Создание сертификата «Let’s Encrypt» на Windows

Криптографические сертификаты служат цифровым аналогом удостоверения сайта, что позволяет шифровать подключения с использованием протокола TLS и тем самым обеспечивать безопасное соединение между сервером и клиентом.

Существуют как платные, так и бесплатные центры сертификации. Одним из бесплатных центров является Let’s Encrypt, который выдаёт сертификаты сроком на 90 дней с возможностью продления в автоматическом режиме.

Шаг 1: Подготовка

Для создания TLS сертификата на Windows скачайте программу ACME Simple (WACS). Далее следуйте инструкции:

1. Распакуйте скачанный архив в папку C:\wacs\.
2. В этой же папке создайте каталог crt.
   
3. В брандмауэре Windows откройте Дополнительные параметры → Правила для входящих подключений → Создать правило → Для порта, в поле Определённые локальные порты  впишите через запятую порты 80 и 443 и нажмите Далее. Затем выберите пункт Разрешить подключение, снова нажмите Далее, укажите для каких профилей будет применяться правило (по умолчанию для всех) и после нажатия кнопки Далее сохраните правило под любым именем.

Шаг 2: Создание сертификата

Откройте командную строку (cmd) от имени администратора и запустите утилиту:

Далее поочерёдно выполните следующие команды, вводя в терминале буквы или цифры, соответствующие нужным пунктам. Например, для выполнения команды Create certificate (full options) надо будет ввести m и нажать Enter (на версии 2.2):

1. Начните создавать сертификат с ручным указанием параметров, для чего выберите:
   • Create new certificate (full options);
   • Manual input.
     
2. Укажите ваше доменное имя и два раза нажмите Enter для подтверждения.
   
3. При желании вы можете создать отдельные сертификаты для поддоменов или хостов. В нашем примере выберем Single certificate.
   
4. Затем последовательно выберите:
   • [http] Serve verification files from memory;
   • RSA key;
   • PEM encoded files (Apache, nginx, etc.).
     
5. Укажите папку для сохранения сертификатов C:\wacs\crt.
6. Вам будет предложено установить пароль для приватного ключа. Выберите None;
   
7. После этого выберите:
   • No (additional) store steps;
   • No (additional) installation steps.
     
8. Укажите адрес электронной почты для уведомлений об ошибках.
9. На дополнительные вопросы отвечайте следующим образом:
   • на вопрос Open in default application? введите no;
   • на вопрос Do you agree with terms? введите yes.

После этого при удачном создании сертификата вы увидите надпись Authorization result: valid. На вопрос Do you want to specify the user the task will run as? введите no.

Если для указанного доменного имени ранее уже генерировался сертификат, вы увидите соответствующее сообщение в строке Existing renewal с указанием даты окончания действия. Вы можете создать его заново, указав yes в ответ на вопрос Overwrite settings?.

В папке C:\wacs\crt сгенерируются 3 файла:

• имя_домена-crt.pem — сам сертификат;
• имя_домена-key.key — файл ключа;
• имя_домена-chain.pem — цепочка доверия, включает корневой и промежуточный сертификаты Let’s Encrypt.

Теперь вы можете использовать их в TrueConf Server, как показано в нашей статье.