Страница 1 из 1
nginx и startssl.com
Добавлено: 2017-04-09 16:49:07
bagas
Всем привет.
Кто нибудь пробовал использовать на nginx бесплатный сертификат (StartSSL™ Бесплатно) от
http://www.startssl.com ?
Я задолбался уже все варианты перебрал. не с одним не работает.
получил два файла от них.
ключ приватный у меня.
делай так
bagas@fryaha.ru.crt Intermediate.crt > /usr/local/etc/nginx/ssl/
www.fryaha.ru.crt
Пробовал в конец добавлять и корневой сертификат, не с одним вариантом не работает.
Код: Выделить всё
ssl on;
ssl_certificate /usr/local/etc/nginx/ssl/www.fryaha.ru.crt;
ssl_certificate_key /usr/local/etc/nginx/ssl/www.fryaha.ru.key;
Код: Выделить всё
# nginx -t
nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful
Вот думаю херня это все, проще купить за 700р сертификат и запустить его, чем куча нервов потратить.
nginx и startssl.com
Добавлено: 2017-04-10 13:46:00
xM
А что именно у вас не работает и как это проявляется?
Также см. мануал от StartSSL
https://www.startssl.com/Support?v=42
nginx и startssl.com
Добавлено: 2017-04-13 8:34:08
kharkov_max
Нужен ли бесплатный сертификат на 90 дней? Потом опять гимороится и переполучать... На сколько я нагуглил не давно совсем бесплатных сертификатов уже ни кто не выдает. Было как то пару китайских сайтов что выдавали, но там нашли косяк и бесплатные сертификаты прикрыли, я в свое время еще успел получить сертификат на 3 года, вроде даже до сих пор работает... Может я конечно плохо искал, но если кто подскажет кто выдоет бесплатный сертификат хотя бы на год, а лучше на 3 года, буду премного благодарен...
nginx и startssl.com
Добавлено: 2017-04-13 12:53:02
xM
kharkov_max писал(а): Нужен ли бесплатный сертификат на 90 дней?
В случае, если процесс его обновления и подключения автоматизирован (а с Let's Encrypt это делается совершенно свободно), то я не вижу не только проблемы, а даже и наоборот - преимущество в виде повышения уровня безопасности.
Отправлено спустя 11 минут 20 секунд:
Касаемо StartSSL (напомню, это "дочка" китайского WoSign) то это, вообще, хреновый выбор. Их корневые сертификаты ввиду вскрытых нарушений были удалены из списка доверенных всеми популярными браузерами. См., например,
https://geektimes.ru/post/281188/
nginx и startssl.com
Добавлено: 2017-04-13 15:04:08
bagas
Биру от комодо. 1000 рублей на два года.
nginx и startssl.com
Добавлено: 2017-04-13 15:15:10
xM
bagas писал(а): Биру от комодо. 1000 рублей на два года.
А я беру у Let's Encrypt. Навсегда. Бесплатно. Плюс как бонус автоматическое продление и установка. Для всех доменов.
nginx и startssl.com
Добавлено: 2017-05-05 7:01:20
Alex Keda
Да, со стартссл подстава.
Самому пришлось срочно менять на Комодо, штоле
Лет'з энкрипт - конечно интересно, но не на продакшен. Если по какой-то причине не перевыпустится - будет писдетц
nginx и startssl.com
Добавлено: 2017-05-05 20:46:13
xM
Alex Keda писал(а): Если по какой-то причине не перевыпустится - будет писдетц
Ну это да. Однако за год не было прецедентов на куче сертификатов.
nginx и startssl.com
Добавлено: 2017-05-05 21:01:52
kharkov_max
Случится как всегда, отвалится куча сертификатов и начнется жопа...
nginx и startssl.com
Добавлено: 2017-05-05 21:17:25
xM
За 90 дней вы же успеете почесаться, правда.
По мне так риск забыть вручную обновить сертификат через год и, тем более, три, выше на два порядка.
nginx и startssl.com
Добавлено: 2017-05-05 21:27:34
Alex Keda
т.е. за 90 дней почесаться успеешь, а за три года - нет?
)
nginx и startssl.com
Добавлено: 2017-05-05 21:27:34
Alex Keda
т.е. за 90 дней почесаться успеешь, а за три года - нет?
)
nginx и startssl.com
Добавлено: 2017-05-05 22:36:24
f_andrey
Alex Keda писал(а):т.е. за 90 дней почесаться успеешь, а за три года - нет?
)
Тут как бы и прелесть, что оно просто обязано быть автоматизированным и чесаться тупо не надо, а пока лень автоматизировать, то да постоянные проёбы наше всё
nginx и startssl.com
Добавлено: 2017-05-05 22:46:42
xM
f_andrey писал(а): а пока лень автоматизировать, то да постоянные проёбы наше всё
Золотые слова. И все мы тут, как видно, имеем опыт
Отправлено спустя 2 минуты 26 секунд:
Alex Keda писал(а): т.е. за 90 дней почесаться успеешь, а за три года - нет? )
Неправильная логика, дядя Фёдор. За три года точно забудешь, а за три месяца есть хороший шанс что не успеешь.
Но это всё пустое. Автоматизация есть и работает. Настроил и забыл. Ну для контроля ничто не мешает чтоб cron письмецо отправил контрольное при обновлении. Всяк почту смотришь регулярно.
nginx и startssl.com
Добавлено: 2017-05-06 0:44:34
f_andrey
xM писал(а): Золотые слова. И все мы тут, как видно, имеем опыт
Прям таки практически в процессе
))
xM писал(а): Автоматизация есть и работает. Настроил и забыл.
Кстати, вот насчёт есть и работает, не всё так просто, с одной стороны велосепедов куча и вроде как рабочих хватает и на вскус и цвет, но вот как то бестпрактикс, которые не стыдно вот взять и пременить или реализовать, как то не очень.
Вот сейчас как раз думаю, что просто доверять что выписался и ладно, как то стрёмновато, надо бы проверять перед заливкой. Да и старые отзывать не забывать.
nginx и startssl.com
Добавлено: 2017-05-06 13:38:36
xM
f_andrey писал(а): но вот как то бестпрактикс, которые не стыдно вот взять и пременить или реализовать, как то не очень.
Да нате! Мне не жалко.
https://kostikov.co/tag/letsencrypt
Читать с конца.
nginx и startssl.com
Добавлено: 2017-05-06 13:46:18
f_andrey
Не... это детский сад, ты не достаточно низко пал
У нас вона даже
https://github.com/schors/perkele завелось, но сейчас может уже и не надо, там говорят в ансибл вкрутили вроде что то достаточное, но правда руками всё никак не пощупаю.
nginx и startssl.com
Добавлено: 2017-05-06 13:51:05
xM
f_andrey писал(а): ты не достаточно низко пал
Гыгы.
Ну у меня к штатному certbot претензий ноль. Особенно после внедрения возможности использовать свой CSR.