Содержание

SSL сертификат — Что это такое и для чего он нужен?

Если вы только начинаете знакомиться с понятием SSL сертификатов, то эта статья как раз для вас! Здесь вы можете подробно разузнать все о данных сертификатах, о том, каково их предназначение, а также познакомиться с различными провайдерами.

Наверняка ранее вы уже встречались с термином SSL-сертификат, особенно если ведете собственный сайт. Но что это все-таки такое? Каково их предназначение? И что более важно, почему они так важны, особенно если вы держите интернет-магазин? Сегодня я предоставляю вам основную информацию о SSL-сертификатах.

Давайте начнем с ответов на несколько самых распространенных вопросов:

Что такое SSL сертификаты и как они работают?

SSL расшифровывается как “secure sockets layer”, и сам сертификат представляет собой меру безопасности, которая помогает защитить чувствительную информацию, передающуюся между браузером и сервером. Сертификат шифрует передаваемые данные, предотвращая возможность завладения данной информацией третьими лицами.

Если быть более точным, этот процесс представляет собой следующее:

1. Браузер пытается подключиться к сайту и просит сервер идентифицировать себя.
2. Сервер высылает браузеру копию SSL-сертификата, а браузер удостоверяется в том, что данный сертификат был выдан доверенным лицом.
3. Если сертификат верен, браузер высылает серверу сообщение с подтверждением доверия, а сервер в свою очередь начинает зашифрованную сессию.
4. Затем браузер и сервер начинают обмен зашифрованными данными.

Вкратце, SSL-сертификат работает сразу на две стороны: сообщает браузерам, что вашему магазину можно доверять, а также защищает чувствительные данные путем шифрования.

Почему мне нужен SSL-сертификат, если я держу интернет-магазин?

Есть несколько причин к тому, почему вам следует обзавестись им, и позвольте выделить основные:

  • Возможность обезопасить чувствительную информацию: SSL-сертификат шифрует важные данные вроде информации о кредитной карте, и не позволяет им попасть в чужие руки. Учитывая уровень угрозы мошенничества и электронного воровства, эта мера безопасности поможет вам заработать доверие клиентов.
  • Уровень доверия клиентов и репутация бренда: когда ваши клиенты уверенны в сохранности своих данных, они наверняка перестанут сомневаться в том, стоит ли у вас что-то покупать. На самом деле, большинство онлайн-покупателей вряд ли станут что-то покупать в интернет-магазине, который не предоставляет зашифрованное соединение.
  • Сертификация и соответствии требованиям PCI: вы сможете получить большое преимущество с точки зрения безопасности, если ваш интернет магазин будет отвечать требованиям PCI. Но для того, чтобы эта мера была выполнена, вы как минимум должны быть обладателем SLL-сертификата.

Есть ли разница между брендами SSL-сертификатов?

Есть две основные категории, на которые можно разделить SSL-сертификаты: по уровню шифрования и сертификационным стандартам. Стандартом индустрии принято считать 128-битное шифрование, так что, любой должен предоставлять шифрование на уровне от 128 бит и выше.

Что же касается сертификационных стандартов, то в задачи компании, которая предоставляет вам сертификат, входит перепроверка бизнеса, который запрашивает сертификат, на предмет легальности. У каждого есть свои стандарты сертификации, которые должны приниматься большинством браузеров.

Как можно убедиться в том, что купленный SSL-сертификат установлен и работает правильно?

Чтобы убедиться в корректности работы вашего SSL-сертификата, откройте ваш интернет-магазин, посмотрите на URL и измените http на https. Если в браузере начнет отображаться желтый замочек, и браузер не отображает вам предупреждение о безопасности, то ваш сертификат работает правильно.

Используя SSL-сертификат, вы можете быть спокойны как за свой бизнес, так и предоставить своим клиентам положительный опыт взаимодействия и шоппинга. Если вы рассматриваете варианты с приобретением, то рекомендую вам обратить внимание на наиболее известные компании, и сравнить их с предложениями от других провайдеров.

Алексей Повловский

Openssl, проверка SSL-сертификатов через терминал

При установке SSL-сертификатов возникают различные вопросы. Эта статья поможет найти ответы на большинство из них.

OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT. Также имеется возможность шифрования данных и тестирования SSL/TLS соединений.

Рассмотрим на примерах следующие случаи:
1. Генерация CSR и ключа.
2. Создание нового CSR для уже имеющегося ключа.
3. Проверка корректности CSR.
4. Проверка корректности ключа.
5. Проверка данных SSL-сертификата.
6. Декодирование CSR.
7. Декодирование SSL-сертификата.

8. Сравнение соответствия SSL-сертификата и CSR.
9. Сравнение соответствия SSL-сертификата и ключа.
10. Проверка правильности порядка установки CA сертификатов.

Первое что нужно сделать — это зайти по SSH на сервер и установить OpenSSL.

Для CentOS:

yum install openssl

Для Debian/Ubuntu:

apt-get install openssl

1. Генерация CSR и ключа

Перейдем в директорию, в которой будут хранится файлы CSR и ключа:

cd /etc/ssl/certs/

Далее выполняем команду генерации CSR и ключа:

openssl req -out server.csr -new -newkey rsa:2048 -nodes -keyout server.key

server.csr – имя файла CSR;

server.key – имя файла ключа;

имена можно менять по своему усмотрению.

После ввода команды, так же как и через онлайн генератор CSR нужно ввести данные в поля:

Проверяем создались ли файлы:

ls -l /etc/ssl/certs/

Файлы создались, все в порядке. Можно заказывать SSL-сертификат.

Подробно о заказе и установке SSL-сертификата можно ознакомиться в статье “Заказ и установка SSL сертификата на хостинг Ukrnames”

Мы получили файлы сертификата (ukrnames_idua_org, ca_1, ca_2, ca_3) и переместим их так же в папку /etc/ssl/certs/

Можем переходить теперь к следующим пунктам статьи.

2. Создание нового CSR для уже имеющегося ключа.

Случаются ситуации, когда требуется продлить SSL-сертификат. Нужно заново вводить CSR запрос, но т.к. выполнялся заказ SSL-сертификата около года назад, то CSR файла у нас в большинстве случаев уже нет.

Данная команда позволит заново сгенерировать CSR-запрос на основании имеющегося у нас ключа (в данном примере ключ у нас находится в папке /etc/ssl/certs/server.key):

openssl req -out /etc/ssl/certs/server.csr -key /etc/ssl/certs/server.key -new

И вновь нужно вводить данные CSR.

Потом можем копировать данные файла server.csr и продлевать SSL-сертификат, копировать ключ уже не нужно, он заново сгенерирован в старый файл ключа /etc/ssl/certs/server.key.

3. Проверка корректности CSR

Выполним команду для проверки корректности содержимого CSR:

openssl req -text -noout -verify -in /etc/ssl/certs/server.csr

Получаем вывод, в котором стоит обратить внимание на поле verify , если стоит статус “OK” , значит с CSR все в порядке.

🗝️ Как создать CA и генерировать сертификаты и ключи SSL / TLS – Information Security Squad

В этом руководстве объясняется процесс создания ключей и сертификатов CA и их использования для создания сертификатов и ключей SSL / TLS с использованием таких утилит SSL, как openssl и cfssl.

Терминологии, используемые в этой статье:

  1. PKI – Public key infrastructure
  2. CA – Certificate Authority
  3. CSR – Certificate signing request
  4. SSL – Secure Socket Layer
  5. TLS – Transport Layer Security

Рабочий процесс создания сертификата

Ниже приведены шаги, необходимые для создания сертификатов CA, SSL / TLS.

CA ключ и создание сертификата

  • Создайте файл закрытого ключа CA с помощью утилиты (OpenSSL, cfssl и т. д.)
  • Создайте корневой сертификат CA, используя закрытый ключ CA.

Процесс создания сертификата сервера

  • Сгенерируйте закрытый ключ сервера с помощью утилиты (OpenSSL, cfssl и т. д.)
  • Создайте CSR, используя закрытый ключ сервера.
  • Создайте сертификат сервера, используя ключ CA, сертификат CA и CSR сервера.

В этом руководстве мы объясним шаги, необходимые для создания сертификатов CA, SSL / TLS с использованием следующих утилит:

  1. openssl
  2. cfssl

Данное руководство посвящено созданию собственных сертификатов CA, SSL / TLS.

Он предназначен для разработки или использования во внутренней сети, где каждый может установить предоставленный вами сертификат корневого УЦ.

Для использования в общедоступных (интернет) службах, вы должны рассмотреть возможность использования любых доступных сторонних служб CA, таких как Digicert и т. д.

Генерация сертификатов с использованием CFSSL и CFSSLJSON

CFSSL и CFSSLJSON являются инструментами PKI от Cloudflare. Это делает вашу жизнь проще для создания CSR и ключей сертификатов.

Установите CFSSL и CFSSLJSON на Linux

1. Загрузите исполняемые файлы и сохраните их в /usr/local/bin

curl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 \
       -o /usr/local/bin/cfssl
curl https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 \
       -o /usr/local/bin/cfssljson
curl https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 \
       -o /usr/local/bin/cfssl-certinfo

2. Добавьте права на выполнение для загруженных исполняемых файлов.

chmod +x /usr/local/bin/cfssl \

         /usr/local/bin/cfssljson \

         /usr/local/bin/cfssl–certinfo

3. Проверьте установку, выполнив команду cfssl:

Создайте сертификат CA и его ключ

Шаг 1: Создайте папку с именем cfssl для хранения всех сертификатов и перейдите в папку.

mkdir cfssl
cd cfssl

Шаг 2: Создайте файл ca-csr.json с необходимой информацией.

cat > ca-csr. json <<EOF
{
"CN": "Demo CA",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "US",
"L": "California",
"ST": "Milpitas"
}
]
}
EOF

Вы можете проверить поддерживаемые значения для csr и config, используя следующие команды:

cfssl print-defaults config
cfssl print-defaults csr

Шаг 2. Создайте ключ CA и файл сертификата (ca-key.pem и ca.pem) с помощью файла ca-csr.json.

cfssl gencert -initca ca-csr.json | cfssljson -bare ca –

Шаг 3: Создайте ca-config.json с подписью и данными профиля.

Это будет использоваться для создания сертификатов сервера или клиента, которые можно использовать для настройки аутентификации на основе SSL / TSL.

cat > ca-config.json <<EOF 
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"web-servers": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
EOF

Генерация сертификатов SSL / TLS

Шаг 1: Создайте server-csr. json с данными вашего сервера.

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

cat > server–csr.json <<EOF

{

“CN”: “scriptcrunch”,

“hosts”: [

“scriptcrunch.com”,

“www.scriptcrunch.com”

],

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “US”,

“L”: “CA”,

“ST”: “San Francisco”

}

]

}

EOF

Примечание: запись hosts в json должна содержать DNS или публичный / частный IP-адрес сервера, имена хостов, локальный DNS и т. д. В зависимости от интерфейса, гп который вы хотите получать запросы на аутентификацию. Например, у вас может быть сервер с аутентификацией TLS через общедоступные сети и частная сеть внутри организации.

Шаг 2: Теперь создайте SSL-сертификаты сервера, используя ключи CA, certs и csr сервера.

Это создаст файлы server-key.pem (закрытый ключ) и server.pem (сертификаты).

 cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-profile=web-servers \
server-csr.json | cfssljson -bare server


Генерация сертификатов с использованием OpenSSL

Утилита Openssl присутствует по умолчанию во всех системах на базе Linux и Unix.

Создайте сертификат CA и его ключ

Шаг 1: Создайте каталог openssl и CD к нему.

mkdir openssl && cd openssl

Шаг 2: Сгенерируйте файл секретного ключа CA.

openssl genrsa -out ca.key 2048

Шаг 3: Сгенерируйте файл сертификата CA x509, используя ключ CA.

Вы можете определить срок действия сертификата в днях.

Здесь мы указали 1825 дней.

Следующая команда запросит детали сертификата, такие как имя команды, местоположение, страна и т. д.

openssl req -x509 -new -nodes \
     -key ca.key -sha256 \
     -days 1825 -out ca.crt

Или вы можете передать эту информацию в команду, как показано ниже.

openssl req –x509 –new –nodes \

      –key ca.key –subj “/CN=scriptcrunch/C=US/L=CALIFORNIA” \

      –days 1825 –out ca.crt

Генерация сертификатов SSL / TLS

Шаг 1. Создайте закрытый ключ сервера

openssl genrsa -out server.key 2048

Шаг 2. Создайте файл конфигурации с именем csr.conf для генерации запроса на подпись сертификата (CSR), как показано ниже.

Замените значения в соответствии с вашими потребностями.

cat > csr.conf <<EOF

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

[ dn ]

C = US

ST = California

L = San Fransisco

O = Scriptcrunch

OU = Scriptcrunch Dev

CN = scriptcrunch. com

[ req_ext ]

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = scriptcrunch

DNS.2 = scriptcrunch.com

IP.1 = 10.34.12.5

IP.2 = 10.34.12.5

[ v3_ext ]

authorityKeyIdentifier=keyid,issuer:always

basicConstraints=CA:FALSE

keyUsage=keyEncipherment,dataEncipherment

extendedKeyUsage=serverAuth,clientAuth

[email protected]_names

EOF

alt_names должен содержать DNS ваших серверов, где вы хотите использовать SSL.
Также добавьте все IP-адреса, связанные с сервером, если клиенты используют этот IP-адрес для подключения к серверу по протоколу SSL.

Шаг 3: Сгенерируйте CSR, используя закрытый ключ и файл конфигурации.

openssl req -new -key server.key -out server.csr -config csr.conf

Шаг 4. Создайте SSL-сертификат сервера, используя ca.key, ca. crt и server.csr

openssl x509 –req –in server.csr –CA ca.crt –CAkey ca.key \

–CAcreateserial –out server.crt –days 10000 \

–extensions v3_ext –extfile csr.conf

 

Что такое сертификат TLS / SSL и как он работает?

Всякий раз, когда вы отправляете или получаете информацию в Интернете, она проходит через сеть из нескольких компьютеров, чтобы достичь места назначения. Исторически любой из этих компьютеров мог читать ваши данные, потому что они не были зашифрованы.

Большая часть этих данных весьма конфиденциальна и ценна для хакеров. Он может включать частные сообщения, которые не являются зашифрованными, финансовую информацию, а для веб-приложений, не использующих протокол Secure Remote Password, даже учетные данные для входа.

Для защиты конфиденциальных данных специалисты по безопасности разработали новый стандартный протокол для отправки и получения интернет-трафика: Transport Layer Security (TLS). Этому предшествовал протокол Secure Sockets Layer (SSL), но теперь он в значительной степени заменен TLS.

В этой статье мы рассмотрим основные концепции сертификатов TLS и TLS. Вы также можете переходить к различным разделам:

  1. Что такое TLS?
  2. Что такое сертификат TLS?
  3. Как работает сертификат TLS?
  4. Каковы недостатки сертификата TLS?
  5. Почему следует доверять центрам сертификации?
  6. Дополнительные меры безопасности, принятые ProtonMail

Что такое TLS?

Прежде чем мы углубимся в то, что такое сертификат TLS и как он работает, вам следует немного понять лежащую в его основе технологию.

Transport Layer Security — это протокол, который устанавливает зашифрованный сеанс между двумя компьютерами в Интернете. Он проверяет идентичность сервера и предотвращает перехват любых данных хакерами.

TLS (и его предшественник SSL) позволяет пользователям безопасно передавать конфиденциальные данные при использовании протокола HTTPS. Другими словами, HTTPS — это HTTP, расположенный поверх TLS. Эта технология идеально подходит для таких приложений, как банковское дело, аутентификация информации, обмен электронной почтой и любые другие процедуры, требующие более высокого уровня конфиденциальности и безопасности.TLS помогает обеспечить улучшенный уровень защиты за счет шифрования данных, которые можно прочитать, что затрудняет получение хакерами личной информации.

Эта структура обеспечивает конфиденциальность между различными конечными точками передачи данных и гарантирует целостность данных. Он также использует цифровые сертификаты, чтобы помочь проверить подлинность серверов. Эти сертификаты обычно называются сертификатами TLS.

Аутентификация этих сертификатов происходит с использованием криптографии с открытым ключом.Это основано на парах ключей, состоящих из открытого и закрытого ключей. Расшифровка зашифрованных данных возможна только при наличии как открытого, так и закрытого ключей. Сертификаты TLS используют проверку подлинности с открытым ключом, чтобы помочь убедиться, что к данным обращается предполагаемый получатель.

Что такое сертификат TLS?

Цифровые сертификаты, также известные как сертификаты идентичности или сертификаты открытых ключей, представляют собой цифровые файлы, которые используются для подтверждения владения открытым ключом.Сертификаты TLS — это тип цифрового сертификата, выдаваемый центром сертификации (ЦС). ЦС подписывает сертификат, подтверждая, что они подтвердили, что он принадлежит владельцам доменного имени, которое является предметом сертификата.

Сертификаты

TLS обычно содержат следующую информацию:

  • Имя субъектного домена
  • Субъектная организация
  • Имя выдающего ЦС
  • Дополнительные или альтернативные имена субъектных доменов, включая поддомены, если есть
  • Дата выпуска
  • Дата истечения срока действия
  • Открытый ключ (закрытый ключ Впрочем, это секрет. )
  • Цифровая подпись CA

Как работает сертификат TLS?

Когда пользователь пытается подключиться к серверу, сервер отправляет им свой сертификат TLS.

Затем пользователь проверяет сертификат сервера с помощью сертификатов ЦС, имеющихся на устройстве пользователя, для установления безопасного соединения. Этот процесс проверки использует криптографию с открытым ключом, такую ​​как RSA или ECC, чтобы подтвердить, что CA подписал сертификат. Пока вы доверяете ЦС, это демонстрирует, что вы взаимодействуете с субъектом сертификата сервера (например,g., ProtonMail.com).

Значит ли это, что он на 100% безопасен и надежен? Ну не всегда.

Какие слабые места у сертификатов TLS?

Хотя сертификаты TLS, как правило, безопасны, есть способы, которыми хакеры могут атаковать и потенциально скомпрометировать TLS. К ним относятся:

Свидетельство об отравлении магазина

Если злоумышленник заражает компьютер вредоносным ПО, он может получить доступ к цифровым сертификатам, хранящимся на этом устройстве, и вставить корневой сертификат. Это, наряду с возможностью мошеннического ответа на запросы этого пользователя, позволит им выдавать себя за веб-сайт, тем самым позволяя им читать все отправленные на него данные.

Атака на ЦС напрямую

Чтобы сертификация TLS работала, центр сертификации должен быть безопасным. Любое нарушение CA может привести к неправильной или мошеннической авторизации ключей. Это время от времени случалось в прошлом, и Comodo и DigiNotar были относительно заметными примерами.

Ошибочно выданные сертификаты

Пользователи полагаются на центры сертификации для аутентификации сервера, к которому они подключаются.Однако иногда возникает проблема с сертификатом, который представляет собой уязвимость, которую могут использовать хакеры. В сочетании с небезопасным интернет-соединением злоумышленник может использовать неправильно выданный сертификат, чтобы поставить под угрозу ваше соединение с сервером.

Если все эти проблемы существуют, разумно ли слепо доверять центрам сертификации? Доверие, да. Слепо нет.

Почему стоит доверять центрам сертификации?

Как агенты, отвечающие за проверку того, что данные, которые вы получили, пришли с ожидаемого сервера и не были изменены в пути, центры сертификации играют важную роль в современном Интернете.Ежегодно выпуская миллионы цифровых сертификатов, они составляют основу безопасной связи в Интернете, помогая шифровать миллиарды обменов данными и транзакций.

Физическая установка центра сертификации известна как его инфраструктура открытых ключей (PKI). PKI состоит из нескольких операционных элементов, включая оборудование, программное обеспечение, инфраструктуру безопасности, персонал, структуры политик, системы аудита и практические инструкции, все из которых способствуют обеспечению надежности процесса проверки сертификата TLS.

Хотя это правда, что центры сертификации и методы шифрования на основе TLS относительно безопасны, всегда есть возможности для улучшения.

Наша главная цель в Proton — обеспечить повышенную конфиденциальность и безопасность. Мы используем дополнительные меры для установления безопасных и надежных соединений. Ниже перечислены некоторые шаги, которые мы предпринимаем.

Авторизация центра сертификации DNS (CAA)

Еще в 2011 году, когда появились новости о неправильно выданных сертификатах, возникла необходимость в усиленных механизмах безопасности.Одним из результатов этой потребности является DNS CAA, который блокирует выдачу неправильных сертификатов.

Использование записи ресурса DNS позволяет владельцам доменов решать, каким центрам сертификации разрешено выдавать сертификаты для данного домена. Если запись CAA существует, только CA, перечисленные в этой записи, могут выдавать сертификат хоста.

Хотя это обеспечивает некоторую защиту от непреднамеренного неправильного использования сертификатов, пользователям очень сложно определить, игнорирует ли центр сертификации рекомендации CAA. Вот почему необходима прозрачность сертификата.

Прозрачность сертификата

Для обеспечения действительности сертификатов и предотвращения неправильной выдачи все центры сертификации размещают созданные ими сертификаты на общедоступных серверах журналов, известных как журналы прозрачности сертификатов (CT). Эти серверы отправляют подпись в ЦС, обещая опубликовать свой сертификат.

Мы обслуживаем заголовок Expect-CT, который сообщает браузеру, что необходимо наличие этой подписи. У нас также есть серверы мониторинга и аудита, которые проверяют журнал CT на предмет всех обещанных сертификатов, которые должны быть опубликованы.

В совокупности все эти меры делают крайне маловероятным создание сертификата TLS для protonmail.com и его использование для незаметного перехвата соединений кем-либо, в том числе государственным субъектом.

Закрепление сертификата TLS

Закрепление сертификата — это процесс, который связывает службу с их конкретным открытым ключом. После того, как сертификат установлен для определенной службы, он навсегда закрепляется за ней. Если существует несколько действительных сертификатов для данной услуги, контакты объединяются в набор контактов.Чтобы проверить набор выводов, по крайней мере один элемент из службы должен соответствовать элементам в наборе выводов. Мы закрепляем открытый ключ наших сертификатов во всех наших собственных приложениях.

Наша миссия — создать более безопасный Интернет, и информированность о том, как защищены ваши данные, может дать вам возможность принимать более обоснованные решения в отношении используемых вами услуг. Если у вас есть дополнительные вопросы или комментарии о сертификатах TLS или о том, как мы их используем, не стесняйтесь отвечать в комментариях или присоединяйтесь к обсуждению в наших каналах социальных сетей.

С уважением,
Команда ProtonMail

Вы можете получить бесплатную защищенную учетную запись электронной почты от ProtonMail здесь .

Мы также предоставляем бесплатный VPN-сервис для защиты вашей конфиденциальности. ProtonMail и ProtonVPN финансируются за счет взносов сообщества. Если вы хотите поддержать наши усилия по развитию, вы можете перейти на платный план или пожертвовать . Спасибо за поддержку.

Сертификат клиента

и сертификат сервера — главная разница

В цифровом мире SSL-сертификаты — клиентские или серверные — существуют, чтобы гарантировать безопасную связь с законными объектами. Эти сертификаты используют доверенную третью сторону, также известную как центр сертификации (ЦС), для проверки идентичности клиента на сервере или сервера для клиента соответственно. Знаете вы это или нет, но каждый из нас, работающих на цифровой платформе, использовал эти сертификаты, потому что они обеспечивают нам определенный уровень защиты от злонамеренных атак.

Итак, когда мы говорим о сертификате аутентификации сервера и сертификате аутентификации клиента, может ли один быть использован вместо другого? Есть ли между ними разница? Чтобы ответить на эти вопросы, давайте углубимся в детали сертификата клиента и сертификата сервера!

Сертификат клиента

и сертификат сервера: некоторые полезные термины, которые нужно знать

Прежде чем мы сможем перейти к обсуждению сертификата аутентификации сервера и сертификата аутентификации клиента целиком, нам нужно уделить время, чтобы понять, что такое сертификат X. 509 цифровых сертификатов есть.

Если говорить упрощенно, сертификат X.509 — это цифровой файл. Он использует всемирно признанный стандарт, называемый инфраструктурой открытого ключа X.509 (PKI), для проверки личности держателя сертификата и сопоставления открытого ключа с этим конкретным пользователем, компьютером или службой. Цифровые сертификаты X.509 могут включать сертификаты SSL / TLS, сертификаты электронной почты S / MIME, сертификаты подписи кода и т. Д.

В системе X.509 расширенное использование ключа (EKU) — это атрибут, который может быть включен в дополнительные расширения.Он используется для указания цели открытого ключа, содержащегося в сертификате, путем перечисления ролей с помощью идентификаторов объектов (OID). Центр сертификации может использовать расширения для выдачи сертификата для определенной цели.

• anyExtendedKeyUsage (OID 2.5.29.37.0)
• Аутентификация сервера (OID 1.3.6.1.5.5.7.3.1)
• Аутентификация клиента (OID 1. 3.6.1.5.5.7.3.2)
• Подпись кода (1.3. 6.1.5.5.7.3.3)

Безопасные неограниченные субдомены с одним подстановочным SSL-сертификатом — экономия 50%

Сэкономьте 50% на SSL-сертификатах Sectigo Wildcard.Он включает в себя неограниченные серверные лицензии, перевыпуск, 256-битное шифрование и многое другое.

Купите Wildcard SSL и сэкономьте 50%

Сертификат клиента и сертификат сервера: назначение каждого

Сертификат клиента

Сертификат клиента служит для пользователя способом подтвердить свою личность серверу. Поскольку известно, что пароли уязвимы для атак методом грубой силы и различных других методов взлома, мы полагаемся на систему пользователя для аутентификации личности клиента.Это делается без необходимости ввода пароля от пользователя. После подтверждения личности клиента (пользователя электронной почты, веб-сайта и т. Д.) Сервер знает, что он подключается к законному пользователю, и предоставляет доступ.

Рассмотрим сценарий, в котором вы разместили на своем сервере некоторые строго конфиденциальные документы, которые вы хотите предоставить только доверенному персоналу в вашей компании. Вы уже знаете, что клиентские сертификаты аутентифицируют пользователей в зависимости от используемых ими систем.Если пользователи не обращаются к серверу с клиентского компьютера, у которого есть разрешения, им будет отказано в доступе. Чтобы добавить еще один уровень безопасности, вы можете объединить это с многофакторной аутентификацией, чтобы избежать утечки данных.

Сертификаты сервера

Сертификаты сервера

— это так называемые SSL / TLS. сертификаты. Сертификат SSL / TLS выполняет две задачи:

• Во-первых, он проверяет и подтверждает личность держателя сертификата или заявителя перед его аутентификацией.
• Во-вторых, он устанавливает зашифрованный канал связи и переключает протокол на HTTPS после установки на сервере (в качестве защиты от любого человека в середине атаки).

Это также самый популярный тип сертификата X.509. Сертификаты SSL / TLS выдаются именам хостов (имена компьютеров, такие как «ABC-SERVER-02», или имена доменов, такие как www.site.com). Когда мы подключаемся к нашим компьютерам и вводим URL-адрес веб-сайта, сертификат сервера гарантирует, что поток данных между нашим клиентским браузером и доменом, который мы пытаемся достичь, остается безопасным.

Сертификат клиента и сертификат сервера: разница между двумя

Как вы, наверное, уже знаете, аутентификация клиента и аутентификация сервера — это разные процессы. Таким образом, эти два типа сертификатов имеют очень специфические цели и не могут использоваться друг вместо друга. В таблице ниже сравниваются два сертификата и дается общий обзор их сходства и различий:

TL; DR — Сравнение сертификата клиента и сервера
Сертификат сервера Сертификаты клиентов
Сертификат сервера используется для проверки подлинности сервера для клиента. Сертификат клиента используется для аутентификации личности клиента или пользователя на сервере.
Сертификаты сервера выполняют шифрование передаваемых данных, чтобы гарантировать конфиденциальность данных. Сертификат клиента не шифрует никаких данных, он только служит более безопасным механизмом аутентификации, чем пароли.
Сертификаты сервера основаны на PKI. Клиентские сертификаты также основаны на PKI.
OID для аутентификации сервера — 1.3.6.1.5.5.7.3.1 OID для аутентификации клиента — 1.3.6.1.5.5.7.3.2
Сертификаты сервера содержат разделы «Кому выдан» и «Кем выдан». Клиентские сертификаты также имеют Кому выдан »и« Кем выдан ».
Пример: SSL-сертификаты Пример: сертификаты клиента электронной почты

Что такое сертификат SSL? Сколько стоит сертификат SSL?

Сводка

Сертификат SSL отвечает за создание безопасной связи между клиентом и сервером.

Что такое SSL-сертификат

SSL — это протокол Secure Socket Layer, который отвечает за создание безопасной связи между клиентом и сервером. Это осуществляется посредством аутентификации как сервера, так и клиента, а также согласования алгоритма шифрования и криптографических ключей.

Интернет-пользователи связывают SSL с замком, который появляется в адресной строке браузера при входе в безопасную область веб-сайта.Они знают, что нужно искать это, прежде чем вводить какую-либо личную или финансовую информацию в Интернете. Если информация вводится на незащищенном веб-сайте, данные передаются с вашего компьютера на веб-сервер в незашифрованном виде и доступны для просмотра в виде обычного текста. Любой, кто «перехватывает» пакеты в сети или в Интернете, может перехватить вашу информацию и использовать ее обманным путем.

Чтобы использовать протокол SSL с вашим доменом, на сервере HostMonster должен быть установлен частный (не общий) SSL-сертификат специально для вашего домена. Это можно сделать, только если у вашей учетной записи есть выделенный IP-адрес. Для получения информации о приобретении выделенного IP-адреса щелкните здесь.

Обратите внимание, что для учетных записей Standard и Pro у вас может быть только один выделенный IP-адрес и один сертификат SSL. Это потому, что у вас будет только одна cPanel. Для VPS, выделенных учетных записей и учетных записей посредников вы можете иметь несколько выделенных IP-адресов и SSL-сертификатов, поскольку вы можете создать несколько cPanel в своей учетной записи.

После того, как вы приобрели выделенный IP-адрес для своей учетной записи HostMonster, вы можете продолжить чтение одной из следующих статей базы знаний:

Примечание. Сертификаты SSL зависят от домена. При переименовании основного домена имейте в виду, что сертификат SSL для старого основного домена не будет работать после процесса переименования. Для нового основного доменного имени потребуется новый сертификат SSL.

Рекомендуемое содержимое справки

Как обновить существующий сертификат SSL или приобрести новый в вашей cPanel


PaymentSphere от Applied Merchant Services, позволяет принимать платежи по кредитным картам на вашем веб-сайте.Это самый быстрый и простой способ заработать деньги.

Статья базы знаний 42,757 просмотров теги:

Принимаете ли вы платежи, отличные от кредитных карт или Paypal?


Соответствующее содержимое справки

Пошаговое руководство по обновлению информации о кредитной карте.


Где я могу получить копию печати сайта для моего SSL, приобретенного через HostMonster?


Как использовать бесплатный общий SSL-сертификат?


Мне нужно установить самоподписанный сертификат SSL для моего домена.

Статья базы знаний 226289 просмотров Теги: безопасный ssl

В этой статье объясняется, как загрузить копию вашего сертификата SSL.


Мне нужно установить сторонний сертификат SSL для моего домена.


Как использовать безопасное FTP-соединение?


Когда я пытаюсь войти в корзину покупок OSCommerce, используя https: // secure.HostMonster.com/~username url, моя корзина покупок не та. Как будто у меня 2 тележки, одна для HTTP (небезопасная) и


бесплатных SSL-сертификатов или платных SSL-сертификатов — что вам подходит?

Все, что вам нужно знать о практической разнице между бесплатным и коммерческим сертификатом SSL.

В эпоху, когда количество попыток взлома и мошенничества растет с каждым днем, владельцы веб-сайтов и онлайн-пользователи стали гораздо больше беспокоиться о своей безопасности.В результате наличие установленного сертификата SSL стало обязательным условием для любого веб-сайта. SSL-сертификаты не только служат неоценимым оружием для веб-безопасности, но также могут помочь вам повысить рейтинг в поисковых системах.

Как вы, наверное, знаете, существует два типа сертификатов SSL . Первый — «Бесплатный сертификат SSL», который, как следует из названия, доступен бесплатно. Другой платный — просто известен как «SSL-сертификат». Давайте подробнее рассмотрим оба.

Что такое бесплатный сертификат SSL?

Как следует из названия, эти сертификаты не имеют ценника. Целью предоставления бесплатного SSL-сертификата было сделать доступ к HTTPS доступным для всех веб-сайтов.

бесплатных SSL-сертификатов можно разделить на две категории. «Самозаверяющие сертификаты» — это сертификаты, в которых не требуется никакой сертификатной компании для их подписания. Они подписаны самим эмитентом. С другой стороны, второй тип бесплатного SSL-сертификата, доступного на рынке, подписывается центрами сертификации (CA).Что касается уровня шифрования, бесплатный SSL-сертификат обеспечивает тот же уровень шифрования, что и платные.

Платные SSL-сертификаты

Чтобы оснастить сайт данными сертификатами, необходимо заплатить. Платный сертификат выдается и подписывается надежным центром сертификации (CA) и подписывается им. Вы либо получаете его непосредственно на веб-сайте центра сертификации, либо можете приобрести его у 3 -го сторонних организаций, называемых «реселлерами».

Что касается уровня шифрования, бесплатный SSL-сертификат обеспечивает тот же уровень шифрования, что и платный.Теперь вы, должно быть, задаетесь вопросом, «Почему я должен платить за тот же сертификат, если вы можете получить его бесплатно?»

Ну, между ними есть несколько существенных различий.

Ключевые различия между бесплатным и платным SSL

Тип SSL-сертификата

Бесплатные SSL-сертификаты поставляются только с опцией проверки домена (DV). Сертификаты DV используются только для обеспечения базового уровня аутентификации. Обычно они используются для таких платформ, как небольшие веб-сайты и блоги.Бесплатные сертификаты SSL не предусматривают сертификаты проверки организации (OV) и расширенной проверки (EV). В то время как платные SSL-сертификаты поставляются с опциями OV & EV, которые абсолютно необходимы для защиты бизнес-сайтов.

Уровень проверки

Когда дело доходит до проверки бизнес-данных владельца веб-сайта перед выдачей бесплатного сертификата, CA не проверяет ничего, кроме личности владельца веб-сайта.В то время как в случае платных SSL-сертификатов проверка личности владельца веб-сайта является обязательной перед выдачей сертификата владельцу сайта, а в случае сертификатов OV & EV, углубленная проверка бизнеса выполняется центр сертификации (ЦС).

Срок действия

Бесплатные SSL-сертификаты популярных центров сертификации выдаются на 30-90 дней. В результате владелец сайта должен обновлять сертификат каждые 30-90 дней.В случае платных сертификатов они могут быть выданы сроком на 1-2 года.

Поддержка

Центры сертификации (ЦС) и реселлеры платных сертификатов обязуются предоставлять своим клиентам круглосуточную поддержку. Эти клиенты могут выбирать, какой тип поддержки они хотят, будь то чат, электронная почта или звонок. С другой стороны, бесплатные центры сертификации не оказывают своим клиентам такой замечательной поддержки, потому что они не могут себе этого позволить. Если вам нужна помощь в решении проблемы бесплатного SSL, вам придется просмотреть кучу старых сообщений на форуме, чтобы найти ее.

Уровень доверия

Как упоминалось ранее, бесплатные сертификаты помогают только при проверке на уровне домена. Если кто-то хочет получить сертификаты OV и EV , у него нет другого выбора, кроме как пойти с платными сертификатами SSL. С сертификатами OV & EV поставляются визуальные индикаторы, такие как название компании в URL-адресе и информация о сертификате, а также улучшенная печать сайта. Принимая во внимание, что бесплатных SSL-сертификатов не предоставляют таких привилегий.

Гарантия

При наличии бесплатного SSL-сертификата, если что-то пойдет не так на стороне CA — например, катастрофический отказ их PKI — вам полностью не повезло.Платные SSL-сертификаты не имеют этой проблемы, потому что на них распространяются гарантии с выплатой от 10 тысяч до 1,75 мил.

Какой сертификат SSL / TLS идеально подходит для сайтов электронной коммерции?

Доверие играет жизненно важную роль в любых отношениях, и сайты электронной коммерции не исключение. Никто не хотел бы раскрывать свою конфиденциальную информацию, такую ​​как номер кредитной карты или любую другую, если ей не хватает доверия. Законные доверенные веб-сайты демонстрируют видимую безопасность, которую могут легко распознать конечные пользователи.

Пройдите любой опрос или посмотрите любую другую информацию. Вы обнаружите, что платные сертификаты SSL / TLS, то есть с проверкой организации (OV) или с расширенной проверкой (EV) от законных центров сертификации, проводят строгий процесс углубленной проверки организации. Он также предлагает видимые индикаторы доверия, такие как печать безопасности сайта, название организации в адресной строке веб-браузера, чтобы пользователи чувствовали себя в безопасности и могли делиться своей платежной информацией, которой нет в бесплатных сертификатах SSL.

Платные сертификаты SSL / TLS похожи на инвестиции

Фирменные сертификаты SSL / TLS

имеют круглосуточную техническую поддержку, что делает их идеальным выбором для онлайн-бизнеса независимо от его размера. Мы SSL Renewals, являемся авторизованным реселлером всемирно признанных центров сертификации, таких как Comodo, RapidSSL, GeoTrust, Thawte, GlobalSign и Digicert / Symantec. SSL Renewals — один из авторитетных реселлеров в индустрии SSL, предлагающий самый надежный и широкий спектр сертификатов SSL / TLS со скидкой до 85%.

Ознакомьтесь с нашими недорогими платными сертификатами SSL

год
Бренды SSL Цена поставщика Наша цена Серверная лицензия
RapidSSL 138 долл. США / год 12,42 долл. США / год 9023 9023 9023 9023 безлимитно 98 $ / год 13,23 $ / год Без ограничений Купить сейчас
Thawte SSL123 259 $ / год 41 $.72 / год Безлимитный Купить сейчас
SSL-сертификат Sectigo $ 199.90 / год $ 55.97 / год Безлимитный Купить сейчас
Премиум GeoTrust $ Без ограничений Купить сейчас

Заключение

Сегодня веб-безопасность стала делом «без компромиссов», и сертификаты SSL предлагают большую помощь владельцам сайтов. Нельзя отрицать, что бесплатные сертификаты SSL представляют собой отличный вариант для многих, но, как обсуждалось выше, они имеют ограничения. Они являются идеальным выбором для тех, кто хочет защитить свой блог или даже небольшой веб-сайт.

Но когда дело касается реального бизнеса, тут не о чем думать, не так ли? Если бы бесплатные SSL-сертификаты были подходящими, то все ведущие сайты электронной коммерции использовали бы их, верно? Но они этого не делают, и на то есть множество причин. Платные SSL-сертификаты могут помочь повысить коэффициент конверсии на веб-сайтах, внося элемент доверия в сознание клиента, что в конечном итоге приводит к увеличению доходов.Хотя вы должны немного заплатить за это заранее, вы наверняка сможете насладиться фруктами позже. В конце концов, ничего хорошего не дается бесплатно… не так ли?

Связанное сообщение:

CMX 10.5 Процедура установки SSL-сертификата

Введение

В этой статье будет приведен пример того, как получить бесплатный сертификат SSL и как установить его на CMX. Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией.Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Предварительные требования

Требования

Cisco рекомендует знать следующие темы:

— доменное имя, которое может быть разрешено извне

— Базовые навыки работы с Linux

— Базовые знания PKI (инфраструктуры открытого ключа)

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

— CMX 10.5

Подготовка и резервное копирование

Веб-сертификат находится в следующей папке:

 [root @ cmxtry ssl] # pwd
/ opt / haproxy / ssl 

Резервное копирование старого сертификата и ключа:

 [cmxadmin @ cmxtry ssl] $ cd / opt / haproxy / ssl /

[cmxadmin @ cmxtry ssl] $ su root
Пароль: (введите пароль root)

[root @ cmxtry ssl] # mkdir . /oldcert
[root @ cmxtry ssl] # mv host. * ./oldcert/

[root @ cmxtry ssl] #  ls ./oldcert/
host.key host.pem 

Если вы не очень знакомы с Linux, приведенные выше команды можно интерпретировать следующим образом:

 [cmxadmin @ cmxtry ssl] $ cd / opt / haproxy / ssl /
 
[cmxadmin @ cmxtry ssl] $ su root
Пароль: (введите пароль root)
 
[root @ cmxtry ssl] # mkdir / opt / haproxy / ssl / oldcert
[root @ cmxtry ssl] # mv host.pem / opt / haproxy / ssl / oldcert /
[root @ cmxtry ssl] # mv host.key / opt / haproxy / ssl / oldcert /
 
[root @ cmxtry ssl] # ls / opt / haproxy / ssl / oldcert /
host.key host.pem 

Настроить

Создать закрытый ключ:

 openssl genrsa -out cmxtry.com.key 2048 
 [root @ cmxtry ssl] # openssl genrsa -out  cmxtry.com.key  2048
Генерация закрытого ключа RSA, модуль длиной 2048 бит
............
...............
е - 65537 (0x10001)

[root @ cmxtry ssl] # ls
  cmxtry. com.key  oldcert 

Сгенерируйте CSR (запросы на подпись сертификата) с использованием личного ключа, сгенерированного на предыдущем шаге.

[root @ cmxtry ssl] #  openssl req -new -sha256 -key cmxtry.com.key -out cmxtry.com.csr
 
Вас сейчас попросят ввести информацию, которая будет включена
в ваш запрос на сертификат.
То, что вы собираетесь ввести, называется отличительным именем или DN.
Поля довольно много, но можно оставить пустыми
Для некоторых полей будет значение по умолчанию,
Если вы введете '.', поле останется пустым.
-----
Название страны (двухбуквенный код) [AU]: BE
Название штата или провинции (полное название) [Some-State]:
Название населенного пункта (например, город) []: DIEGEM
Название организации (например, компания) [Internet Widgits Pty Ltd]: CMXTRY
Название организационной единицы (например, раздел) []: CMXTRY
Общее имя (например, полное доменное имя сервера или ВАШЕ имя) []: cmxtry.com
Адрес электронной почты []: [email protected] com

Пожалуйста, введите следующие "дополнительные" атрибуты
для отправки с запросом на сертификат
Пароль вызова []: Cisco123
Необязательное название компании []: CMXTRY


[root @ cmxtry ssl] # ls
cmxtry.com.csr cmxtry.com.key oldcert 

Показать CSR:

 [root @ cmxtry ssl] # cat cmxtry.com.csr
----- НАЧАТЬ ЗАПРОС СЕРТИФИКАТА -----
MIIDZTCCAk0CAQAwgY0xCzAJBgNVBAYTAkJFMRMwEQYDVQQIDApTb21lLVN0YXRl
MQ8wDQYDVQQHDAZESUVHRU0xDzANBgNVBAoMBkNNWFRSWTEPMA0GA1UECwwGQ01Y
VFJZMRMwEQYDVQQDDApjbXh0cnkuY29tMSEwHwYJKoZIhvcNAQkBFhJhdml0b3Np
bkBjaXNjby5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCkEIg0
AxV / 3HxAxUu7UI / LxkTP + DZJvvuua1WgyQ + tlD4r1 + k1Wv1eINCJqywglCKt9vVg
aiYp4JAKL28TV7rtSKqNFnWDMtTKoYRkYWI3L48r9Mu9Tt3zDCG09ygnQFi6SnmX
VmKx7Ct / wIkkBXfkq1nq4vqosCry8SToS1PThX / KSuwIF6w2aKj1Fbrw3eW4XJxc
5hoQFrSsquqmbi5IZWgH / zMZUZTdWYvFc / h50PCBJsAa9HTY0sgUe / nyjHdt + V / l
alNSh51jsrulhWiPzqbaPW / Fej9 / 5gtPG5LReWuS20ulAnso4tdcST1vVletoXJw
F58S8AqeVrcOV9SnAgMBAAGggZEwFQYJKoZIhvcNAQkCMQgMBkNNWFRSWTAXBgkq
hkiG9w0BCQcxCgwIQ2lzY28xMjMwXwYJKoZIhvcNAQkOMVIwUDAJBgNVHRMEAjAA
MBcGA1UdEQQQMA6CDF9fSE9TVE5BTUVfXzAdBgNVHSUEFjAUBggrBgEFBQcDAQYI
KwYBBQUHAwIwCwYDVR0PBAQDAgOoMA0GCSqGSIb3DQEBCwUAA4IBAQCBslfRzbiw
WBBBN74aWm6YwkO0YexpR2yCrQhcOsxWTujPVvzNP9WaDNxu1rw6o3iZclGi6D61
qFsKtchQhnclvOj7rNI8TInaxIorR2zMy0lF2vtJmvY4YQFso9qzmuaxkmttEMFU
Fj0bxKh6SpvxePh6 + BDcwt + kQExK5aF3Q6cRIMyKBS2 + I5J5eddJ0cdIqTfwZOGD
5dMDWqHGd7IZyrend8AMPZvNKm3Sbx11Uq + A / fa7f9JZE0O2Q9h4sl3hj3QIPU6s
w1Pyd66 / OX04yYIvMyjJ8xpJGigNWBOvQ + GLvK0ce441h3u2oIoPe60sDOYldL + X
JsnSbefiJ4Fe
----- КОНЕЦ ЗАПРОСА СЕРТИФИКАТА ----- 

Скопируйте CSR (включая начало строки запроса сертификата и конец строки запроса сертификата).

В случае моей лаборатории я использовал бесплатный сертификат от Comodo (https://www.instantssl.com/)

Вы вставляете CSR в окно и выбираете RedHat в качестве программного обеспечения, используемого для создания CSR:

Вы должны подтвердить домен, используя адрес электронной почты или другие способы проверки домена, такие как запись DNS CNAME.

Когда вы завершите процесс проверки, вы сможете скачать сертификат отсюда:

При загрузке сертификата необходимо загрузить его в ящик CMX:

 [avitosin> ~ / Desktop / cmxtry_com] ls
  cmxtry_com.ca-bundle cmxtry_com.crt 
[avitosin> ~ / Desktop / cmxtry_com] scp ./* [email protected]: / home / cmxadmin
Предупреждение: ключ хоста ECDSA для cmxtry.com отличается от ключа для IP-адреса '64 .103.12.134 '
Оскорбительный ключ для IP в /Users/avitosin/.ssh/known_hosts:8
Соответствующий ключ хоста в /Users/avitosin/.ssh/known_hosts:10
Вы уверены, что хотите продолжить подключение (да / нет)? да
[email protected] com пароль:
/etc/profile.d/lang.sh: строка 19: предупреждение: setlocale: LC_CTYPE: невозможно изменить языковой стандарт (UTF-8): нет такого файла или каталога
  cmxtry_com.ca-bundle 100% 4103 4,0 КБ / с 00:00
cmxtry_com.crt 100% 2236 2,2 КБ / с 00:00 
[avitosin> ~ / Desktop / cmxtry_com] 

Проверить сертификаты

Убедитесь, что сертификат был успешно скопирован в CMX:

 [root @ cmxtry ssl] # cd / home / cmxadmin /
[root @ cmxtry cmxadmin] # ls
cmxtry_com.ca-bundle cmxtry_com.crt
[root @ cmxtry cmxadmin] #
 

Государственный сертификат:

 [корень @ cmxtry cmxadmin] # cat  cmxtry_com.crt 
----- НАЧАТЬ СЕРТИФИКАТ -----
MIIGRzCCBS + gAwIBAgIRALKbdelOe0O7sSYMBFBhFPwwDQYJKoZIhvcNAQELBQAw
gZAxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO
BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTYwNAYD
VQQDEy1DT01PRE8gUlNBIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2ZXIg
Q0EwHhcNMTgwODA4MDAwMDAwWhcNMTgxMTA2MjM1OTU5WjBLMSEwHwYDVQQLExhE
b21haW4gQ29udHJvbCBWYWxpZGF0ZWQxETAPBgNVBAsTCEZyZWUgU1NMMRMwEQYD
VQQDEwpjbXh0cnkuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
oVRQ9cBGBNbcIIiVovDXUw0TRXjrCplro9bx22kGAnJPNenymETTdJ4m + 7Rs19BI
ob09Wqo4CKWCxgdViJWQDohfGbElvdELcOD7 + HgZroYHoY24wzU + q2WCFW9z3Dca
RZMJagjsXPZ5XhACvlKb + lNoYTgTkf0xVAnNphTGgtOGNaQ / PHqX9ITC4iwTmFWD
UEZR / SIwb5MjIQZsMGi5cW7q4STKrydFVDXmJzNySK2hq9s9yc8cBN2Lp2HJsaA4
qtQb1KWOLnzVxUaAMVN + sObVvYV / sOmJLtFvKKU9Pg2cuSo2LhPBVtTpdbHkSDuz
NlWHhYC9Uxu2 + wwvTwGjQQIDAQABo4IC3jCCAtowHwYDVR0jBBgwFoAUkK9qOpRa
C9iQ6hJWc99DtDoo2ucwHQYDVR0OBBYEFPvwN4lSs4oKd5AaG + j6xhDEtfL7MA4G
A1UdDwEB / wQEAwIFoDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQWMBQGCCsGAQUFBwMB
BggrBgEFBQcDAjBPBgNVHSAESDBGMDoGCysGAQQBsjEBAgIHMCswKQYIKwYBBQUH
AgEWHWh0dHBzOi8vc2VjdXJlLmNvbW9kby5jb20vQ1BTMAgGBmeBDAECATBUBgNV
HR8ETTBLMEmgR6BFhkNodHRwOi8vY3JsLmNvbW9kb2NhLmNvbS9DT01PRE9SU0FE
b21haW5WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3JsMIGFBggrBgEFBQcBAQR5
MHcwTwYIKwYBBQUHMAKGQ2h0dHA6Ly9jcnQuY29tb2RvY2EuY29tL0NPTU9ET1JT
QURvbWFpblZhbGlkYXRpb25TZWN1cmVTZXJ2ZXJDQS5jcnQwJAYIKwYBBQUHMAGG
GGh0dHA6Ly9vY3NwLmNvbW9kb2NhLmNvbTAlBgNVHREEHjAcggpjbXh0cnkuY29t
gg53d3cuY214dHJ5LmNvbTCCAQMGCisGAQQB1nkCBAIEgfQEgfEA7wB1AO5Lvbd1
zmC64UJpH6vhnmajD35fsHLYgwDEe4l6qP3LAAABZRmIfAUAAAQDAEYwRAIgdU0n
octPP7c7dR3MSMq2NQDA1rgP1hSGtB4qkectDp4CIBHBdS9cuu6Pwjb9OAHtKIDh
BGFm51btA2NflzDLKmpVAHYA23Sv7ssp7LH + yj5xbSzluaq7NveEcYPHXZ1PN7Yf
v2QAAAFlGYh7cwAABAMARzBFAiBDUjKNvINiwh2hgA + 4Oipjhv7oGxLEsDiz + e7j
/ oa3qQIhAKoTXC41fbcAZSh4zWE / LBYthUkA4qaP3Q2en7QanEv7MA0GCSqGSIb3
DQEBCwUAA4IBAQAwoZfOdE1QuzJqssnAWxoI2uTc9R15clVq3X7qiYLv3ItijFUL
stuKQXf7VqYqKHcjX8Ue5TMfcJYNlRc5Knj3r6fusLuaO33W ++ g3TDnQuN / CT5Y4
nrgor7UsquZHGoY6RHh3ZDA53Ep80YtsO36eLN8qkDB / OvxqJmYj9URTLfWRqfhh
sGE1odIjW4lbSka + CR09DlBkhzOTqDCnWcKicn / kSfJexKVs0LRrNXfvUEdbPohl
plPeiyKMXUtV2Q67UwiYpC9JzkG8a09q5JdUL4Le / xn0gvz4jq + 2rtHnNctg6ShD
laqU7wA5HRag2zJsIK / d2Agymk8u3AypzW4T
----- КОНЕЦ СЕРТИФИКАТ ----- 

Цепь доверия:

 [корень @ cmxtry cmxadmin] # cat  cmxtry_com. ca-bundle 
----- НАЧАТЬ СЕРТИФИКАТ -----
MIIGCDCCA / CgAwIBAgIQKy5u6tl1NmwUim7bo3yMBzANBgkqhkiG9w0BAQwFADCB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 + G + eMGnD4LgYqbSRutA776S9uMIO3Vzl5ljj4Nr0zCsLdFXlIvNN5IJGS0
Qa4Al / e + Z96e0HqnU4A7fK31llVvl0cKfIWLIpeNs4TgllfQcBhglo / uLQeTnaG6
ytHNe + nEKpooIZFNb5JPJaXyejXdJtxGpdCsWTWM / 06RQ1A / WZMebFEh7lgUq / 51
UHg + TLAchhP6a5i84DuUHoVS3AOTJBhuyydRReZw3iVDpA3hSqXttn7IzW3uLh0n
c13cRTCAquOyQQuvvUSh3rnlG51 / ruWFgqUCAwEAAaOCAWUwggFhMB8GA1UdIwQY
MBaAFLuvfgI9 + qbxPISOre44mOzZMjLUMB0GA1UdDgQWBBSQr2o6lFoL2JDqElZz
30O0Oija5zAOBgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH / BAgwBgEB / wIBADAdBgNV
HSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwGwYDVR0gBBQwEjAGBgRVHSAAMAgG
BmeBDAECATBMBgNVHR8ERTBDMEGgP6A9hjtodHRwOi8vY3JsLmNvbW9kb2NhLmNv
bS9DT01PRE9SU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDBxBggrBgEFBQcB
AQRlMGMwOwYIKwYBBQUHMAKGL2h0dHA6Ly9jcnQuY29tb2RvY2EuY29tL0NPTU9E
T1JTQUFkZFRydXN0Q0EuY3J0MCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21v
ZG9jYS5jb20wDQYJKoZIhvcNAQEMBQADggIBAE4rdk + SHGI2ibp3wScF9BzWRJ2p
mj6q1WZmAT7qSeaiNbz69t2Vjpk1mA42GHWx3d1Qcnyu3HeIzg / 3kCDKo2cuh2Z /
e + FE6kKVxF0NAVBGFfKBiVlsit2M8RKhjTpCipj4SzR7JzsItG8kO3KdY3RYPBps
P0 / HEZrIqPW1N + 8QRcZs2eBelSaz662jue5 / DJpmNXMyYE7l3YphLG5SEXdoltMY
dVEVABt0iN3hxzgEQyjpFv3ZBdRdRydg1vs4O2xyopT4Qhrf7W8GjEXCBgCq5Ojc
2bXhc3js9iPc0d1sjhqPpepUfJa3w / 5Vjo1JXvxku88 + vZbrac2 / 4EjxYoIQ5QxG
V / Iz2tDIY + 3GH5QFlkoakdh468 + PUq4NCNk + qKBR6cGHdNXJ93SrLlP7u3r7l + L4
HyaPs9Kg4DdbKDsx5Q5XLVq4rXmsXiBmGqW5prU5wfWYQ // u + aen / e7KJD2AFsQX
j4rBYKEMrltDR5FL1ZoXX / nUh8HCjLfn4g8wGTeGrODcQgPmlKidrv0PJFGUzpII
0fxQ8ANAe4hZ7Q7drNJ3gjTcBpUC2JD5Leo31Rpg0Gcg19hCC0Wvgmje3WYkN5Ap
lBlGGSW4gNfL1IYoakRwJiNiqZ + Gb7 + 6kHDSVneFeO / qJakXzlByjAA6quPbYzSf
+ AZxAeKCINT + b72x
----- КОНЕЦ СЕРТИФИКАТА -----
----- НАЧАТЬ СЕРТИФИКАТ -----
MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci / ITeIjANBgkqhkiG9w0BAQwFADBv
MQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFk
ZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBF
eHRlcm5hbCBDQSBSb290MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFow
gYUxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO
BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMSswKQYD
VQQDEyJDT01PRE8gUlNBIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIICIjANBgkq
hkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAkehUktIKVrGsDSTdxc9EZ3SZKzejfSNw
AHG8U9 / E + ioSj0t / EFa9n3Byt2F / yUsPF6c947AEYe7 / EZfH9IY + Cvo + XPmT5jR6
2RRr55yzhaCCenavcZDX7P0N + pxs + t + wgvQUfvm + xKYvT3 + Zf7X8Z0NyvQwA1onr
ayzT7Y + YHBSrfuXjbvzYqOSSJNpDa2K4Vf3qwbxstovzDo2a5JtsaZn4eEgwRdWt
4Q08RWD8MpZRJ7xnw8outmvqRsfHIKCxh3XeSAi6pE6p8oNGN4Tr6MyBSENnTnIq
m1y9TBsoilwie7SrmNnu4FGDwwlGTm0 + mfqVF9p8M1dBPI1R7Qu2XK8sYxrfV8g /
vOldxJuvRZnio1oktLqpVj3Pb6r / SVi + 8Kj / 9Lit6Tf7urj0Czr56ENCHonYhMsT
8dm74YlguIwoVqwUHZwK53Hrzw7dPamWoUi9PPevtQ0iTMARgexWO / bTouJbt7IE
IlKVgJNp6I5MZfGRAy1wdALqi2cVKWlSArvX31BqVUa / oKMoYX9w0MOiqiwhqkfO
KJwGRXa / ghgntNWutMtQ5mv0TIZxMOmm3xaG4Nj / QN370EKIf6MzOi5cHkERgWPO
GHFrK + ymircxXDpqR + DDeVnWIBqv8mqYqnK8V0rSS527EPywTEHl7R09XiidnMy /
s1Hap0flhFMCAwEAAaOB9DCB8TAfBgNVHSMEGDAWgBStvZh6NLQm9 / rEJlTvA73g
JMtUGjAdBgNVHQ4EFgQUu69 + Aj36pvE8hI6t7jiY7NkyMtQwDgYDVR0PAQH / BAQD
AgGGMA8GA1UdEwEB / wQFMAMBAf8wEQYDVR0gBAowCDAGBgRVHSAAMEQGA1UdHwQ9
MDswOaA3oDWGM2h0dHA6Ly9jcmwudXNlcnRydXN0LmNvbS9BZGRUcnVzdEV4dGVy
bmFsQ0FSb290LmNybDA1BggrBgEFBQcBAQQpMCcwJQYIKwYBBQUHMAGGGWh0dHA6
Ly9vY3NwLnVzZXJ0cnVzdC5jb20wDQYJKoZIhvcNAQEMBQADggEBAGS / g / FfmoXQ
zbihKVcN6Fr30ek + 8nYEbvFScLsePP9NDXRqzIGCJdPDoCpdTPW6i6FtxFQJdcfj
Jw5dhHk3QBN39bSsHNA7qxcS1u80Gh5r6XnTq1dFDK8o + tDb5VCViLvfhVdpfZLY
Uspzgb8c8 + a4bmYRBbMelC1 / kZWSWfFMzqORcUx8Rww7Cxn2obFshj5cqsQugsv5
B5a6SE2Q8pTIqXOi6wZ7I53eovNNVZ96YUWYGGjHXkBrI / V5eu + MtWuLt29G9Hvx
PUsE2JOAWVrgQSQdso8VYFhh3 + 9uRv0V9dlfmrPb2LjkQLPNlzmuhbsdjrzch5vR
pu / xO28QOG8 =
----- КОНЕЦ СЕРТИФИКАТ ----- 

Альтернативный способ заглянуть внутрь сертификата:

ДОВЕРИЯ:

[root @ cmxtry cmxadmin] #  openssl x509 -in cmxtry_com. ca-bundle -text -noout 
Сертификат:
Данные:
Версия: 3 (0x2)
Серийный номер:
2b: 2e: 6e: ea: d9: 75: 36: 6c: 14: 8a: 6e: db: a3: 7c: 8c: 07
Алгоритм подписи: sha384WithRSAEncryption
Эмитент: C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
  Срок действия
Не раньше: 12 февраля 00:00:00 2014 г. по Гринвичу
Не после: 11 февраля 23:59:59 2029 по Гринвичу 
Тема: C = GB, ST = Большой Манчестер, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
Информация об открытом ключе субъекта:
Алгоритм открытого ключа: rsaEncryption
Открытый ключ: (2048 бит)
Модуль:
00: 8e: c2: 02: 19: e1: a0: 59: a4: eb: 38: 35: 8d: 2c: fd:
01: d0: d3: 49: c0: 64: c7: 0b: 62: 05: 45: 16: 3a: a8: a0:
c0: 0c: 02: 7f: 1d: cc: db: c4: a1: 6d: 77: 03: a3: 0f: 86:
f9: e3: 06: 9c: 3e: 0b: 81: 8a: 9b: 49: 1b: ad: 03: be: fa:
4b: db: 8c: 20: ed: d5: ce: 5e: 65: 8e: 3e: 0d: af: 4c: c2:
b0: b7: 45: 5e: 52: 2f: 34: de: 48: 24: 64: b4: 41: ae: 00:
97: f7: be: 67: de: 9e: d0: 7a: a7: 53: 80: 3b: 7c: ad: f5:
96: 55: 6f: 97: 47: 0a: 7c: 85: 8b: 22: 97: 8d: b3: 84: e0:
96: 57: d0: 70: 18: 60: 96: 8f: ee: 2d: 07: 93: 9d: a1: ba:
ca: d1: cd: 7b: e9: c4: 2a: 9a: 28: 21: 91: 4d: 6f: 92: 4f:
25: a5: f2: 7a: 35: dd: 26: dc: 46: a5: d0: ac: 59: 35: 8c:
ff: 4e: 91: 43: 50: 3f: 59: 93: 1e: 6c: 51: 21: ee: 58: 14:
ab: fe: 75: 50: 78: 3e: 4c: b0: 1c: 86: 13: fa: 6b: 98: bc:
e0: 3b: 94: 1e: 85: 52: dc: 03: 93: 24: 18: 6e: cb: 27: 51:
45: e6: 70: de: 25: 43: a4: 0d: e1: 4a: a5: ed: b6: 7e: c8:
cd: 6d: ee: 2e: 1d: 27: 73: 5d: dc: 45: 30: 80: aa: e3: b2:
41: 0b: af: bd: 44: 87: da: b9: e5: 1b: 9d: 7f: ae: e5: 85:
82: a5
Показатель степени: 65537 (0x10001)
Расширения X509v3:
Идентификатор ключа авторизации X509v3:
keyid: BB: AF: 7E: 02: 3D: FA: A6: F1: 3C: 84: 8E: AD: EE: 38: 98: EC: D9: 32: 32: D4

Идентификатор ключа темы X509v3:
90: AF: 6A: 3A: 94: 5A: 0B: D8: 90: EA: 12: 56: 73: DF: 43: B4: 3A: 28: DA: E7
X509v3 Использование ключа: критическое
Цифровая подпись, подпись сертификата, подпись CRL
X509v3 Основные ограничения: критические
CA: ИСТИНА, pathlen: 0
Расширенное использование ключа X509v3:
Проверка подлинности веб-сервера TLS, проверка подлинности веб-клиента TLS
Политики сертификатов X509v3:
Политика: X509v3 Любая политика
Политика: 2. 23.140.1.2.1

Точки распространения CRL X509v3:

Полное имя:
URI: http: //crl.comodoca.com/COMODORSACertificationAuthority.crl

Доступ к информации о полномочиях:
Эмитенты CA - URI: http: //crt.comodoca.com/COMODORSAAddTrustCA.crt
OCSP - URI: http: //ocsp.comodoca.com

Алгоритм подписи: sha384WithRSAEncryption
4e: 2b: 76: 4f: 92: 1c: 62: 36: 89: ba: 77: c1: 27: 05: f4: 1c: d6: 44:
9d: a9: 9a: 3e: aa: d5: 66: 66: 01: 3e: ea: 49: e6: a2: 35: bc: fa: f6:
dd: 95: 8e: 99: 35: 98: 0e: 36: 18: 75: b1: dd: dd: 50: 72: 7c: ae: dc:
77: 88: ce: 0f: f7: 90: 20: ca: a3: 67: 2e: 1f: 56: 7f: 7b: e1: 44: ea:
42: 95: c4: 5d: 0d: 01: 50: 46: 15: f2: 81: 89: 59: 6c: 8a: dd: 8c: f1:
12: a1: 8d: 3a: 42: 8a: 98: f8: 4b: 34: 7b: 27: 3b: 08: b4: 6f: 24: 3b:
72: 9d: 63: 74: 58: 3c: 1a: 6c: 3f: 4f: c7: 11: 9a: c8: a8: f5: b5: 37:
ef: 10: 45: c6: 6c: d9: e0: 5e: 95: 26: b3: eb: ad: a3: b9: ee: 7f: 0c:
9a: 66: 35: 73: 32: 60: 4e: e5: dd: 8a: 61: 2c: 6e: 52: 11: 77: 68: 96:
d3: 18: 75: 51: 15: 00: 1b: 74: 88: dd: e1: c7: 38: 04: 43: 28: e9: 16:
fd: d9: 05: d4: 5d: 47: 27: 60: d6: fb: 38: 3b: 6c: 72: a2: 94: f8: 42:
1a: df: ed: 6f: 06: 8c: 45: c2: 06: 00: aa: e4: e8: dc: d9: b5: e1: 73:
78: ec: f6: 23: dc: d1: dd: 6c: 8e: 1a: 8f: a5: ea: 54: 7c: 96: b7: c3:
fe: 55: 8e: 8d: 49: 5e: fc: 64: bb: cf: 3e: bd: 96: eb: 69: cd: bf: e0:
48: f1: 62: 82: 10: e5: 0c: 46: 57: f2: 33: da: d0: c8: 63: ed: c6: 1f:
94: 05: 96: 4a: 1a: 91: d1: f7: eb: cf: 8f: 52: ae: 0d: 08: d9: 3e: a8:
a0: 51: e9: c1: 87: 74: d5: c9: f7: 74: ab: 2e: 53: fb: bb: 7a: fb: 97:
e2: f8: 1f: 26: 8f: b3: d2: a0: e0: 37: 5b: 28: 3b: 31: e5: 0e: 57: 2d:
5a: b8: ad: 79: ac: 5e: 20: 66: 1a: a5: b9: a6: b5: 39: c1: f5: 98: 43:
ff: ee: f9: a7: a7: fd: ee: ca: 24: 3d: 80: 16: c4: 17: 8f: 8a: c1: 60:
a1: 0c: ae: 5b: 43: 47: 91: 4b: d5: 9a: 17: 5f: f9: d4: 87: c1: c2: 8c:
b7: e7: e2: 0f: 30: 19: 37: 86: ac: e0: dc: 42: 03: e6: 94: a8: 9d: ae:
fd: 0f: 24: 51: 94: ce: 92: 08: d1: fc: 50: f0: 03: 40: 7b: 88: 59: ed:
0e: dd: ac: d2: 77: 82: 34: dc: 06: 95: 02: d8: 90: f9: 2d: ea: 37: d5:
1a: 60: d0: 67: 20: d7: d8: 42: 0b: 45: af: 82: 68: de: dd: 66: 24: 37:
90: 29: 94: 19: 46: 19: 25: b8: 80: d7: cb: d4: 86: 28: 6a: 44: 70: 26:
23: 62: a9: 9f: 86: 6f: bf: ba: 90: 70: d2: 56: 77: 85: 78: ef: ea: 25:
a9: 17: ce: 50: 72: 8c: 00: 3a: aa: e3: db: 63: 34: 9f: f8: 06: 71: 01:
e2: 82: 20: d4: fe: 6f: bd: b1
[root @ cmxtry cmxadmin] #

ОБЩЕСТВЕННЫЙ СЕРТИФИКАТ:

 [root @ cmxtry cmxadmin] # openssl x509 -in cmxtry_com. crt -text -noout
Сертификат:
Данные:
Версия: 3 (0x2)
Серийный номер:
b2: 9b: 75: e9: 4e: 7b: 43: bb: b1: 26: 0c: 04: 50: 61: 14: fc
Алгоритм подписи: sha256WithRSAEncryption
Эмитент: C = GB, ST = Большой Манчестер, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
  Срок действия
Не раньше: 8 августа 00:00:00 2018 по Гринвичу
Не после: 6 ноября 23:59:59 2018 по Гринвичу 
Тема: OU = контроль домена подтвержден, OU = бесплатный SSL, CN = cmxtry.com
Информация об открытом ключе субъекта:
Алгоритм открытого ключа: rsaEncryption
Открытый ключ: (2048 бит)
Модуль:
00: a1: 54: 50: f5: c0: 46: 04: d6: dc: 20: 88: 95: a2: f0:
d7: 53: 0d: 13: 45: 78: eb: 0a: 99: 6b: a3: d6: f1: db: 69:
06: 02: 72: 4f: 35: e9: f2: 98: 44: d3: 74: 9e: 26: fb: b4:
6c: d7: d0: 48: a1: bd: 3d: 5a: aa: 38: 08: a5: 82: c6: 07:
55: 88: 95: 90: 0e: 88: 5f: 19: b1: 25: bd: d1: 0b: 70: e0:
fb: f8: 78: 19: ae: 86: 07: a1: 8d: b8: c3: 35: 3e: ab: 65:
82: 15: 6f: 73: dc: 37: 1a: 45: 93: 09: 6a: 08: ec: 5c: f6:
79: 5e: 10: 02: be: 52: 9b: fa: 53: 68: 61: 38: 13: 91: fd:
31: 54: 09: cd: a6: 14: c6: 82: d3: 86: 35: a4: 3f: 3c: 7a:
97: f4: 84: c2: e2: 2c: 13: 98: 55: 83: 50: 46: 51: fd: 22:
30: 6f: 93: 23: 21: 06: 6c: 30: 68: b9: 71: 6e: ea: e1: 24:
ca: af: 27: 45: 54: 35: e6: 27: 33: 72: 48: ad: a1: ab: db:
3d: c9: cf: 1c: 04: dd: 8b: a7: 61: c9: b1: a0: 38: aa: d4:
1b: d4: a5: 8e: 2e: 7c: d5: c5: 46: 80: 31: 53: 7e: b0: e6:
d5: bd: 85: 7f: b0: e9: 89: 2e: d1: 6f: 28: a5: 3d: 3e: 0d:
9c: b9: 2a: 36: 2e: 13: c1: 56: d4: e9: 75: b1: e4: 48: 3b:
b3: 36: 55: 87: 85: 80: bd: 53: 1b: b6: fb: 0c: 2f: 4f: 01:
a3: 41
Показатель степени: 65537 (0x10001)
Расширения X509v3:
Идентификатор ключа авторизации X509v3:
keyid: 90: AF: 6A: 3A: 94: 5A: 0B: D8: 90: EA: 12: 56: 73: DF: 43: B4: 3A: 28: DA: E7

Идентификатор ключа темы X509v3:
FB: F0: 37: 89: 52: B3: 8A: 0A: 77: 90: 1A: 1B: E8: FA: C6: 10: C4: B5: F2: FB
X509v3 Использование ключа: критическое
Цифровая подпись, шифрование ключа
X509v3 Основные ограничения: критические
CA: FALSE
Расширенное использование ключа X509v3:
Проверка подлинности веб-сервера TLS, проверка подлинности веб-клиента TLS
Политики сертификатов X509v3:
Политика: 1. 3.6.1.4.1.6449.1.2.2.7
CPS: https://secure.comodo.com/CPS
Политика: 2.23.140.1.2.1

Точки распространения CRL X509v3:

Полное имя:
URI: http: //crl.comodoca.com/COMODORSADomainValidationSecureServerCA.crl

Доступ к информации о полномочиях:
Эмитенты ЦС - URI: http://crt.comodoca.com/COMODORSADomainValidationSecureServerCA.crt
OCSP - URI: http: //ocsp.comodoca.com

X509v3 Альтернативное имя субъекта:
DNS: cmxtry.com, DNS: www.cmxtry.com
Предварительный сертификат CT:
Отметка времени подписанного сертификата:
Версия: v1 (0)
Идентификатор журнала: EE: 4B: BD: B7: 75: CE: 60: BA: E1: 42: 69: 1F: AB: E1: 9E: 66:
A3: 0F: 7E: 5F: B0: 72: D8: 83: 00: C4: 7B: 89: 7A: A8: FD: CB
Отметка времени: 8 августа, 12:34: 59.717 2018 GMT
Расширения: нет
Подпись: ecdsa-with-SHA256
30: 44: 02: 20: 75: 4D: 27: A1: CB: 4F: 3F: B7: 3B: 75: 1D: CC:
48: CA: B6: 35: 00: C0: D6: B8: 0F: D6: 14: 86: B4: 1E: 2A: 91:
E7: 2D: 0E: 9E: 02: 20: 11: C1: 75: 2F: 5C: BA: EE: 8F: C2: 36:
FD: 38: 01: ED: 28: 80: E1: 04: 61: 66: E7: 56: ED: 03: 63: 5F:
97: 30: CB: 2A: 6A: 55
Отметка времени подписанного сертификата:
Версия: v1 (0)
Идентификатор журнала: DB: 74: AF: EE: CB: 29: EC: B1: FE: CA: 3E: 71: 6D: 2C: E5: B9:
AA: BB: 36: F7: 84: 71: 83: C7: 5D: 9D: 4F: 37: B6: 1F: BF: 64
Отметка времени: 8 августа 12:34:59. 571 2018 мск
Расширения: нет
Подпись: ecdsa-with-SHA256
30: 45: 02: 20: 43: 52: 32: 8D: BC: 83: 62: C0: 7D: 61: 80: 0F:
B8: 3A: 2A: 63: 86: FE: E8: 1B: 12: C4: B0: 38: B3: F9: EE: E3:
FE: 86: B7: A9: 02: 21: 00: AA: 13: 5C: 2E: 35: 7D: B7: 00: 65:
21: F7: CD: 61: 3F: 2C: 16: 2D: 85: 49: 00: E2: A6: 8F: DD: 0D:
9E: 9F: B4: 1A: 9C: 4B: FB
Алгоритм подписи: sha256WithRSAEncryption
30: a1: 97: ce: 74: 4d: 50: bb: 32: 6a: b2: c9: c0: 5b: 1a: 08: da: e4:
dc: f5: 1d: 79: 72: 55: 6a: dd: 7e: ea: 89: 82: ef: dc: 8b: 62: 8c: 55:
0b: b2: db: 8a: 41: 77: fb: 56: a6: 2a: 28: 77: 23: 5f: c5: 1e: e5: 33:
1f: 70: 96: 0d: 95: 17: 39: 2a: 78: f7: af: a7: ee: b0: bb: 9a: 3b: 7d:
d6: fb: e8: 37: 4c: 39: d0: b8: df: c2: 4f: 96: 38: 9e: b8: 28: af: b5:
2c: aa: e6: 47: 1a: 86: 3a: 44: 78: 76: 64: 30: 39: dc: 4a: 7c: d1: 8b:
6c: 3b: 7e: 9e: 2c: df: 2a: 90: 30: 7f: 3a: fc: 6a: 26: 66: 23: f5: 44:
53: 2d: f5: 91: a9: f8: 61: b0: 61: 35: a1: d2: 23: 5b: 89: 5b: 4a: 46:
быть: 09: 1d: 3d: 0e: 50: 64: 87: 33: 93: a8: 30: a7: 59: c2: a2: 72: 7f:
e4: 49: f2: 5e: c4: a5: 6c: d0: b4: 6b: 35: 77: ef: 50: 47: 5b: 3e: 88:
65: a6: 53: de: 8b: 22: 8c: 5d: 4b: 55: d9: 0e: bb: 53: 08: 98: a4: 2f:
49: ce: 41: bc: 6b: 4f: 6a: e4: 97: 54: 2f: 82: de: ff: 19: f4: 82: fc:
f8: 8e: af: b6: ae: d1: e7: 35: cb: 60: e9: 28: 43: 95: aa: 94: ef: 00:
39: 1d: 16: a0: db: 32: 6c: 20: af: dd: d8: 08: 32: 9a: 4f: 2e: dc: 0c:
a9: cd: 6e: 13
[root @ cmxtry cmxadmin] # 

Установить сертификаты на CMX

CMX требует сертификат в следующем формате:

+++ ЧАСТНЫЙ КЛЮЧ +++

+++ ОБЩЕСТВЕННЫЙ СЕРТИФИКАТ +++

+++ СЕРТИФИКАТ ДОВЕРИЯ +++

Закрытый ключ — your_domain_name. ключ

Основной сертификат — your_domain_name.crt

Промежуточный сертификат — granter-certificate.crt

Корневой сертификат — TrustedRoot.crt

В основном мы имеем следующую ситуацию:

 cmxtry.com.key содержит закрытый ключ

cmxtry_com.crt содержит первичный сертификат

cmxtry_com.ca-bundle - Промежуточный сертификат и корневой сертификат 

Все они должны быть соединены вместе для образования.Сертификат PEM:

 [root @ cmxtry cmxadmin] # cat cmxtry.com.key cmxtry_com.crt cmxtry_com.ca-bundle> cmxtry_com.pem 

Следующим шагом будет смена владельца сертификата:

 [корень @ cmxtry cmxadmin] #chown cmx: cmx /opt/haproxy/ssl/cmxtry_com.pem
[корень @ cmxtry cmxadmin] #chmod 744 /opt/haproxy/ssl/cmxtry_com.pem 

Когда это будет сделано, вы можете переименовать сертификат в host.pem (учитывая, что резервное копирование сертификата было выполнено заранее) :

 [root @ cmxtry cmxadmin] #mv.