Зарубежные корневые центры сертификации (root CA) продолжают отзывать серверные сертификаты российских компаний, но есть способ не попасть под раздачу отзыв.
Отечественный SSL сертификат для сайта можно бесплатно получить на портале ЕПГУ, заполнив несколько полей и выполнив несложное задание - добавить в DNS поле TEXT или положить файл к остальным файлам вашего сайта. Этот процесс наглядный, но не слишком быстрый и неудобный, особенно если сайтов у вас несколько или вы не уверены (например, как я), что через 89 дней вспомните, что сертификат на сервере пора обновить. Да, сертификат для сайта (DV-сертификат) выдаётся на 90 дней.
К счастью, специалисты НУЦ выпустили программу и инструкцию, как автоматизировать действия с сертификатом.
Мой сайт статичный, использует nginx и работает на Ubuntu Linux (так дешевле хостинг).
Действовал я по инструкции от НУЦ и теперь сертификат для моего сайта будет обновляться автоматически. Для выпуска, обновления, отзыва сертификата используется модифицированная версия acme.sh v.3.1.2
Использование программы оказалось для меня удобнее и быстрее, чем заполнение полей на ЕПГУ, а главное, не нужно помнить про периодическое обновление сертификата, так как программа ещё настроила и автообновление сертификата.
Итак, что делал:
-
Получил корневой сертификат НУЦ
С портала ЕПГУ из раздела "Сертификаты для Linux" cкачал архив с корневыми сертификатами НУЦ
На портале сертификаты НУЦ почему-то называются сертификатами Минцифры, хотя в самих сертификатах о Минцифры ни слова. И почему-то нет инструкции для Ubuntu, а только для RedHat, который ушёл из России.
Так как автоматизация НУЦ выпускает DV-сертификаты безопасности с применением международных криптографических алгоритмов (читай RSA), из архива нам понадобится корневой сертификат с названием russian_trusted_root_ca_pem.crt , который надо скопировать на сервер в Вашу домашнюю папку.
2. Добавил сертификат НУЦ в Linux
Скопировал сертификат НУЦ, куда положено sudo cp ~/russian_trusted_root_ca_pem.crt /usr/local/share/ca-certificates/ и добавил его в список доверенных сертификатов sudo update-ca-certificates
3. Установил acme.sh
Скопировал и распаковал архив с программой , для этого пришлось установить разархиватор sudo apt install unrar-free, и лишь затем распаковать архив пограммы unrar -x acme_client_fix.rar
Создал папку mkdir ~/.acme.sh, так как сама программа почему-то не смогла, установил acme.sh командойbash ./acme.sh --install -m myemail@example.ru и перезашёл в терминал.
4. Настроил программу на НУЦ acme.sh --set-default-ca --server https://nuc-acme.voskhod.ru/acme/api/v1/directory и зарегистрировался в НУЦ acme.sh --register-account --email myemail@example.ru --accountkeylength 2048
myemail@example.ru в приведённых примерах поменял на свой, хотя на почту мне ничего и не приходило.
5. Выпустил ключ и сертификат НУЦ.
У меня сервер был без сертификата, так что, как просила инструкция, порт 80 был открыт, но можно использовать и встроенный в программу сервер. Поменял в команде sudo acme.sh --issue --domain mydomain.ru --webroot /var/www/html --keylength 2048 --force --always-force-new-domain-key имя домена mydomain.ru на свой и указал путь к файлам сайта /var/www/html/mydomain.ru.
Есть другой способ, подтвердить владение сервером через DNS, но тогда придётся немного подождать, когда DNS запись обновится, но я им от нетерпения не воспользовался.
6. Добавил получившиеся файлы mydomain.ru.cer и mydonain,ru.key в nginx
vi /etc/nginx/sites-available/mydomain.ru.conf
server { listen 80; listen 443 ssl; client_max_body_size 200M; server_name mydomain.ru www.mydomain.ru; ssl_certificate /home/www-user/.acme.sh/mydomain.ru/mydomain.ru.cer; ssl_certificate_key /home/www-user/.acme.sh/mydomain.ru/mydomain.ru.key; root /var/www/html/mydomain.ru; index index.html; }
и перезагрузил веб-серверsystemctl reload nginx
7. Настроил автоматическое обновление сертификата и ключа каждые три недели acme.sh --install-cronjob
8. У программы acme.sh ещё много разных параметров acme.sh --help
Спасибо шести сотням разработчиков acme.sh и сотрудникам НУЦ за сертификаты.
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров.
Комментарии (56)
Skipy
29.06.2026 09:26Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
Удачи...
tellvil
29.06.2026 09:26Не понимаю, почему винда в РФ еще осталась, как явление. Легально не купить, раньше пираткой массово пользовались, тк была реально удобной, а теперь нативной рекламы нет (пока еще) разве что в контекстных меню. На интересы пользователя винда плевать хотела не меньше всяких максов...
yahooyaks
29.06.2026 09:26От этого винда только лучше. И пусть держится от моих пользовательский интересов подальше, а делает только то, что приказано.
theult
29.06.2026 09:26Винда остаётся относительно удобной, с хорошей поддержкой железа и периферии, понятная в переходе на новые версии. на пользователей и их мнение мелкософт всегда клал болт и это не выбивало его из самых дорогих компаний мира.
На тему легально не купить - хз, можно купить для другого региона и сменить регион, язык. Ну да, нет официального магазина, но мне ехать, а не шашечки. Для обывателя Линукс сложнее и менее универсален, а покупать(!) "российский" Линукс - это боль бюджетников, простой юзер себе лучше видеокарточку обновит или проц посвежее поставит.
tellvil
29.06.2026 09:26Не сказал бы, что винда понятнее при выходе новых версий- по аналогии с автомобилями, это бы выглядело, как поменять местами педаль газа и рычаг включения поворотников частенько. Но и не в этом основная суть претензии к винде, а в том, что потребляет чрезмерные ресурсы, не подчиняется пользователю беспрекословно и содержит в себе все больш еназойливой нативной рекламы. О русском линуксе даже и мысли не возникает, а вот дружелюбных дистрибутивов сейчас огромный выбор. Проблемы с драйверами к популярному железу остались в бсд-подобных системах и других редкостях на десктопе, но уж никак не для линукса. Не буду отрицать, что с точки зрения админов в линуксе тоже случаются непривычные перемены, но для пользователя, особенно не особо мощного компа, поведение и вид xfce практически не меняется. Да и кде тоже, в случае, если возможности компа позволяют его поставить. По поводу же легальности покупки- если винду нельзя закупать официально, то и обучать продуктам на винде законно не выйдет, и работодатели соответственно не смогут новые компы с виндой массово закупать, соответственно школьникам и студентам винда уже не нужна. Окончательно слезть лет 10 потребуется. Ну или представить себе чудо, что майкрософт повернется лицом к людям и уберет то, что бесит людей. В последнем очень сомневаюсь.
yahooyaks
29.06.2026 09:26Open Shell и Windows Firewall Control творят чудеса - винда ходит строем. Хотите поскуднее набор - пользуйтесь LTSC.
tellvil
29.06.2026 09:26Не у домашних же пользователей она строем ходит. Пока в основном бесит людей обновлениями и рекламой нативной. Да и настройки частенько слетают при обновлениях. Не разваливается, как 20+ лет назад, это конечно, плюс, но теперь прямо целенаправленно бесят.
igrblkv
29.06.2026 09:26Если там штатно весь цирк с конями не запихали - это не значит, что набор поскуднее. Всё не нужное можно и доставить парой команд.
Зато работает даже на 1155, но только с SSD под систему.
Tor-Dur-Bar
29.06.2026 09:26Альтернативы Windows могут быть хоть в 100 раз лучше, но “мы так привыкли, нам так удобнее”. Массовый переход могу представить по 2 сценариям:
В РФ начинают наказывать за использование Windows, независимо от того, лицензионная копия или нет.
Microsoft применяет удалённый kill switch.
tellvil
29.06.2026 09:26Так поколения пользователей постепенно меняются, меняются и запросы работодателей. Мало кто из людей станет заморачиваться с виндой, когда на учебе, потом на работе привыкнут к другой ос. А винда начинает бесить и тех, кто к ней привык. Вот я, например, не привыкал изначально к рекламе в меню пуск, к меняющимся не по моей воле обоям тоже не привыкал. Это резко отталкивает многих.
theult
29.06.2026 09:26То что меня в Винде всегда бесило я сразу убивал. Вот вообще не задумываясь. Особенно всякую ересь, которая потребляет ресурсы мимо кассы, типа рекламы, анимированные темы, виджеты, новости, избыточная телеметрия. Сейчас в Андроиде такая же история пошла, родные приложения идут под снос (либо выключаются) и заменяются другими, мое мнение - охренели мне в моем телефоне рекламу показывать при открытии галереи.
tellvil
29.06.2026 09:26Кстати, законных оснований признать винду вредоносным софтом хоть отбавляй. И это отнюдь не политические натянутые основания. Почему этого не сделали раньше- понимаю, а сейчас- хороший вопрос.
Heggi
29.06.2026 09:26А что там такого в acme.sh изменили? Почему стандартной версией или вообще certbot нельзя пользоваться?
AlexAiZzz
29.06.2026 09:26У них в архиве скрипта по ссылке из статьи лежит файл "acme.sh_changes.docx" где написано что они там поменяли, заодно там дали ссылку на оригинал, чтобы можно было сравнить.
navion
29.06.2026 09:26Лучше бы НУЦ привевели в соответствие с RFC 8555 для использования стандартных клиентов вроде LEGO.
AlexAiZzz
29.06.2026 09:26Я с НУЦ пока связываться не собираюсь, т.к успешно победил LE, но тем не менее, а что у них есть проблемы с этим?
8555 это как я понимаю и есть acme, все изменения скрипта, которые я увидел в описании по большей части косметические, типа обязательно чтобы страна была RU. Все это так же должно настраиваться в LEGO аналогично тому как в скрипте acme.sh.
AlexAiZzz
29.06.2026 09:26Вано, погоди. Если сертификата в операционках по умолчанию нет, то ведь теряется весь смысл, особенно для статичных хомячковых сайтов. Он же все равно у подавляющего большинства будет показываться как недоверенный, т.е. что есть, что нет. А в появление его в ОСах я бы не ждал на фоне процесса отзыва забугорными конторами. Ну и в догонку, если ты там в доке копался, НУЦ wildcard сертификаты поддерживает?
isinelobov Автор
29.06.2026 09:26Приняли 210-ФЗ, там есть и про НУЦ, так что его наличие в операционках - дело времени.
Не думаю, что Microsoft его добавит в Trusted Root, а вот установщик Диадок сможет.
AlexAiZzz
29.06.2026 09:26Сразу расставим точки над ё: я не в коем разе не против статьи, даже наоборот, т.к. такая инфа может и пригодится когда-нибудь.
Суть моих возражений только про твой сценарий почему ты связался с НУЦ: т.е. необходимость в таком ущербном сертификате для домашней страницы (а насколько я помню там были одни фотографии). Дело ведь не в том, что ты доверяешь своему сайту :) а в том что для большинства других он таковым не будет (я то на твой сайт и без страха без сертификата зайду). Потому что этот ФЗ это про конторы, т.е. того же Диадока на личном компе вряд ли встретишь. Ну допустим банки или госуслуги будут хотеть, но в этом случае, они например у меня будут сидеть в какой-нибудь песочнице с этим сертом, и оттуда я по другим сайтам ходить не буду. Полагаю другие похожим образом рассуждают.
Яндекс.браузер я на десктопах ни у себя ни у знакомых не наблюдаю, все его вычищают нещадно. Единственное где он у меня встретился недавно это предустановленный на андроиде у мамы, кстати туда и сертификат обяжут производителей ставить, если еще не. Но ты ж про винды :)
isinelobov Автор
29.06.2026 09:26acme.sh делает только DV-сертификаты, на портале НУЦ выпускает и OV-сертификаты.
AlexAiZzz
29.06.2026 09:26OV-сертификаты это не про wildcard, а про организации и их проверки. Тот же Let's encrypt позволяет делать обычные wildcard сертификаты, только для их автоматического подтверждения по-моему нужно чтобы регистратор домена предоставлял API-доступ к записям своего домена а многие его не дают. Т.е. изменение TEXT записи это ручная работа и тот же certbot (полагаю и acme.sh) wildcard сертификаты от Let's encrypt автоматом не обновляют.
alexs963
29.06.2026 09:26acme.sh умеет дёргать API разных регистраторов, и соответственно автоматически обновляет wildcard-сертификаты.
AlexAiZzz
29.06.2026 09:26Делать или пользоваться? Это как бы разные вещи. Если у моего регистратора timeweb нет API для изменения DNS записей, только через вебморду. То как acme.sh это обойдет. Я смотрел сорцы кого-то из списка этих автоботов, там были API известных автору регистраторов, и чтобы добавить своего регистратора нужно чтобы этот рег предоставлял API.
Уточнение: у timeweb вроде есть API, но по-моему это если ты у них хостишься, а за просто услугу DNS я увидел только индейское жилище.
alexs963
29.06.2026 09:26у моего регистратора timeweb нет API
Сочувствую, я пользуюсь reg.ru, для него у acme.sh есть модуль так что всё работает, и выпуск и авто-продление wildcard-сертификатов.
AlexAiZzz
29.06.2026 09:26Ну это как раз не беда, ровно сегодня пришло уведомление что через месяц домен заканчивается и надо продлить, может и перенесу куда. Я разбирался впервые с этим соответственно почти год тому назад, но каша в голове небольшая осталась и я могу заблуждаться: проблема больше не из-за регистратора, первую скрипку играет как раз УЦ.
Сам УЦ должен давать возможность выпускать wildcard сертификаты (например Let’s Encrypt начал выдавать бесплатные wildcard-сертификаты в с 2018).
Далее, чтобы выпустить сертификат, УЦ проверяет что ты являешься владельцем домена. Let's Encrypt это делает двумя способами: изменением записи TEXT в DNS или покладанием файла в определенную папку на сервере. Но вот беда, оба способа он использует только для полного домена, а для домена со звездочкой, только через TEXT. Отсюда и появляется требование в наличии программного доступа (API) к редактированию DNS записей для автоапдейта. А наличие такого API это уже воля или не воля регистратора. Поэтому если тот же НУЦ умеет выпускать wildcard с выкладыванием файла на сервер, то необходимость в API у рега отпадает.
Т.е. домен вида example.com я у timeweb успешно автоматом обновляю, а вот *.example.com не могу, только руками.
Но, что-то мне подсказывает, что эти способы проверки у всех УЦ примерно одинаковые т.к. используют какой-нибудь единый стандартный протокол. И поэтому с этой точки зрения НУЦ вряд ли имеет преимущество перед LE по этому вопросу.
alexs963
29.06.2026 09:26Вилдкард насколько мне известно только через днс можно продлить, а простой домен и файлом может обойтись.
AlexAiZzz
29.06.2026 09:26Ха, статья для меня полезна уже тем, что в процессе обсуждения я таки поднял зад и с помощью гуглежа в AI режиме перевел свой домен в timeweb с одного акка (hosting) на другой (cloud) на тех же условиях, благополучно получил API токен и настроил выпуск и автообновление сертификата LE
AlexAiZzz
29.06.2026 09:26Ну и я бы проверил как он обновляется на самом деле. Поставь своему сервису вместо трех недель день-три (если у них есть ограничение на частоту обновления). Я когда год тому назад разбирался с Let's Encrypt например с первой попытки в чем-то элементарном накосячил.
gevals
29.06.2026 09:26Интересно, сайт такой во всех браузерах в РФ будет открываться с зеленым замочком? В противном случае это те еще грабли.
AlexAiZzz
29.06.2026 09:26С чего бы? Для этого в системе должен быть уже корневой сертификат, той цепочки сертификатов авторизующих центров, которые участвуют в подписи выпущенного. Об этом и была хотелка в статье:
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
gevals
29.06.2026 09:26Долго ждать придётся:( так значит и остается let's encrypt..
AlexAiZzz
29.06.2026 09:26Я уверен, что проблемы с отзывом сертификатов исчезнут до того момента как сертификат НУЦ появится в ОСах по умолчанию. Хотяяяя..., кто-то же пользуется яндекс.браузером, у них наверное уже сейчас показывается как доверенный. Собсвенно можешь проверить и зайти на сам сайт Национальный удостоверяющий центр, у меня театр уже с вешалки показывает что "Not secure" красным.
webhamster
29.06.2026 09:26Написано так, как будто все в России знают что такое НУЦ, ЕПГУ и DV.
И самое главное: с каких пор сертификат от НУЦ признается международным и доверенным?
isinelobov Автор
29.06.2026 09:26Так как сертификат с криптографией стандарт RSA используется во многих странах, то да, сертификат RSA от НУЦ является международным.
Сертификат является доверенным для тех, кто ему доверяет. Я установил корневой сертификат НУЦ себе в ОС и теперь программы, использующие системное хранилище корневых сертификатов, ему доверяют.
PereslavlFoto
29.06.2026 09:26Вы же знаете, что такое ЕПХХ?
Это Единый портал ХабраХабра.
AlexAiZzz
29.06.2026 09:26Ну вообще-то ЕПГУ уже давно и все чаще встречается много где, хотя справедливости ради термин госуслуги гораздо большему народу понятны.
aluminic
29.06.2026 09:26А еще можно поднять свой корневой УЦ, тогда проблем с выпуском сертификата вообще никаких не будет.
А поскольку ждать, пока его сертификат добавят в хранилище доверенных корневых УЦ винды, примерно столько же, сколько и сертификат НУЦ, свой УЦ определенно прагматичнее ))Heggi
29.06.2026 09:26Пользователей с установленным сертификатом НУЦ уже больше 0% (или в систему поставлено, или яндекс-браузер используют - не суть). А вот количество пользователей с вашим собственным СА стремится к нулю.
Dupych
29.06.2026 09:26Вас собственными руками заставляют строить сеть внутри чебурнкта. Сами себе тюрьму строите.
Ваши пароли и сетевой траффик уже виден товарищу майору. Ибо ключи шифрования у них уже есть
aluminic
29.06.2026 09:26Что характерно, сертификат для сайта НИИ Восход, который этот самый НУЦ поддерживает, выпущен УЦ GlobalSign
Q000P
29.06.2026 09:26Ага добавят в Винду и браузеры и мак уже в очереди вымаливает дайте нам тоже добавить)))) судя по тенденции скорей корневой забанят на западе.
Вы реально думаете, что можно вот так вот просто и по хамски блочить западные сервисы продавливать свои причем, что блоки, что сами наши сервисы да 99% работают на западном же оборудовании и софте))). И после этого не получить ответку?:))
KonstantinTokar
29.06.2026 09:26Всё доверие на сертификаты от западных (и восточных) компаний держалось на уверенности что у них совести не хватит подсматривать. Эта уверенность оставалась даже после слухов о раздаче некоторыми УЦ программно-аппаратных устройств для генерации поддельных сертификатов, выдачи сертификатов кому угодно и т.д. Сейчас же нет никакой надежды что, например, организация в зоне действия законов США не предоставит что угодно спецслужбам США, то же про Россию и про любую страну. То есть цепочка доверия к системе сертификатов разорвана во многих местах. И именно это настоящая проблема, интернет распался на Неуловимых Джо и тех кого уже ловят. Закладки в браузерах, контролируемых правительствами, телефоны с Андроид, контролируемые правительствами, приложения с излишними правами - это всё есть уже, и есть везде.
Пора признать что Интернет в том виде каким он был десять лет назад больше не существует. А мы тут обсуждаем что сертификат "минцифры" не стоит по умолчанию в браузере.
Повторяется история раннего Интернет - см. вирус Морриса. Все всем доверяли, пока студент не решил пошутить.
blind_oracle
Ещё больше Чебурнетии... Расщепление Certificate Authority на скрепный и все остальные.
Redduck119
Расщепление Certificate Authority на скрепный и все остальные.Я так думаю - правильней на скрепный и те что могут послать в лес когда захотят, а повод всегда найдется.
Ты виноват уж тем, что хочется мне кушать.
djton1k
А что случилось?
alexs963
Сетевой нейтралитет кончился под давлением страны-агрессора.
Okloks
Случилось лицемерие некоторых комментаторов. Впрочем, на них уже всем всё равно, сами справимся. А эти комментаторы будут ещё долго расплачиваться за недальновидную политическую глупость и желание стать чужим военным плацдармом.
AnonimYYYs
Простите, а вот эти самые, которые "ты виноват уж тем, что мне хочется кушать", они только на той стороне, котороя в противовес "скрепной" идет? Или все же кушать хочется и тем, у кого инфраструктура гугла, телеграма и дискорда внезапно устарела? Вы точно сейчас ничего не забываете?
Redduck119
"ты виноват уж тем, что мне хочется кушать"
В нашем современном капиталистическом мире сильный кушает слабого.
Или слабый прячется под крыло другого сильного (И все равно слабый это обед - только запасной).
Мне не нравится такое мироустройство.
Но я не отрицаю реальность.
И когда спрашивают - А что случилось? Надо просто расставить все по своим местам. И увидеть кто с кем "дерется" и за что.
junkware
На плесень и липовый мёд.