Pradžia

 Kokiais adresais veikia SSL sertifikatai? Kokius techninius reikalavimus nurodyti SSL sertifikato viešajame pirkime? Koks maksimalus SSL sertifikato galiojimo terminas? Koks SSL sertifikatas tinka Microsoft Exchange el. pašto serveriui?

CSR generavimas

Patikrinimas

CRT diegimas

CRT atnaujinimas

HTTPS konfigūracija

Koks maksimalus SSL sertifikato galiojimo terminas?

CAB forum nustatė tokius maksimalius sertifikato viešo rakto (CRT failo) galiojimo periodus:

  • 199 dienos – nuo 2026-03-15;
  • 99 dienos – nuo 2027-03-15;
  • 46 dienos – nuo 2029-03-15.

Prieš pasibaigiant viešo rakto galiojimui, bet vis dar galiojant SSL sertifikato paslaugai, turite nemokamai išsiimti naują viešą sertifikato raktą savitarnos sistemoje: CRT atnaujinimas.

Kadangi sertifikatų raktai turi būti atnaujinami reguliariai ir LR Kibernetinio saugumo įstatymas įpareigoja įmones nustatyti kriptografinių sertifikatų administravimo tvarką, rekomenduojame įmonės vidiniuose dokumentuose aiškiai nustatyti, kas ir kaip atnaujina SSL sertifikatus įmonės serveriuose.

Pirma, admin@ pašto dėžutė kiekviename įmonės domene turi būti nukreipta į SSL sertifikatus administruojančio darbuotojo darbinę el. pašto dėžutę kaip alias. Tuomet domeno validacija bus įvykdoma per mažiau kaip minutę. To neatlikus, ypač jei domeno validaciją turi atlikti pavaduojantis darbuotojas, darbuotojai gaišta valandas, kol gauna prieigą prie kažkokių atskirų el. pašto dėžučių arba DNS zonos valdymo.

Antra, įmonėje turi būti saugomi komandų šablonai privataus rakto ir CSR generavimui. Vienodi įmonės duomenys ir sertifikatų parametrai turi būti apgalvoti ir aiškiai įvardinti visiems sertifikatams. Tuomet CSR generavimas užtruks iki minutės ir nesukels problemų vėlesniuose etapuose. To neatlikus, ypač jei CSR generuoja pavaduojantis darbuotojas, kaskart reikia iki pusvalandžio aiškintis, kas turi būti nurodyta kiekviename laukelyje, o galiausiai dėl skirtingai įvestų įmonės duomenų keletui dienų sustringa įmonės patikrinimas prieš išduodant sertifikatą.

Trečia, įmonėje turi būti serverių sąrašas su pilnu keliu iki sertifikato. Naują sertifikatą gavęs darbuotojas turi aiškiai matyti, kur reikia jį įkelti. Tas pats SSL sertifikatas gali būti naudojamas keliose skirtingose sistemose. To neatlikus, išauga klaidų tikimybė, kad darbuotojas praleis kažkurią sistemą ir ji nustos veikti, nors pats sertifikatas buvo atnaujintas, tik neįkeltas į tą konkrečią sistemą.

Iš savo klientų patirties žinome, kad sklandus CSR sugeneravimas, domeno patikrinimo įvykdymass, CRT gavimas ir įkėlimas į serverį trunka 5 minutes. Tačiau jei kaskart reikia aiškintis, kas tą turi padaryti ir kaip tai daroma, problemų sprendimas įmonių viduje trunka ir savaitę.

Jei įmonė turi šimtus sertifikatų tuose pačiuose serveriuose ir net tos 5 minutės yra per daug, siūlome automatizuotų sertifikatų paslaugą Sectigo CaaS. Tuomet serveryje veikianti programa sugeneruoja naują CSR, užsako viešą raktą, validuoja domeną per HTTP/HTTPS, pasiima ir atnaujina naujai išduotą viešą raktą. Tačiau šią programą reikia tinkamai susikonfigūruoti kiekviename serveryje, o per ją užsakomi sertifikatai yra brangesni. Todėl turint iki 10 sertifikatų po vieną serveryje, daugumai įmonių sertifikatų automatizacija vis dar finansiškai neapsimoka.