Зарубежные корневые центры сертификации (root CA) продолжают отзывать серверные сертификаты российских компаний, но есть способ не попасть под раздачу отзыв.
Отечественный SSL сертификат для сайта можно бесплатно получить на портале ЕПГУ, заполнив несколько полей и выполнив несложное задание - добавить в DNS поле TEXT или положить файл к остальным файлам вашего сайта. Этот процесс наглядный, но не слишком быстрый и неудобный, особенно если сайтов у вас несколько или вы не уверены (например, как я), что через 89 дней вспомните, что сертификат на сервере пора обновить. Да, сертификат для сайта (DV-сертификат) выдаётся на 90 дней.
К счастью, специалисты НУЦ выпустили программу и инструкцию, как автоматизировать действия с сертификатом.
Мой сайт статичный, использует nginx и работает на Ubuntu Linux (так дешевле хостинг).
Действовал я по инструкции от НУЦ и теперь сертификат для моего сайта будет обновляться автоматически. Для выпуска, обновления, отзыва сертификата используется модифицированная версия acme.sh v.3.1.2
Использование программы оказалось для меня удобнее и быстрее, чем заполнение полей на ЕПГУ, а главное, не нужно помнить про периодическое обновление сертификата, так как программа ещё настроила и автообновление сертификата.
Итак, что делал:
-
Получил корневой сертификат НУЦ
С портала ЕПГУ из раздела "Сертификаты для Linux" cкачал архив с корневыми сертификатами НУЦ
На портале сертификаты НУЦ почему-то называются сертификатами Минцифры, хотя в самих сертификатах о Минцифры ни слова. И почему-то нет инструкции для Ubuntu, а только для RedHat, который ушёл из России.
Так как автоматизация НУЦ выпускает DV-сертификаты безопасности с применением международных криптографических алгоритмов (читай RSA), из архива нам понадобится корневой сертификат с названием russian_trusted_root_ca_pem.crt , который надо скопировать на сервер в Вашу домашнюю папку.
2. Добавил сертификат НУЦ в Linux
Скопировал сертификат НУЦ, куда положено sudo cp ~/russian_trusted_root_ca_pem.crt /usr/local/share/ca-certificates/ и добавил его в список доверенных сертификатов sudo update-ca-certificates
3. Установил acme.sh
Скопировал и распаковал архив с программой , для этого пришлось установить разархиватор sudo apt install unrar-free, и лишь затем распаковать архив пограммы unrar -x acme_client_fix.rar
Создал папку mkdir ~/.acme.sh, так как сама программа почему-то не смогла, установил acme.sh командойbash ./acme.sh --install -m myemail@example.ru и перезашёл в терминал.
4. Настроил программу на НУЦ acme.sh --set-default-ca --server https://nuc-acme.voskhod.ru/acme/api/v1/directory и зарегистрировался в НУЦ acme.sh --register-account --email myemail@example.ru --accountkeylength 2048
myemail@example.ru в приведённых примерах поменял на свой, хотя на почту мне ничего и не приходило.
5. Выпустил ключ и сертификат НУЦ.
У меня сервер был без сертификата, так что, как просила инструкция, порт 80 был открыт, но можно использовать и встроенный в программу сервер. Поменял в команде sudo acme.sh --issue --domain mydomain.ru --webroot /var/www/html --keylength 2048 --force --always-force-new-domain-key имя домена mydomain.ru на свой и указал путь к файлам сайта /var/www/html/mydomain.ru.
Есть другой способ, подтвердить владение сервером через DNS, но тогда придётся немного подождать, когда DNS запись обновится, но я им от нетерпения не воспользовался.
6. Добавил получившиеся файлы mydomain.ru.cer и mydonain,ru.key в nginx
vi /etc/nginx/sites-available/mydomain.ru.conf
server { listen 80; listen 443 ssl; client_max_body_size 200M; server_name mydomain.ru www.mydomain.ru; ssl_certificate /home/www-user/.acme.sh/mydomain.ru/mydomain.ru.cer; ssl_certificate_key /home/www-user/.acme.sh/mydomain.ru/mydomain.ru.key; root /var/www/html/mydomain.ru; index index.html; }
и перезагрузил веб-серверsystemctl reload nginx
7. Настроил автоматическое обновление сертификата и ключа каждые три недели acme.sh --install-cronjob
8. У программы acme.sh ещё много разных параметров acme.sh --help
Спасибо шести сотням разработчиков acme.sh и сотрудникам НУЦ за сертификаты.
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров.
Комментарии (35)
Skipy
29.06.2026 09:26Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
Удачи...
tellvil
29.06.2026 09:26Не понимаю, почему винда в РФ еще осталась, как явление. Легально не купить, раньше пираткой массово пользовались, тк была реально удобной, а теперь нативной рекламы нет (пока еще) разве что в контекстных меню. На интересы пользователя винда плевать хотела не меньше всяких максов...
yahooyaks
29.06.2026 09:26От этого винда только лучше. И пусть держится от моих пользовательский интересов подальше, а делает только то, что приказано.
theult
29.06.2026 09:26Винда остаётся относительно удобной, с хорошей поддержкой железа и периферии, понятная в переходе на новые версии. на пользователей и их мнение мелкософт всегда клал болт и это не выбивало его из самых дорогих компаний мира.
На тему легально не купить - хз, можно купить для другого региона и сменить регион, язык. Ну да, нет официального магазина, но мне ехать, а не шашечки. Для обывателя Линукс сложнее и менее универсален, а покупать(!) "российский" Линукс - это боль бюджетников, простой юзер себе лучше видеокарточку обновит или проц посвежее поставит.
tellvil
29.06.2026 09:26Не сказал бы, что винда понятнее при выходе новых версий- по аналогии с автомобилями, это бы выглядело, как поменять местами педаль газа и рычаг включения поворотников частенько. Но и не в этом основная суть претензии к винде, а в том, что потребляет чрезмерные ресурсы, не подчиняется пользователю беспрекословно и содержит в себе все больш еназойливой нативной рекламы. О русском линуксе даже и мысли не возникает, а вот дружелюбных дистрибутивов сейчас огромный выбор. Проблемы с драйверами к популярному железу остались в бсд-подобных системах и других редкостях на десктопе, но уж никак не для линукса. Не буду отрицать, что с точки зрения админов в линуксе тоже случаются непривычные перемены, но для пользователя, особенно не особо мощного компа, поведение и вид xfce практически не меняется. Да и кде тоже, в случае, если возможности компа позволяют его поставить. По поводу же легальности покупки- если винду нельзя закупать официально, то и обучать продуктам на винде законно не выйдет, и работодатели соответственно не смогут новые компы с виндой массово закупать, соответственно школьникам и студентам винда уже не нужна. Окончательно слезть лет 10 потребуется. Ну или представить себе чудо, что майкрософт повернется лицом к людям и уберет то, что бесит людей. В последнем очень сомневаюсь.
yahooyaks
29.06.2026 09:26Open Shell и Windows Firewall Control творят чудеса - винда ходит строем. Хотите поскуднее набор - пользуйтесь LTSC.
tellvil
29.06.2026 09:26Не у домашних же пользователей она строем ходит. Пока в основном бесит людей обновлениями и рекламой нативной. Да и настройки частенько слетают при обновлениях. Не разваливается, как 20+ лет назад, это конечно, плюс, но теперь прямо целенаправленно бесят.
igrblkv
29.06.2026 09:26Если там штатно весь цирк с конями не запихали - это не значит, что набор поскуднее. Всё не нужное можно и доставить парой команд.
Зато работает даже на 1155, но только с SSD под систему.
Tor-Dur-Bar
29.06.2026 09:26Альтернативы Windows могут быть хоть в 100 раз лучше, но “мы так привыкли, нам так удобнее”. Массовый переход могу представить по 2 сценариям:
В РФ начинают наказывать за использование Windows, независимо от того, лицензионная копия или нет.
Microsoft применяет удалённый kill switch.
tellvil
29.06.2026 09:26Так поколения пользователей постепенно меняются, меняются и запросы работодателей. Мало кто из людей станет заморачиваться с виндой, когда на учебе, потом на работе привыкнут к другой ос. А винда начинает бесить и тех, кто к ней привык. Вот я, например, не привыкал изначально к рекламе в меню пуск, к меняющимся не по моей воле обоям тоже не привыкал. Это резко отталкивает многих.
theult
29.06.2026 09:26То что меня в Винде всегда бесило я сразу убивал. Вот вообще не задумываясь. Особенно всякую ересь, которая потребляет ресурсы мимо кассы, типа рекламы, анимированные темы, виджеты, новости, избыточная телеметрия. Сейчас в Андроиде такая же история пошла, родные приложения идут под снос (либо выключаются) и заменяются другими, мое мнение - охренели мне в моем телефоне рекламу показывать при открытии галереи.
tellvil
29.06.2026 09:26Кстати, законных оснований признать винду вредоносным софтом хоть отбавляй. И это отнюдь не политические натянутые основания. Почему этого не сделали раньше- понимаю, а сейчас- хороший вопрос.
Heggi
29.06.2026 09:26А что там такого в acme.sh изменили? Почему стандартной версией или вообще certbot нельзя пользоваться?
AlexAiZzz
29.06.2026 09:26Вано, погоди. Если сертификата в операционках по умолчанию нет, то ведь теряется весь смысл, особенно для статичных хомячковых сайтов. Он же все равно у подавляющего большинства будет показываться как недоверенный, т.е. что есть, что нет. А в появление его в ОСах я бы не ждал на фоне процесса отзыва забугорными конторами. Ну и в догонку, если ты там в доке копался, НУЦ wildcard сертификаты поддерживает?
isinelobov Автор
29.06.2026 09:26Приняли 210-ФЗ, там есть и про НУЦ, так что его наличие в операционках - дело времени.
Не думаю, что Microsoft его добавит в Trusted Root, а вот установщик Диадок сможет.
isinelobov Автор
29.06.2026 09:26acme.sh делает только DV-сертификаты, на портале НУЦ выпускает и OV-сертификаты.
AlexAiZzz
29.06.2026 09:26Ну и я бы проверил как он обновляется на самом деле. Поставь своему сервису вместо трех недель день-три (если у них есть ограничение на частоту обновления). Я когда год тому назад разбирался с Let's Encrypt например с первой попытки в чем-то элементарном накосячил.
gevals
29.06.2026 09:26Интересно, сайт такой во всех браузерах в РФ будет открываться с зеленым замочком? В противном случае это те еще грабли.
AlexAiZzz
29.06.2026 09:26С чего бы? Для этого в системе должен быть уже корневой сертификат, той цепочки сертификатов авторизующих центров, которые участвуют в подписи выпущенного. Об этом и была хотелка в статье:
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
gevals
29.06.2026 09:26Долго ждать придётся:( так значит и остается let's encrypt..
AlexAiZzz
29.06.2026 09:26Я уверен, что проблемы с отзывом сертификатов исчезнут до того момента как сертификат НУЦ появится в ОСах по умолчанию. Хотяяяя..., кто-то же пользуется яндекс.браузером, у них наверное уже сейчас показывается как доверенный. Собсвенно можешь проверить и зайти на сам сайт Национальный удостоверяющий центр, у меня театр уже с вешалки показывает что "Not secure" красным.
webhamster
29.06.2026 09:26Написано так, как будто все в России знают что такое НУЦ, ЕПГУ и DV.
И самое главное: с каких пор сертификат от НУЦ признается международным и доверенным?
isinelobov Автор
29.06.2026 09:26Так как сертификат с криптографией стандарт RSA используется во многих странах, то да, сертификат RSA от НУЦ является международным.
Сертификат является доверенным для тех, кто ему доверяет. Я установил корневой сертификат НУЦ себе в ОС и теперь программы, использующие системное хранилище корневых сертификатов, ему доверяют.
aluminic
29.06.2026 09:26А еще можно поднять свой корневой УЦ, тогда проблем с выпуском сертификата вообще никаких не будет.
А поскольку ждать, пока его сертификат добавят в хранилище доверенных корневых УЦ винды, примерно столько же, сколько и сертификат НУЦ, свой УЦ определенно прагматичнее ))
Dupych
29.06.2026 09:26Вас собственными руками заставляют строить сеть внутри чебурнкта. Сами себе тюрьму строите.
Ваши пароли и сетевой траффик уже виден товарищу майору. Ибо ключи шифрования у них уже есть
aluminic
29.06.2026 09:26Что характерно, сертификат для сайта НИИ Восход, который этот самый НУЦ поддерживает, выпущен УЦ GlobalSign
blind_oracle
Ещё больше Чебурнетии... Расщепление Certificate Authority на скрепный и все остальные.
Redduck119
Расщепление Certificate Authority на скрепный и все остальные.Я так думаю - правильней на скрепный и те что могут послать в лес когда захотят, а повод всегда найдется.
Ты виноват уж тем, что хочется мне кушать.
djton1k
А что случилось?
junkware
На плесень и липовый мёд.