Что такое корневой сертификат

Что такое корневой сертификат SSL и зачем он нужен?

Корневой сертификат SSL – одна из частей схемы PKI (инфраструктуры публичных ключей), которая идентифицирует корневой центр сертификации. Важность SSL сертификации и преимущества защищенного https соединения оценили многие пользователи. Использование SSL гарантирует:

  • шифрованную передачу данных между сервером и клиентом;
  • подлинность сайта, с которым происходит обмен информацией (защита от фишинга).

Но возникает вопрос: откуда берутся цифровые сертификаты безопасности и кто отвечает за их надежность? Есть несколько основных доверенных центров сертификации, которые выдают сертификаты SSL и Code Signing. Они проверяют, действительно ли клиент, запросивший SSL имеет доступ к домену или является представителем запрашивающей организации. Кроме того, именно центры сертификации несут ответственность за конфиденциальность передаваемой информации. Массовое применение сертификатов SSL привело к большому количеству сертификационных центров, каждый из которых подписывает предоставляемые решения своим именем. Чтобы браузер пользователя мог отличать поставщиков SSL друг от друга, а также определить их надежность, в нем применяется список доверенных центров сертификации.

Cтруктура SSL сертификатов

Для чего нужен корневой сертификат SSL?

Корневой сертификат SSL передает данные о владельце и издателе основного SSL сертификата в браузер клиента. Если посетитель перейдет на сайт, https соединение которого обеспечивается недоверительным поставщиком и его корневой сертификат отсутствует или не распознается браузером пользователя, то, как следствие, будет выдано подобное предупреждение:

Читать еще:  С чего начать изучение компьютера

Что же касается таких доверительных центров сертификации, как Comodo, Symantec, Thawte, GeoTrust и GlobalSign, то данные об их корневых сертификатах в обязательном порядке добавляются во все современные браузеры. Их список в настройках обозревателя выглядит следующим образом:

Но для правильного распознавания SSL для Вашего личного доменного имени, необходимо создать так называемую цепочку доверия (trust chain) из доменного, промежуточного и корневого сертификатов SSL. Для этого необходимо установить корневой, а также промежуточный сертификаты на своем сервере. Процесс установки производится по разному, в зависимости от Вашего программного обеспечения. Для наиболее известного ПО на нашем сайте можно найти инструкции по установке SSL. Заметьте, что в отдельных случаях для правильного распознавания необходимо создать ca-bundle – файл, в котором содержится информация корневого и промежуточного сертификатов.

Что такое корневой сертификат (СА)?

Корневой сертификат (СА) — часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом легальны.

Центры сертификации с двадцатилетней историей: GlobalSign, Comodo, Symantec, TrustWave, GeoTrust. Они используют «именные» корневые сертификаты, которые распознаются большинством современных браузеров.

Это значит: если на сайт установлен корневой сертификат GlobalSign, браузер идентифицирует его как выпущенный доверенным «поручителем» и приступает к частной проверке сайта.

Если информация о корневом сертификате центра отсутствует в браузере, у сайта нет «поручителя» и браузер считает его недостоверным. Так иногда происходит с самоподписанными сертификатами безопасности (например, Let’s Encrypt):

Однако одного корневого сертификата недостаточно. Чтобы конкретный домен считался защищенным, помимо корневого сертификата необходимы промежуточный сертификат и индивидуальный сертификат домена, которые также выдаются центром сертификации при выпуске SSL. Достоверность промежуточных и «индивидуальных» сертификатов подтверждается корневым сертификатом. Цепочка сертификатов, установленных на сайт, дает основание считать его «защищенным SSL-сертификатом» в сети Интернет.

Читать еще:  Как включить miracast android

Где взять корневой сертификат?

Корневые сертификаты выдают сертификационные центры. REG.RU сотрудничает с шестью сертификационными центрами. Выберите SSL-сертификат, который подходит для ваших целей, и закажите его со страницы.

Также вы можете воспользоваться специальным предложением REG.RU и получить бесплатный SSL-сертификат на 1 год при заказе домена или хостинга. Читайте об этом в статье: Как заказать бесплатный SSL-сертификат?

После заказа SSL и его активации на указанную контактную почту придет письмо с необходимыми данными для установки сертификата на сайт (в частности, корневой сертификат). Подробнее о содержимом письма в статье Где взять данные для установки SSL-сертификата.

Могу ли я создать корневой сертификат самостоятельно?

Чтобы создать корневой сертификат самому, нужно получить статус сертификационного центра. Эта процедура связана со значительными финансовыми затратами, поэтому в большинстве случаев мы рекомендуем обращаться к существующим центрам сертификации.

Как установить корневой сертификат на свой сайт?

Для установки корневого сертификата воспользуйтесь соответствующим справочным разделом.

Как установить корневой сертификат удостоверяющего центра

Корневой сертификат — файл, которой содержит в себе информацию об удостоверяющем центре. Эта информация содержится в зашифрованном виде и используется криптопровайдерами для проверки подлинности личных сертификатов пользователя. Многие пользователи имеют электронные цифровые подписи, но даже не догадываются, как установить корневой сертификат удостоверяющего центра и где его взять.

Где взять корневой сертификат

Корневые сертификаты удостоверяющего центра выдаются организацией, которая изготавливает электронно-цифровые подписи (ЭЦП). Обычно они идут в комплекте с личными электронными подписями пользователя на usb-носителе или cd/dvd диске. Так же некоторые удостоверяющие центры предлагают скачать корневые сертификаты с их официальных сайтов.

Пример корневых сертификатов:

  • Единая государственная информационная система социального обеспечения (ЕГИССО) — Скачать
  • Удостоверяющий Центр ПНК — скачать
  • Федеральное Казначейство и Минкомсвязь — скачать
Читать еще:  Как зайти в личный кабинет налоговой

Как установить корневой сертификат удостоверяющего центра.

  1. Если скачанный корневой сертификат находится в заархивированном виде, то первым делом его нужно извлечь. Для этого открываем архив любым архиватором, например 7zip . Нажимаем кнопку «извлечь», выбираем папку для разархивации и жмём «ОК».
  2. Открываем извлеченный файл и жмём кнопку «Установить сертификат». Выбираем между «Текущий пользователь» и «Локальный компьютер». Если за компьютером обычно работает один пользователь и имеет одну учетную запись Windows, то смело выбираем «Текущий пользователь». Если на компьютере несколько учетных записей, то для того чтобы корневой сертификат установился для всех выбираем «Локальный компьютер».
  3. В следующем окне Мастер импорта сертификатов спросит, в какое хранилище сертификатов установить Ваш сертификат. Жмем кнопку «Обзор» и выбираем «Доверенные корневые центры сертификации». Т.к. данный сертификат устанавливается на компьютер в первый раз, система безопасности Windows сообщит о том, что ей не удается проверить действительность сертификата. Жмём кнопку «Да» и получаем окошко, в котором сообщается о том, что Импорт выполнен успешно.

Заключение

На этом установка корневого сертификата закончена. Для проверки можно ещё раз открыть только что установленный корневой сертификат или личный сертификат пользователя. Во вкладке «путь сертификации» не должно быть никаких красных крестиков или желтых восклицательных знаков.
Если Вы всё сделали правильно, то в поле «состояние сертификата» должно быть значение: «Этот сертификат действителен».

Источники:

http://www.emaro-ssl.ru/blog/root-certificate/

http://www.reg.ru/support/ssl-sertifikaty/obshtaya-informatsiya-po-ssl-sertifikatam/chto-takoye-kornevoy-sertifikat-sa

Как установить корневой сертификат удостоверяющего центра

Ссылка на основную публикацию
Статьи на тему:

Adblock
detector