, ještě mi chybí jedna informace a to možnost zadání více domén v certifikátu (tzn: vnitřní a vnější název domény třeba pro použití ve firemní síti uvnitř i vně).

  4. Jakub Šerých:

    Já osobně Outlook Anywhere s certifikátem od StartComu úspěšně provozuji. Jedinou odlišností je prostředí: SBS 2003 R2 + Windows 7 (případně Windows XP)

  5. John:

    Záleží na tom, co přesně máte na mysli. K získání samotného certifikátu pevnou veřejnou IP adresu nepotřebujete. K provozování webového serveru ano. Certifikát máte vydán pro jmenný název serveru (např. server.jiribrejcha.net), takže pokud se změní IP adresa webserveru, pouze provedete změnu A záznamu na Vašem DNS serveru.

  6. Myslel som iba na zabezpecenie elektronickej posty cez protokol SSL (pop3, smtp) zo serveru mail.nieco.com.

  7. Certifikát si jednoduše necháte vydat na mail.neco.com a na DNS serveru budete mít A záznam, který bude ukazovat na nějakou pevnou veřejnou IP adresu. Pokud by se adresa přeci jen změnila, upravíte záznam na vašem DNS serveru. Certifikátu se změna vůbec nedotkne.

  8. Som absolut laik,certifikat aj podla vasho navodu v tomto clanku mam. Dik. Ale ked som sa pytal mojho poskytovatela webhostingu na to, ako nainstalovat tento certifikat, odpovedou bolo, ze potrebujem pevnu IP adresu. Preto moja prva otazka: je nutne mat pevnu IP adresu?

  9. Jak jsem psal:
    Certifikát si jednoduše necháte vydat na mail.neco.com a na DNS serveru si vytvoříte A záznam, který bude ukazovat na nějakou pevnou veřejnou IP adresu Vašeho webserveru.

    Na webovém serveru tedy musíte mít nějakou pevnou veřejnou IP adresu.

    Pokud byste si nevěděl s konfigurací serveru či získáním certifikátu rady, mohu nabídnout své služby. Kontakt na mně najdete zde.

  10. Ahoj, Windows 7 Professional x86 Cz (cista instalace, pouze nainstalovane akualizace) + IE8 = pruvodce uspesne dokonceny.

  11. Dnes jsem se díval na omezení free certifikátu a prý nepodporuje “Green Trustbar”. Moc nechápu, proč tomu tak je. To funguje na nějakém vyšším levelu? To nestačí, aby certifikát byl důveryhodný? Jak se to pak tváří, když to použiji na SBS?

  12. Ahoj Honzo,

    důveryhodný “nezelený” certifikát ti pro SBS bohatě stačí. Zelený certifikát (Green Trustbar) používají hlavně banky a podobné organizace. Jde o důkladné ověření osoby nebo organizace, která si certifikát pořizuje. Certifikační autorita si ji prostě detailně proklepne. Při navštívení webu se zeleným certifikátem ti nahoře v browseru hezky zezelená adresní řádek a ty můžeš mít jako uživatel vyšší pocit bezpečí.

  13. Preji hezky den,
    dle vaseho navodu se mi povedlo :-) ziskat webovy certifikat pro firemni web(moc dekuji) – nyni po roce jeho platnost konci, na coz mne upozornil i mail od CA – zkusil jsem obnovit certifikat obdobnym zpusobem, ale dari se mi ziskat certifikat nizsiho radu(novy.puvodni.cz)- nepodarilo se mi to nijak obejit – musim cekat nez puvodni platnost vyprsi? , musi byt pred vytvorenim zadosti na web.serveru puvodni certifikat odebran? – na foru startcomu se nekdo pta na to same,je to bohuzel bez odpovedi :-( a datum expirace se blizi

  14. Hezký den i Vám. Pokud si dobře vzpomínám, tak o nový certifikát bylo možné požádat až po vypršení toho starého. Nejspíš je to daň za free verzi a StartCom se tak snaží stávající free uživatele konvertovat na placené služby. Tak to vidím já…

  15. na startcom pozor… naletěl jsem mu taky

    vystavení je fakt zdarma… ale prodloužení je za stejnou cenu jako byste si ho koupili… takže po prvním roce na Vás čeká $ 24.95 anebo změna firmy

    kdyby někdo věděl, jak to obejít, tak klidne sem s tím

  16. Petře, já už jsem si bezplatný Starcom certifikát dvakrát prodloužil a vždy to bylo zdarma.

    Stejně tak kolega před pár týdny prodlužoval jeho certifikát, kterému vypršela platnost.

    Nevybral jste si při objednávce omylem některou z placených služeb?

  17. Dobrý den,

    dle vašeho návodu jsem si nechala před rokem vystavit certifikát, ten mi během několika dní skončí a nějak nevím jak postupovat s jeho prodloužením? Děkuji předem za rady

  18. Zdravim, nidke nemohu nalezt odpoved, tak to zkusim zde.
    Certifikat od startcomu pouzivam uz rok. Nyni se blizi jeho expirace. Nikde se bohuzel nejsem schopen docist, jak se prodlouzeni provadi. Na foru Startcomu mi nikdo neodpovedel. Nekde jsem se docetl, ze prodlouzeni se provede stejnym zpusobem, jako kdyz se vytvari novy, nicmene tato metoda mi moc nefunguje, nebot na konci procesu mi pruvodce sdeli, ze takovy certifikat jiz existuje.
    Ma otazka jednoduse zni. Jak u StartComu prodlouzit class 1 certifikat?????
    Za jakoukoli odpoved budu moc vdecen.

  19. Pro: Pavel Korinek
    včera jsem řešil ten samý problém u našeho certifikátu. Řešení je relativně jednoduché a triviální…

    Ad1) Prodloužit certifikát lze ještě předtím, že původní expiruje… takže stačí když
    Ad2) založte si druhé konto (mail), tam si ověřte doménu u které chcete certifikát a ten pak vystavíte tím stejným způsobem, jako byste ho vystavoval poprvé… tímto způsobem vy Vám to nemělo generovat žádnou chybu a certifikát můžeme mít dříve než expiruje ten původní

  20. potvrzuji reseni od zbozimat.cz funguje přesně jak popisuje na jiný mail jsem si ještě před expirací vystavila nový certifikát pro stejnou doménu a funguje

  21. Diky za odpovedi. Vyzkousim to tak, jak doporucujete. Prijde mi to sice postavene na hlavu, ale pokud to jinak nejde…:)
    Jeste jednou diky!

  22. Tak nevim, ale asi delam neco spatne.
    Vytvoril jsem si uplne novy ucet, chci vygenerovat certifikat pro stejne domenove jsmeno, ktere jsem mel v predchozim uctu, ale konci to stale na tom samem problemu:

    A certificate with domain x.y.eu already exists at Class 1 level.
    Please try it again and choose a different (sub) domain, upgrade your validation status to a higher level or request revocation of the existing certificate at the Tool Box.

    Mate nekdo nejake dalsi napady? Predem diky za pomoc!

  23. Dobry den, Pavle,

    me se povedlo certifikat prodlouzit pred par tydny bez zakladani pomocneho uctu. Delal jsem to asi 3 dny pred jeho vyprsenim primo pres webovy nastroj StartSSL.

    Mam pocit, ze to po me chtelo znovu overeni vlastnictvi domeny. A pak byl postup naprosto stejny jako v pripade zadosti o novy certifikat.

    Kdy vyprsi vas certifikat?

  24. Certifikat mi vyprsi 19.12. tedy za necely mesic. Problem je v tom, ze toto nechci nechavat na posledni chvili a rad bych to vyresil nyni, nez nastanou doby dovolenych apod.
    Pokud tedy pujde certifikat vystavit znovu, ve 14-denni lhute pred koncem platnosti, tak s tim asi nebude problem. Jen mi neni jasne, proc na StartComu neni nikde ani zminka o tom, jak postupovat pri prodlouzeni/vystaveni noveho certifikatu. Chapu, ze tato sluzba je zdarma, ale par radku navic ve FAQ by snad nikoho nezabilo.
    Diky za odpoved, pockam na email od StartComu a pak to zacnu znovu resit, doufam, ze se mi to behem 14ti dnu podari vyresit a ze nebudeme behem Vanoc bez emailu… :-)

  25. Dohledal jsem e-mail od StartSSL. Upozorneni by vam melo dorazit cca 2 tydny pred koncem platnosti certifikatu:

    The Class 1, server certificate for XXX and serial number XXX (XXX) is about to expire in about two weeks. Please log into the StartSSL Control Panel at https://www.startssl.com/?app=12 and get a new certificate for this purpose.

    Hezky vikend
    JB

  26. Měl bych takový dotaz. Jak nastavit multi-name v certifikatu? Jde to? A nebo radu jak použít autodiscover.dom.cz a mail.dom.cz s tímto certifikátem.
    Děkuji všem za radu.

  27. Pokud se nemýlím, Start SSL nenabízí u bezplatného certifikátu použití více jmen ani hvězdičky pro celou doménu.

    Teoreticky by to mohlo jít tak, že si pro každou ze subdomén necháte vystavit jeden certifikát. Zkoušel jste to?

  28. Ne to jsem nezkoušel , ale v IIS mohu přiřadit pouze jeden certifikát na \OWA nebo \autodiscover a nevím jak se to bude chovat.

  29. Autodiscover se dá provovozovat i s Class 1 free certifikátem. Fígl je ve vytvoření Autodiscover SRV záznavu v DNS.

    Například veřejné jméno serveru na kterém běží exchnage je mail.firma.cz. K tomu stačí mít v DNS SRV záznam z hodnotou mail.firma.cz v subdoméně _autodiscover._tcp.firma.cz

    Provozujeme to tako bez problému už více jak dva roky.

    Podrobnější informace o autodiscover SRV záznamu naleznete zde: http://support.microsoft.com/kb/940881

    P.S.: Dva certifikate na jednom serveru (jedné IP) a stejném portu provozovat nejde. HTTPS na rozdíl od HTTP nerozlišuje jméno ke kterému se přistupuje.

  30. OOPS
    zapoměl jsem si zaškrtnout “Chci být upozorněn(a) e-mailem na nové komentáře a odpovědi”.

    Sorry!

  31. když se chci připojit na FB nebo na jiné stránky tak mi to ukáže že nemám certifikát pro tuto stránku nevím co s tím dělat

Leave a Reply

Your email address will not be published. Required fields are marked *