Четвёртый бесплатный УЦ как альтернатива Let's Encrypt
Как известно, Let’s Encrypt — не единственный удостоверяющий центр, который автоматически выдаёт бесплатные сертификаты TLS по протоколу ACME. Кроме него, это делают норвежский Buypass (услуга BuyPass Go SSL) и австрийский ZeroSSL. До сих пор они оставались единственными резервными вариантами. Но теперь в команде бесплатных УЦ появился четвёртый игрок: SSL.com.
Вообще, сейчас всё больше УЦ начинают выдавать краткосрочные сертификаты и автоматизировать работу по протоколу ACME. В любом случае, полезно иметь запасной вариант на случай сбоя Let’s Encrypt. Вдруг их новые серверы не выдержат нагрузки.
Для начала нужно пояснить, что основой для работы Let’s Encrypt является протокол ACME (Automated Certificate Management Environment). Это открытый протокол для автоматизации взаимодействия с УЦ. В нём нет ничего специфичного для Let’s Encrypt, его поддерживает несколько других УЦ.
Это означает, что практически все наши инструменты, скрипты и процессы для получения сертификатов из Let’s Encrypt будут отлично работать и с другими центрами, которые поддерживают ACME.
Кроме стандартного клиента Certbot, есть и множество других клиентов ACME.
Чтобы перестроиться на другой УЦ, достаточно просто изменить адрес API в настроенных скриптах с https://acme-v02.api.letsencrypt.org/directory
(Let’s Encrypt) на https://api.buypass.com/acme/directory
(BuyPass) или какой-нибудь другой.
После регистрации аккаунта нужно зайти на эту страницу и скопировать учётные данные для доступа к API: Account/ACME Key, Secret Key, HMAC Key.
Затем настроить клиент ACME на работу с API от SSL.com: зарегистрировать аккаунт RSA, аккаунт ECC — и сгенерировать сертификат.
Subject: CN=... Issuer: CN=SSL.com SSL Intermediate CA ECC R2,O=SSL Corp,L=Houston,ST=Texas,C=US -----BEGIN CERTIFICATE----- ... Ly93d3cuc3NsLmNvbS9yZXBvc2l0b3J5MB0GA1UdJQQWMBQGCCsGAQUFBwMCBggr BgEFBQcDATBEBgNVHR8EPTA7MDmgN6A1hjNodHRwOi8vY3Jscy5zc2wuY29tL1NT TGNvbS1TdWJDQS1TU0wtRUNDLTM4NC1SMi5jcmwwHQYDVR0OBBYEFIt0k8bwGO+1 n034I0dkoRWqsSZpMA4GA1UdDwEB/wQEAwIHgDCCAXwGCisGAQQB1nkCBAIEggFs BIIBaAFmAHYA9lyUL9F3MCIUVBgIMJRWjuNNExkzv98MLyALzE7xZOMAAAF7Xbea SwAABAMARzBFAiEAiyE1SNTQwTmRvVykP/UwEhWEQaB+OK8YgAvdB35D0noCIA2E +b8= ... -----END CERTIFICATE-----
Процесс занимает считанные минуты.
На своём сервере можно настроить выдачу сертификатов по очереди или в случайном порядке от четырёх бесплатных УЦ.