If you are interested what is CSR and how to generate CSR, we advise you to read this article. To purchase an SSL certificate you need to generate a special CSR request (Certificate Signing Request). CSR code contains encrypted text with information about your company and domain name that you want to register the certificate.
If you work with ISPmanager read “Creating the CSR request “. If you work with Apache “CSR request for Apache “. If you are using cPanel - “ “. This manual is only for the cases when you are using some other method and require general instructions.
To create a CSR request in most cases, you must specify the following data (these are indicated by Roman letters)
After you had generated the CSR request open the file with any text editor and copy text together with tags BEGIN and END . This text is required for SSL certificate generation.
Добрый день уважаемые читатели блога сайт, сегодняшний пост не будет про новое обновление windows 10 creators update , в прошлом посте мы и так все подробно разобрали. Сегодня мне хочется поговорить с вами о том, что такое CSR запрос и как его сгенерировать на различных платформах веб-движков, поговорим, где и в каких ситуациях вам это пригодится, данный материал будет очень полезен начинающим веб-мастерам.
CSR
(Certificate Signing Request) - это запрос
на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ. CSR
можно сгенерировать в процессе заказа SSL-сертификата или на стороне веб-сервера. или более упрощенно. CSR - это Certificate Signing Reques, если по-русски, то запрос на получение сертификата. Задачей Certificate Signing Reques является подготовить специальный файл, в составе которого будет содержаться необходимая информация о домене, на который планируется выпустить SSL сертификат и информация об организации, естественно все это дело будет зашифровано. Вместе с CSR будет сгенерирован закрытый ключ (private key), которым сервер или сервис будет расшифровывать трафик между ним и клиентом, более подробно про SSL сертификаты читайте по ссылке. Вот так вот выглядит CSR запрос.
Я вам приводил уже пример из своей работы, где мы применяли CSR запрос для выпуска сертификата почтового сервера Zimbra , сегодня моей задачей показать вам все известные мне методы по генерации Certificate Signing Reques.
И так генерация csr запроса у нас будет для таких платформ:
На хостингах не самый распространенный веб-сервер, открываете консоль управления IIS. Выбираете нужный сайт и выбираете значок "Сертификаты сервера"
В открывшемся окне, в области действия, вам необходимо нажать "создать запрос сертификата"
Заполняете поля:
И указываем место сохранения CSR запроса, по сути это будет обычный текстовый файл.
Создание csr запроса в CentOS (Linux или MacOS) осуществляется с помощью утилиты OpenSSL, кто не знает, что это такое, то в нескольких словах, это кроссплатформенное программное решение, которое позволяет работать с технологиями SSL/TLS, позволяет управлять и взаимодействовать с криптографическими ключами. В версии CentOS 7, она уже идет под капотом, но если у вас OpenSSL еще не установлен, то делается это вот такой командой:
yum install openssl
В Debian или Ubuntu, команда будет выглядеть вот так.
apt-get install openssl
Теперь при наличии OpenSS в системе, вы сможете произвести генерацию CSR запроса.
openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out ca.csr
У вас будет сгенерированно два файла:
Хочу отметить, что полученные файлы вы обнаружите в каталоге, где выполняете команду OpenSSL.
Давайте теперь пробежимся по полям, которые вам нужно будет заполнить, вводите тут максимально корректную информацию, в противном случае можете от этого пострадать.
В итоге вот содержимое этих файлов, содержимое ca.csr, нужно передать удостоверяющему центру, для выпуска вашего сертификата.
Самый удобный способ для начинающих веб-мастеров, так как не требует абсолютно никаких знаний в администрировании серверов. Вы просто открываете онлайн форму и заполняете поля, на выходе вы получите CSR запрос. Я вам предложу два сервиса, которыми пользуюсь. Первый это emaro-ssl , о нем я рассказывал в статье про выпуск сертификата на 3 года за 1800 рублей. Заполняем поля и нажимаем сгенерировать.
Вам будет создан Certificate Signing Reques запрос, а так же закрытый ключ.
Второй сервис делающий csr запрос на сертификат это sslcertificate.ru , вы также заполняете все поля и жмете сгенерировать CSR. Вы итоге вы так же получаете закрытый ключ и сам запрос на сертификат. Его вам позволят сохранить и так же продублируют на почту. Обратите внимание справа есть ссылка на декодер CSR, он позволяет расшифровать эту абракадабру. В специальное поле вбиваем ваш Certificate Signing Reques и жмем декодировать.
В итоге вы получаете всю контактную информацию.
CSR (Certificate Signing Request) — это зашифрованный запрос на выпуск сертификата, содержащий подробную информацию о домене и организации. Генерация CSR является необходимой процедурой подготовки к получению SSL-сертификата. Сгенерированный CSR включается в анкету на получение сертификата.
При заказе сертификата вам будет предложено сгенерировать CSR автоматически. Форма автоматической генерации CSR доступна по .
Если же вы хотите генерировать CSR самостоятельно, выполните следующие действия.
Инструкция актуальна для linux-подобных операционных систем (CentOS, Debian, Ubuntu…). Все действия необходимо производить в командной строке (в терминале).
Если у вас заказан сервер VPS или хостинг сайтов, вы можете сгенерировать CSR прямо на нём, подключившись по SSH:
Сохраните в надежном месте файл private.key . Впоследствии он потребуется для установки сертификата на сервер. Никогда и никому не показывайте содержимое этого файла, иначе можете нарушить секретность информации, что может привести к неожиданным последствиям и санкциям со стороны сертифицирующей компании.
Повтор команды генерации не сделает точно такого же ключа — это будет другой ключ, и нужно будет снова генерировать для него CSR и перевыпускать сертификат.
Порядок подготовки CSR-запроса для получения SSL-сертификата. Внимание! Храните сформированные конфиденциальные данные с недоступном для посторонних лиц месте! Не забудьте сохранить копию приватного ключа *.key - в случае утери данного файла, Вам необходимо будет заказать новый сертификат. Данное руководство предназначено для работы с Apache + Mod SSL + OpenSSL, но может использоваться и в другом окружении.
Для Клиентов хостинга КОМТЕТ эти действия могут быть выполнены нашими сотрудниками по запросу. Вы так же можете воспользоваться .
Для формирования CSR-запроса для Вашего сайта используйте данную пошаговую инструкцию. В результате вы получите CSR-запрос, который потребуется для получения SSL-сертификата.
Пошаговая инструкция:
Шаг 1. OpenSSL
Установите OpenSSL , если данная программа отсутствует на Вашем сервере.
Шаг 2. Создание RSA-ключа для веб-сервера Apache
Перейдите в директорию для создания ключей:
cd /apacheserverroot/conf/ssl.key
(ssl.key - директория по умолчанию для ключей).
Если вы используете другой путь, то перейдите в директорию веб-сервера Apache для закрытых ключей.
Введите следующую команду для генерации зашифрованного приватного ключа. Вам будет предложено ввести пароль для доступа к файлу. Данный пароль также необходимо будет вводить каждый раз при запуске веб-сервера (чтобы избежать этого, оставьте пароль пустым).
Внимание: в случае утери пароля необходимо будет заказывать новый сертификат.
openssl genrsa -des3 -out domainname.key 2048
Вы можете создать приватный ключ и без использования шифрования, если Вы не желаете вводить пароль при каждом запуске веб-сервера:
openssl genrsa -out domainname.key 2048
Минимальный размер ключа для CSR-запроса равен 2048 бит.
Шаг 3. Получение CSR-файла
Введите следующую команду для создания CSR с приватным ключом RSA (на выходе будет получен PEM-формат):
openssl req -new -key domainname.key -out domainname.csr
Примечание: Если на Шаге 2 вы использовали ключ "-des3", то будет запрошен пароль для PEM-формата.
При создании CSR необходимо придерживаться следующих правил. Введите информацию, которая будет отображаться в сертификате. Нельзя использовать следующие символы: < > ~ ! @ # $ % ^ * / \ () ? . , &
DN - поле |
Пояснение |
Пример |
Common Name | Полное доменное имя для вашего веб-сервера. Оно должно в точности совпадать. | Если вы предполагаете использовать следующий URL: https://www.yourdomain.com,
то "Common Name" должно быть www.yourdomain.com Для WildCard-сертификатов указывайте со звездочкой. Пример: *.yourdomain.com |
Organization | Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. | YourCompany |
Organization Unit | Наименование отдела, подразделения (на английском языке). | Marketing |
City or Locality | Город, где официально зарегистрирована организация (на английском языке). | Moscow |
State or Province | Область, в которой официально зарегистрирована организация (на английском языке). | Moscow |
Country | Страна, в виде двухсимвольного ISO-кода. Для России: RU. | RU |
Не вводите дополнительные атрибуты и оставьте пароль пустым (нажмите Enter).
Для частных, физических лиц, в полях Организация и наименование подразделения указывайте в латинской транскрипции ФИО, например Ivanov I Ivan.
Примечание: для проверки содержимого CSR используйте следующую команду:
openssl req -noout -text -in domainname.csr
Шаг 4 .
Отправьте нам CSR-файл, как описано в Порядке получения SSL-сертификата .
Приватный ключ должен начинаться
-----BEGIN RSA PRIVATE KEY----- и заканчиваться -----END RSA PRIVATE KEY-----.
Для просмотра содержимого приватного ключа используйте следующую команду:
openssl rsa -noout -text -in domainname.key
Для других веб-серверов инструкцию по получению CSR можно найти .
Процесс генерации CSR отличается в зависимости от типа, версий и состава программного обеспечения, установленного на сервере.
Мы приводим инструкцию по генерации CSR для наиболее распространённого веб-сервера Apache . Если эта инструкция не подходит и используется другое серверное ПО, для генерации CSR обратитесь к администратору веб-сервера или в службу поддержки компании, предоставляющей хостинг для вашего сайта.
Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита OpenSSL. Эта утилита, как правило, входит в стандартную поставку веб-сервера Apache.
Внимание:
Параметр | Означает | Пример |
---|---|---|
Country Name |
Двухбуквенный ISO-код страны |
RU |
State or Province Name |
Область или край, где официально зарегистрирована организация. | Moscow |
Locality Name | Город, где официально зарегистрирована организация. | Moscow |
Organization Name |
Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. | MyCompany Inc |
Organizational Unit Name |
Название отдела или подразделения (на английском языке). | IT |
Common Name | Полное доменное имя для веб-сервера в формате FQDN - Fully Qualifed Domain Name. Внимание! Все сертификаты, кроме Wildcard Certificate, защищают только один хост — например, либо сам домен вида "mydomain.ru" , либо "www.mydomain.ru" , либо любой субдомен вида "secure.mydomain.ru" . Будьте внимательны, Вам необходимо указать именно то имя домена, на которое выписывается сертификат. | www.mydomain.com |
Email Address |
Заполнять не требуется | |
A challenge password |
Заполнять не требуется | |
An optional company name | Заполнять не требуется |
В результате этих действий будет создан и сохранён в файле www.mydomain.com.csr запрос на сертификат (CSR). Также будет сгенерирован и сохранен в файл www.mydomain.com.key секретный ключ 2048 RSA.
Вы также можете воспользоваться клиентом OpenSSL для Windows , который позволит Вам проделать все необходимые действия по генерации секретного ключа и CSR непосредственно в среде Windows. Скачать клиент OpenSSL для Windows можно по следующей ссылке: http://www.slproweb.com/products/Win32OpenSSL.html . Этот клиент можно установить на локальный компьютер, и далее с его помощью Вы сможете выполнить все перечисленные выше команды и получить секретный ключ и CSR в файлах www.mydomain.com.csr и www.mydomain.com.key, которые будут сохранены на вашем компьютере.
После того, как вы сгенерировали CSR и получили сертификат , можно приступить к