Blog Tomáše Zelenky

tz

Nadšence do informačních a komunikačních technologií

Začínajícího C# programátora

secure

Jak vytvořit zdarma SSL certifikát

10.04.2016 | Kategorie: Bezpečnost

Ukážeme si, jak vytvořit zdarma certifikát SSL Start od certifikační autority StartCom.

Jedná se o certifikát s validací Class 1, což znamená, že certifikát byl ověřen automaticky na základě emailové adresy k doméně.

Certifikát ochrání hesla, platební karty a další citlivá data, která by jinak na cestě mohly být odposlechnuty.

Tento certifikát Vám nezobrazí plně zelený adresní řádek s názvem společnosti, který můžeme vidět především na stránkách bank a větších eshopů. Ve všech ohledech se ale jedná o lepší řešení než self-signed certifikát.

V prvním kroku vytvoříme osobní certifikát, který nás bude opravňovat k přihlášení na stránkách startssl.com. Následně ověříme doménu, provedeme export certifikátu, implementaci a ukážeme si, jak odstranit možnou chybovou hlášku.

Uvedený postup předpokládá použití systému Windows. 

Vytvoření účtu

Vytvoříme účet na stránkách startssl.com. Na zvolený email při registraci přijde zpráva s ověřovacím kódem. Podívejte se do spamu, možná tam bude. 

Po úspěšné registraci nainstalujeme osobní certifikát. Tento certifikát bude vyžadován pro každé přihlášení do účtu.

login

Ověření domény

Po přihlášení vybereme záložku Validations Wizard > Domain Validation (for SSL certificate) > Zadáme název domény.

Tady může nastat první zádrhel, pokud již nevyužíváte zobrazenou emailovou adresu k doméně. Řešením je vytvořit emailový alias nebo zřídit doménový koš.

Po zadání kódu z emailové adresy dojde k ověření domény. Ověření má platnost 30 dní.

authenticated

Export certifikátu

Následující postup je nutné provést v prohlížeči Internet Explorer.  

Pro vygenerování SSL certifikátu zvolíme záložku Certificates Wizard > Web Server SSL/TLS Certificate > Zde vyplníme název domény a volitelně 4 subdomény.

Dalším krokem zvolíme v dolní části Generated by IE Browser. Budeme vyzváni k potvrzení operace s digitálním certifikátem > Vybereme Ano.

V posledním kroku přejdeme v Internet Exploreru do nastavení > Možnosti Internetu > Obsah > Certifikáty > Vybereme certifikát s názvem domény > Exportovat s privátním klíčem > Dostaneme certifikát ve formátu .pfx.

Certifikát má platnost jeden rok. Poté je nutné provést stejný proces pro získání nového.

certificate

Implementace

Pokud využíváme webhostingu, je nutné požádat poskytovatele, aby certifikát na server nahrál. Poskytovateli se předá certifikát s informací o zvoleném heslu k privátnímu klíči.

V případě, že máme vlastní server, doporučuji následující návody zde.

Po nasazení je potřeba změnit požadované stránky na https.

Chybová hláška

Pokud používáte ASP.NET a komponentu login, může se objevit chybová hláška:

The remote certificate is invalid according to the validation procedure.

error

Odstranění chybové hlášky bylo řešeno na StackOverflow a spočívá v úpravě události Page_Load:

    protected void Page_Load(object sender, EventArgs e)
    {
        ServicePointManager.ServerCertificateValidationCallback = delegate (object s, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
        { return true; };
    }

Závěr

Zabezpečení webu není radno podceňovat, a i bez finanční investice můžete získat bezpečný web.

Pokud chcete v očích návštěvníků vzbudit maximální důvěru, podívejte se po certifikátech EV SSL, což bude vyžadovat investici v řádech tisiců.

Úvodní foto CC BY SA: Perspecsys Photos

Další příspěvky: