Free Lets Encrypt. CertBot. Win-ACME. Траблы. Решения.

HTTPS SSL сертификат. Реальный опыт. Пример установки.

Платное шифрование безопасности сайта. Кому, почему и зачем это выгодно.

Как влияет и насколько важна ССЛ ХТТПС защита сайта в настоящее время ? ...

# ... ru.rakko.tools, Генератор SSL. Создать бесплатный самозаверяющий сертификат. Японский сервис онлайн веб инструментов.

Приведу простой пример : после издания самоподписного сертификата, который в большинстве популярных браузеров отображается, как - недостоверный, и пугает - и без того зашуганных посетителей, за последующую неделю посещаемость сайта упала - почти в 10 раз ... Самое время задуматься о рабочем механизме защиты сетевого ресурса, стоимость которого в среднем начинается от 5000 рублей за год ... Однако, крупнейшие доверенные регистраторы ожидают гораздо больших прибылей от защитного шифрования, поддерживаемого крупнейшими игроками интернет мафии ... Ну, и - куда податься бедному крестьянину, со скромным частным интернет сайтом ? ... Да - никуда, вернее - в конец списка, так как без значка доверенного соединения ни о каком росте посещаемости - речи не идёт ...

Cамоподписной, самозаверяющий сертификат, насколько бы не были правдивы, представленные в нём, сведения - может применяться только для технических целей ...

DV, домен - используется для официализации доменного имени сайта, если владелец или маленькая компания - хотят убедить посетителей в надёжности собственных заверений ... От 5000 т.р. и выше, с зависимости от цены на услуги Центра Сертификации ... Альтернатива : Let's Encrypt или некоторый другой, с официальными бесплатными опциями, как например ZeroSSL - предоставляющий 4 адреса - бесплатно и до года периода действия (но не проверенный, мной - лично) ... Малые организации и обычные сайты интернета - не нуждаются в обязательной сертификации, но - вынуждены применять их, чтобы оставаться доступными пользователям - через браузеры и поисковые машины, отвергающие сомнительные ресурсы ...

OV, организация - вдвое и более дороже, так как применяется более крупными компаниями и капиталами, представляющий средний уровень безопасности и надёжности ...

EV, расширенная идентификация с подтверждением - самое дорогое, трудоёмкое и надёжное решение для крупнейших игроков интернета, бизнеса, торговли и правительства ... В строке браузера, вместе с зелёной иконкой - отображается имя организации ...

# ... cheapsslsecurity.com, Самые дешевые сертификаты RapidSSL, доступные в Интернете.

... Если вы ищете быстрое решение для шифрования - не ищите дальше, RapidSSL предпринял все возможные шаги, чтобы их продукты были сверхбыстрыми, эффективными, доступными и удобными ... От полностью автоматизированного процесса выдачи до статической печати RapidSSL Site Seal, RapidSSL ставит базовые потребности клиента в шифровании на первое место во всем, что делает ... От $5 за год, если брать период защиты - оптом, сразу на 6 лет вперёд ...

# ... thawte.com, Найдите лучшие SSL-сертификаты для вашего бизнеса.

... Клиенты, которые чувствуют себя в безопасности в Интернете, с большей вероятностью завершат покупку, персонализируют свой профиль и вернутся на ваш сайт ... Сертификаты SSL от Thawte на базе DigiCert обеспечивают надежную аутентификацию и шифрование, гарантируя вашим клиентам безопасность их данных и транзакций ... Кроме того, мы предлагаем экспертную поддержку, лучший в отрасли процесс аутентификации и простое онлайн-управление с помощью платформы DigiCert CertCentral ... От $149 за год ...

# ... geotrust.com, Какое решение защиты подходит именно Вам.

... Выберите многолетний план, чтобы получить более длительный срок действия сертификата по более низкой цене ... Многолетние планы - это новая функция, доступная при оформлении заказа ... Приобретите до шести лет защиты со скидкой, и мы будем без проблем перевыпускать новый годовой сертификат на каждый год вашего плана ... От $440 на три года ...

# ... digicert.com, DigiCert, цифровое доверие для реального мира.

... Подписывайте документы Adobe PDF, Microsoft Office, OpenOffice и LibreOffice цифровой подписью, гарантируя получателям, что документ создан вами и не подвергался изменениям - от $379 в год ... Базовый OV для организации - от $800 ...

Let's Encrypt. Документация. Помощь. Поддержка. О сервисе. Приступая к работе.

# ... letsencrypt.org, Некоммерческий центр сертификации, предоставляющий сертификаты TLS 300 миллионам веб-сайтов.

... Чтобы включить протокол HTTPS на любом сайте - необходимо получить платный сертификат из любого известного Центра сертификации или бесплатного некоммерческого ЦС Let's Encrypt (с ограниченным сроком действия : три месяца) ... Перед получением сертификата для домена сайта - нужно подтвердить право на владение этим доменным именем ...

# Если есть SSH-доступ к хостингу веб-сервера сайта - рекомендуется использовать ACME-клиент Certbot, автоматизирующий выпуск и установку сертификата ...

# Администратору сайта с помощью панели управления, типа : cPanel, Plesk или WordPress - скорее всего, такого доступа - не предоставляется (уточнить у хостинг-провайдера) ... Если хостинг-провайдер предлагает поддержку Let's Encrypt - он может запросить бесплатный сертификат от вашего имени, установить его и обновлять автоматически ...

# Если - нет доступа по SSH и компания-хостер не заинтересована во взаимодействии с Let's Encrypt, но : позволяет загружать сертификаты вручную - используйте не рекомендуемый и трудоёмкий способ повторения рутинных действий по перевыпуску сертификата - вручную, несколько раз в год ...
* Установите Certbot на свой компьютер - для запуска в ручном режиме ...
* В ручном режиме - загрузить специальный файл на хостинг своего сайта, чтобы подтвердить факт его владения ...
* Certbot создаст сертификат, который можно загрузить на сервер хостинг-провайдера ...

# ... certbot.eff.org, CertBot ... Инструкции ... Хостинг-провайдеры с HTTPS ... Получить помощь ...

# ... eff-certbot.readthedocs.io, CertBot ... Ручной режим ... Руководство ...

... Если вы хотите получить сертификат, в случае когда certbot работает на компьютере, отличном от вашего целевого веб-сервера - нужно использовать подключаемый модуль - вручную ...
Хотя плагин скрыт от пользовательского интерфейса, можно использовать плагин для получения сертификата, указав в командной строке параметры вызова : certonly --manual ...
Это требует от вас копирования и вставки команд в другой сеанс терминала, который может находиться на другом компьютере ...
Плагин для ручного управления может использовать вызов http или dns ... Можно использовать опцию --preferred-challenges, чтобы выбрать задачу по вашему предпочтению ...

# Или, задача http - попросит вас поместить файл с определенным именем и определенным содержимым в каталог /.well-known/acme-challenge/ - непосредственно в корне сайта ... По сути, это то же самое, что и плагин webroot, но - не автоматизированный ...

# Или, задача dns - попросит вас разместить DNS-запись TXT с определенным содержимым под доменным именем, состоящим из имени хоста, для которого вы хотите выпустить сертификат, с добавлением _acme-challenge ...

... Продление с ручным плагином ... Сертификаты, созданные с помощью --manual - не поддерживают автоматическое продление (если только они не объединены со сценарием хук аутентификации через --manual-auth-hook для автоматической настройки необходимых вызовов HTTP и / или TXT ...
* Если вы можете использовать один из других подключаемых модулей, поддерживающих автоматическое обновление для создания сертификата - настоятельно рекомендуется сделать это ...
* Чтобы вручную обновить сертификат --manual без перехватчиков хук - повторите ту же команду, которую вы использовали для первоначального создания сертификата ... Поскольку для этого потребуется скопировать и вставить новые файлы HTTP или записи DNS TXT, эту команду - нельзя автоматизировать с помощью задания cron.certbot --manual ...

Управление сертификатами ... Чтобы просмотреть список сертификатов, о которых знает Certbot, выполнить подкоманду certbot certificates ... Это возвращает информацию в следующем формате ...
Найдены следующие сертификаты ...
Имя ... ...
Домены : без и с www ...
Срок действия ...
Путь сертификата: / etc / letsencrypt / live / example.com / fullchain.pem ...
Тип ключа: RSA ...
Путь к закрытому ключу : / etc / letsencrypt / live / example.com / privkey.pem

Имя сертификата можно указать, как конкретный флаг для команд run, certonly, certificates, renew и delete ...

# ... github.com, Скачать CertBot v2.3.0 2023, win x64 инсталлер, source zip, linux tar.gz.

... Изменения ... Certbot больше не будет сохранять предыдущие CSR и закрытые ключи сертификатов ... Certbot теперь будет хранить только текущий и 5 предыдущих сертификатов в /etc/letsencrypt/archive каталоге для каждой линии сертификатов ... Все предыдущие сертификаты будут автоматически удалены при обновлении ... Это число может быть дополнительно снижено в будущих выпусках ... Как всегда, пользователи должны ссылаться только на файлы сертификатов внутри /etc/letsencrypt/live и никогда не использовать их /etc/letsencrypt/archive копии - напрямую ... Конфигурации .key_dir и .csr_dir теперь - устарели ... Все компоненты Certbot теперь требуют pytest запуска тестов ...

CertBot. Простой способ создать бесплатный SSL сертификат через HTTP метод.

Важное примечание : я не уверен - должен ли быть создан index.html внутри секретной папки на сервере (как упоминается в референтском материале) или эта информация могла устареть ... Но я точно знаю, что не смог запустить сертифицирующий бот - как бы я не бился ))) ...

# ... medium.com, Как создать SSL-сертификат Lets Encrypt вручную, используя вызов http.

... HTTP метод - просто включает в себя размещение файла index.html с содержимым, сгенерированным Certbot, в определенном каталоге в корневом каталоге вашего веб-сервера ...

Установить certbot на свой компьютер ... Примечание : ...
* При windows установке приложения - не используйте путь по умолчанию C:\Program Files\Certbot, дабы избежать административных проблем с запуском бота с пробелом в пути к рабочему каталогу ... Лучше сразу назначить путь установки : C:\Certbot ...
* От имени администратора запустить run.bat ...
* В консоли требуется перейти в каталог бота командой cd bin и нажать клавишу Enter на клавиатуре ...

Возможные проблемы установки ...
* Запуск программы невозможен, так как на компьютере отсутствует api-ms-win-core-path-l1-1-0.dll ... Решение : отсутствующий файл входит в установку обновления для универсальной среды выполнения C для Windows от Microsoft - KB2999226 (универсальная библиотека CRT Win 10 позволяет классическим приложениям Windows выполняться в операционных системах более ранних версий ... Это обновление можно установить на более ранние ОС Windows, для правильной работы этих приложений) ... Примечание : для установки этого обновления требуются уже установленные в операционной системе компоненты : ... Win Vista = KB948465 (service pack sp2) ... Win 7 = KB976932 (service pack sp1) ... Win 8.1 = KB2919355 (обязательный к установке накопительный набор обновлений безопасности, а также критических и обычных обновлений) ...
* Ещё одной известной проблемой с компонентом MS VC++ является установка совмещённых паков, таких как, например : Microsoft Visual C++ 2015-2022 Redistributable (x64) ... api-ms-win-core-path-l1-1-0.dll входит в состав MS VC++ 2015, однако, в случае установки пакета 2015-2022 (или, иного другого) - попытка переустановки MS VC++ 2015 закончится ошибкой ...

Но, даже вариант с удалением и переустановкой - не всегда сможет помочь, вплоть до явной подстановки этого злосчастного файла ... Фактически, KB2999226 устанавливается на win7 x32, но не x64, в то время, как certbot v2.3.0 x64 не хочет работать на win7 x32 ... Однако, если подставить файл api-ms-win-core-path-l1-1-0.dll x64 - напрямую в папку программы, то CertBot, при запуске - всё равно вылетает с ошибкой ...

# ... comss.ru, Microsoft решила исправить неразбериху вокруг Visual C++ Redistributable.

... Microsoft приводит следующий пример ... установка распространяемого пакета Visual C++ 2019 позволяет работать с программами, созданные с помощью Visual C++ 2015 и 2017 ... Однако установка распространяемого пакета Visual C++ 2015 - не заменяет новых версий файлов, установленных распространяемыми пакетами Visual C ++ 2017 и 2019 ... Это основное отличие от предыдущих версий Visual C++, поскольку у них есть собственные файлы выполнения, которые - не используются совместно с другими версиями ...

Продолжаем ... Создать переменную для своего домена / имени сайта ... %DOMAIN=mysitename.ru ...
Командная строка запроса генерации сертификата ... % certbot certonly --manual --preferred-challenges http -d *.$DOMAIN -d $DOMAIN --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https ://acme-v02.api.letsencrypt.org/directory --register-unsafely-without-email --rsa-key-size 4096

Примечание ... Здесь идет запрос к реальному API серверу Центра Сертификации для выполнения операций : ... добавление случайных записей в каталог ... изменение ключа ... веб-сайт регистратора ... новый аккаунт ... новый одноразовый ... новый заказ ... обновление информации ... отозвать сертификат ...

# ... letsencrypt.org, Условия использования онлайн API сервиса в PDF формате.

... Вы должны быть уполномочены принять соглашение, действуя от имени компании, организации или другого юридического лица, а также использовать клиентское программное обеспечение ACME - приложение, использующее автоматизированное управление сертификатами ... Важный отказ от гарантий и ограничение ответственности (за исключением случаев, прямо указанных в Заявлении о политике сертификации и практике сертификации ISRG) ... Поскольку сертификаты Let's Encrypt выпускаются бесплатно, как - общедоступная услуга, ISRG не может принимать какие-либо ответственности за любые убытки, ущерб, претензии или гонорары адвокатов в связи с такими Сертификатами ... Вы утвердительно и прямо отказываетесь от права каким-либо образом возлагать на ISRG ответственность или добиваться возмещения убытков от ISRG за любое нарушение права интеллектуальной собственности, включая патенты, товарные знаки, коммерческую тайну или авторские права ... Примечание : между прочим класс градации SSL сертификатов Let's Encrypt соответствует уровню A+ (при явной поддержке шифрования хостингом) ...

Хорошо, продолжим ... Инсталлятор, для получения нового сертификата поручит выполнить следующую задачу для HTTP : создать файл index.html, содержащий только указанную запись, под указанным именем папки в специальном каталоге и доступным для просмотра из интернета ... Например, / .well -known / acme -challenge / 9dfes xXzKG BjEF_ Ore85 Z1gzO EIFNL kwqld a63xx gQ / index.html ... (пробелы вставлены для удобства просмотра длинных строк на узких мобильных экранах) ... Секретный токен проверки, соответствующий длинному имени папки - генерируется сервером Центра Сертификации ...

Дважды проверьте, чтобы убедиться, что вы можете получить доступ к странице по URL-адресу ... После этого - нажать Enter в консоли, где работает приложение certbot ...
В случае успеха, вывод текста в консоли - будет содержать ... Ожидание проверки ... Устранение проблем ... Сохранение цепочки сертификата и ключа по папкам на компьютере ... Срок действия сертификата истекает на дату ... Дополнительные сообщения и предложения пожертвовать в пользу ISRG за отличную работу ...

Как установить SSL сертификат и ключ на сайт ... В менеджере или панели управления своего хостинг-провайдера - найти настройку : установить SSL-сертификат ... Это может быть окно / страница с двумя формами текстового ввода : Certificate (CRT) - куда нужно скопировать цепочку сертификата из файла fullchain.pem и Private Key (KEY) - для копирования текста из privkey.pem ... Во время копирования строго соблюдать отступы - не добавляя и не убавляя ничего от себя, во избежание ошибки установки ... В случае успеха - вы получите действующий сертификат SSL для своего домена ... Теперь можно посетить свой сайт, чтобы убедиться, что установка прошла успешно ... Для проверки функциональности и поиска ошибок можно воспользоваться онлайн сервисами чекеров ССЛ ХТТПС ...

На самом деле, весь описанный в примере порядок действий CertBot - не работает, из-за проблем с запуском EXE под Win7 x64, а алгоритм последовательности операций - не соответствует текущему методу реализации HTTP, видимо по причине устаревания (или - иной, неизвестной мне) ...

Win-ACME, как реальная альтернатива для работы из-под Windows 7 x64.

# ... win-acme.com, Простой клиент ACMEv2 для Windows использования с Let's Encrypt и множеством других Центров Сертификации.

... Win-ACME это клиент ACMEv2 для Windows, который должен быть очень простым для начала, но достаточно мощным, чтобы его можно было использовать практически во всех сценариях ...
* Очень простой интерфейс для создания и установки сертификатов на локальном сервере IIS ...
* Более продвинутый интерфейс для многих других вариантов использования, включая Apache и Exchange ...
* Автоматически создает запланированную задачу для обновления сертификатов при необходимости ...
* Получите сертификаты с подстановочными знаками, международными именами или с расширением OCSP Must Staple (необязательно) ...
* Повторно используйте закрытые ключи для DANE, криптографию EC или свой собственный CSR ...
* Расширенный набор инструментов для проверки DNS, HTTP и TLS : SFTP / FTPS , acme-dns , Azure , Route53 , Cloudflare и многие другие ...
* Храните свои сертификаты там, где и как вы хотите: Windows , центральное хранилище IIS , файлы .pem , файл .pfx или KeyVault ...
* Совместим со всеми популярными сервисами ACME, включая Let's Encrypt , ZeroSSL , DigiCert , Sectigo , Buypass , Keyon и другими ...
* Полностью автоматическая работа из командной строки ...
* Другие формы автоматизации посредством манипулирования .json файлами ...
* Допускается писать свои собственные .ps1 сценарии Powershell для установки и проверки ...
* Создавайте собственные плагины с помощью C# ...

# ... github.com, Windows ACME простой - WACS. Обзор. Поддержка сообщества. Пожертвования.

... Версия софта на момент создания статьи - v2.2.1 2023 ...
Два варианта установки и работы ...
Или, загрузите .zip файл из меню загрузки, распакуйте его в папку на жестком диске и запустите wacs.exe ...
Или, установите .NET Core , запустите dotnet tool install win-acme --global, а затем wacs.exe ...
По умолчанию загружается версия x64 pluggable, с возможностью создавать собственные плагины, но есть и другие варианты, включая x32 ...
Исполняемый файл wacs.exe требуется запускать с правами администратора ...

Как работать с программой ? ... По умолчанию генерируется обычный однодоменный сертификат ... Расширенное использование позволяет получить подстановочный вариант, с поддоменами ...
Создать новый сертификат с настройками по умолчанию ...
Определить доменные имена или ввести их вручную ...
Регистрация создается на сервере ACME ; согласиться с его условиями обслуживания и предоставить email для связи ...
Программа ведет переговоры с сервером ACME, чтобы попытаться доказать ваше право собственности на домен, для которого создаётся сертификат ... По умолчанию выбирается режим проверки http ...
После предоставления доказательства программа получает новый сертификат с сервера ACME ...
Настройки запоминаются и применяются при каждом последующем продлении ...
Таким образом, сценарий работы - мало чем отличается от CertBot, и является хорошей альтернативой ...

Режим проверки HTTP работает следующим образом ...
Для каждого домена сервер ACME отправляет вызов ...
Клиент должен убедиться, что, когда сервер ACME делает запрос к специальной директории сайта /.well-known/acme-challenge/ - секретный токен / имя - доступно и содержание ответа соответствует заранее установленным вариантам ... Порт 80 запроса изменить нельзя ...
Сервер ACME выполняет перенаправления 301/302 ... Для одного и того же токена может быть несколько запросов на проверку, например, из разных мест или разных протоколов (IPv4/IPv6) ... Let's Encrypt не раскрывает исходные местоположения этих запросов, что фактически означает, что домен должен быть общедоступным, по крайней мере - на время проверки ...

Самостоятельный хостинг - это плагин временный встроенный веб прослушиватель порта 80 ... Порт 80 не должен быть занят другими приложениями (хотя допускается перенаправление) и брандмауэр должен разрешать доступ извне ...
Создавать новый new certificate с компьютера и для сайта на хостинге, лучше - с расширенными опциями, и далее, вместо обычного - выбирать SAN certificate для множества имен, так, чтобы получить крипто защиту по имени домена - и с www, и - без ... Естественно, адреса домена - нужно будет ввести вручную ...

Реальный пример живой работы с Win-ACME программой.

После запуска консольного софта от имени админа следует выбор меню (нажать нужный символ на клавиатуре - здесь и далее ; я привожу собственные варианты ответов, подходящие для моих - конфигурации и понимания сути) M : Create certificate (full option) ...
Указать имена включаемых доменов 2 : Manual input ...
Host : techstop-ekb.ru,www.techstop-ekb.ru ... разделение через запятую ... Нажать клавишу Enter по окончании ввода ...
Friendly name [Manual] techstop-ekb.ru ... Enter - чтобы принять текущее или ввести другое имя ... Нажать клавишу Enter - принять текущее ...
По умолчанию все записи войдут в общий single certificate ... Если требуется избежать лимита в 100 доменов, или раскрытия информации в SAN листе, или ошибки валидации, то - можно использовать стратегию разделения ...
Would you like to split this source into multiple certificates : ... 4 : Single certificate ... Нет, не хочу делить и множить ))) ...

ACME сервер нуждается в проверке прав владения доменом ... Какой способ выбрать ? ... 3 : Upload verification files via FTP ...
Ввести путь к FTP ... ftp://host.ru:21/techstop-ekb.ru/docs/ ...
Copy default web.config before validation to the .well-known directory (y/n*) ... n ... Не надо ... А, зачем это мне ??? ...
FTP server username : *** ...
Password for remote server ... 2 : Type / paste in console ...
FTP server password : *** ...
Save to vault for future reuse (y/n*) ... y ... Сохрани на всякий случай, тем более, что через 90 дней потребуется замена крипто шифров ...
Please provide a unique name to reference this secret ... Пусть будет TSE-LE ...

После подтверждения владения доменом будет создан запрос ... Если вы не уверены, какой тип ключа выбрать, то RSA сохраняется по умолчанию ... 2 : RSA key ... Хочу это ))) ...
How would you like to store the certificate ? ... IIS .pfx - нет ... PEM encoded files (Apache, nginx, etc) - возможно ... PFX archive / Win Cert Store Local / No store steps - вероятно не мои варианты ... 2 : PEM encoded files [ хотя, если честно - я ничего в этом не соображаю))) ] ...
Указать путь для экспорта : C:\win-acme\certsave ... Блям - директория отсутствует ... Зайти в папку и создать вручную ...
Password to set for the private key .pem file : ... 2 : Type / paste in console ...
PemPassword : *** ...
Save to vault for future reuse (y/n*) ... y ...
Please provide a unique name to reference this secret ... Пусть будет TSE-PEM-PW ...
Would you like to store it in another way too ? ... 5 : No ... Больше никуда ничего сохранять не надо ))) ...
Installation plugin IIS not available ... Which installation step should run first ? ... 3 : No ... Никаких дополнительных установочных действий - не требуется ...

Plugin Manual генерирует источник techstop-ekb.ru с 2 идентификатора ...
Plugin Single создаст 1 заказ ...
Terms of service : C:\ ProgramData \ win-acme \ acme-v02 . api . letsencrypt.org \ LE - SA - v1.3 - September - 21 - 2022 .pdf ...
Open in default application ? (y/n*) ... y ... Открываем условия использования сервиса, читаем, соглашаемся ...
Do you agree with the terms ? (y/n*) ... y ...
Enter email for notification about problem and abuse (через запятую) : e@ma.il (для примера) ...

Начало работы скрипта ... Авторизация, используя http-01 для валидации ... Режим FTPS, но SSL буферизация отключена ... Приватная протекция ... Текст в UTF-8 ... Следует загрузка папки или файла с длинным специальным именем ... Успешно ... Ответ этой папки должен быть доступный для просмотра ... Валидация выглядит успешно, но сервер ACME будет делать проверки - более тщательно ... Затем начинается ересь ... Специальный файл - удаляется ... Синхронизируются директории .well-known * ... Затем, они - удаляются с ФТП сервера ... И, при повторном их запросе, ответ - не найдено ... Сбой ...

Разбор неудачных полётов - ни к чему не привёл ... Я ещё потыкал разные варианты ... Выяснил, что нельзя загрузить проверочный файл - вручную ... И - снова пришел к выводу, что FTP метод - самый простой и оптимальный ... А, также - уяснил и - то, что после каждой работы скрипта валидации папки /.well-known/acme-challenge/ - будут удалены с FTP сервера (читай - домена сайта) ...

Поэтому - я снова пошёл тем же самым путём, в этот раз завершившимся - однозначно успешно ))) ... Что я сделал не так - в этот раз ? ...
- Вернул удаленные с сервера папки - на место ...
- Не отказался скопировать default web.config на сервер - перед валидацией ...
- Не стал сохранять значения в vault для будущего использования, равно как и - не придумывал новых имён для секретов ...
- Не стал устанавливать пароль для private key .pem file (это - опционально, необязательно) ...

Однако, то, что в этот раз все операции завершились успешно - наводит меня на мысль, что произошёл неустановленный сетевой сбой, и нужно было просто повторить задачу (тем более программа сама спрашивала об этом) ... Более точная причина : каждый раз нужно создавать /.well * папки на сервере (проверка наличия доступа к ним) и позволять копировать web.config (похоже это нужно для работы скрипта алгоритма программы) ...

Готовые SSL сертификаты для сайта были скопированы в указанную папку, включая ... techstop-ekb.ru-chain.pem ... techstop-ekb.ru-chain-only.pem ... techstop-ekb.ru-crt.pem ... techstop-ekb.ru-key.pem ... А, также - было создано задание планировщику на обновление, которое (скорее всего) снова нужно будет выполнить - в ручном режиме ... Сертификаты прекрасно проходят проверку и вешают замочек рядом с адресом сайта в строке браузера ...

Пояснения и обнаруженные проблемы ... Для установки на сайте потребуются сгенерированные и сохранённые шифры * crt.pem и * key.pem ... При запуске софта наблюдается сильное потребление оперативной памяти до 4 Гб до нескольких минут, а после применения - память продолжает оставаться занятой до уровня 2,7 Гб, что вызывает неустойчивые зависания ПК - без видимых на то причин, так что я настоятельно рекомендую после использования утилиты - перезагрузить компьютер ...

Да, забыл упомянуть ... Это последствие применения утилиты, нужно обозначить особо и отдельно ))) ... В меню пуск (командной строке, или ещё как) открыть консоль управления mmc.exe Планировщик заданий и обнаружить, там - запланированную задачу win-acme renew в 9:00 утра, каждый день ... Обалдели, что-ли ??? ... Зачем это надо ??? ... Удалить, на фиг ))) ... Заодно - читаем справку ... Управление продлением ... Программа win-acme, в основном - используется для создания сертификатов, но природа ACME - поощряет регулярную замену сертификатов ... Мы называем последовательность сертификатов, созданных с определенными настройками - обновлением ... Спасибо, извините, нам это - не надо ... У нас, тут - не банковская ячейка, с ежедневной заменой пароля ))) ...

Онлайн сервисы проверки HTTPS SSL.

# ... sslshopper.com, Быстрая проверка ССЛ, чтобы быстро диагностировать проблемы с установкой сертификата на своем веб-сервере.

# ... ssllabs.com, Лаборатория ССЛ, бесплатный онлайн-сервис выполняет глубокий анализ конфигурации любого веб-сервера в общедоступном Интернете.

# ... digicert.com, Инструмент диагностики установки поможет вам обнаружить проблему и проверить установку ССЛ.

# ... geocerts.com, Проверка установки ССЛ. Инструменты, тест сервера, CSR-декодер, декодер сертификатов, сопоставитель ключей. Убедитесь, что ваш SSL-сертификат правильно установлен на вашем сервере.

# ... sslchecker.com, ССЛ Чекер покажет ошибки, если есть ; орган, кто выдал ; тема, для кого выдано ; дата окончания срока и некоторые гиковские вещи в расширенном разделе.

# ... reg.ru, Домены. Создание сайтов. Хостинг. VPS. Бесплатный SSL-сертификат. Убедитесь в надежности вашего и любого другого сайта.

# ... thesslstore.com, Инструменты SSL. Один для всех ситуаций. Проверьте установку вашего SSL-сертификата.

# ... xolphin.com, SSLCheck, созданный Xolphin, проверяет правильность установки вашего SSL-сертификата и сообщает о любых потенциальных проблемах, а также о возможных решениях.

# ... mxtoolbox.com, Средство поиска HTTPS и проверки SSL-сертификатов запросит URL-адрес веб-сайта и сообщит вам, отвечает ли он безопасно с шифрованием SSL.

# ... immuniweb.com, Тест безопасности SSL.

Список всех страниц, раздел computer : смотреть онлайн бесплатно, интересное - надо посмотреть ...