SSL-сертификаты

Запрос на подпись сертификата (CSR)

Для заказа SSL-сертификата необходимо сделать запрос на подпись сертификата (CSR). Это зашифрованный текстовый файл, сгенерированный на том сервере, где будет использован сертификат.

CSR содержит:

1. Информацию об администраторе домена:

• название организации;

• доменное имя;

• страну и др.

2. Закрытый ключ.

Для заказа SSL-сертификата вам необходимо самостоятельно сгенерировать CSR-ключ и ввести его в текстовое поле в форме заказа сертификата.

Создание запроса на сертификат (CSR) для Apache

Для создания CSR необходимо использовать криптографический пакет с открытым исходным кодом – OpenSSL. Перед созданием CSR необходимо сгенерировать закрытый ключ длиной не менее 2048 бит. Закрытый ключ должен создаваться и храниться на сервере, для которого приобретается сертификат.

Как создать закрытый ключ?

1. Выполните в командной строке команду openssl genrsa -des3 -out private.key 2048

2. Увидев сообщение «Enter pass phrase for private.key», введите пароль для защиты закрытого ключа.

3. После получения сообщения «Verifying - Enter pass phrase for private.key» повторите ввод пароля.

4. Ваш закрытый ключ будет создан и сохранен в файле private.key. Увидеть его можно, выполнив команду: less private.key

5. Для удаления passphrase из приватного ключа (требуется для некоторых серверов) необходимо выполнить команду: openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem

Как создать CSR?

Обратите внимание, что при создании CSR все данные вводятся латинскими символами.

Чтобы создать CSR, необходимо:

1. В командной строке выполнить команду: openssl req -new -key private.key -out domain-name.csr

2. Ввести пароль закрытого ключа в ответ на сообщение «Enter pass phrase for private.key».

3. Заполнить следующие поля на латинице:

• Country Name - двухсимвольный код страны («BY» для Республики Беларусь);

• State or Province Name - название области или региона без сокращений;

• Locality Name - название города или населенного пункта;

• Organization Name - название организации на латинице;

• Organizational Unit Name - название подразделения, для которого заказывается сертификат (необязательное поле);

• Common Name - полностью определенное (FQDN) доменное имя;

• Email Address - контактный email адрес (необязательное поле);

• A challenge password - не заполняется;

• An optional company name - альтернативное имя компании (не заполняется).

Запрос на сертификат будет сохранен в файле domain-name.csr в виде закодированного текста.

Проверьте корректность введенных данных, выполнив следующую команду: openssl req -noout -text -in domain-name.csr