SSL-сертификаты

Вопросы и ответы

• Что такое SSL-сертификат?

  SSL-сертификат – это стандарт шифрования. Другими словами, это гарантия того, что данные между браузером и вашим сайтом будут передаваться по защищенному каналу.
  
  Как следствие, SSL-сертификат информирует посетителей сайта о том, что вашему ресурсу можно доверять.
  
  

• Как создать CSR-запрос?

  Запрос на подпись сертификата (CSR)
  
  Для заказа SSL-сертификата необходимо сделать запрос на подпись сертификата (CSR). Это зашифрованный текстовый файл, сгенерированный на том сервере, где будет использован сертификат.
  
  CSR содержит:
  
  1. Информацию об администраторе домена:
  
  

  • название организации;
  • доменное имя;
  • страну и др.

  
  
  2. Закрытый ключ.
  
  Для заказа SSL-сертификата вам необходимо самостоятельно сгенерировать CSR-ключ и ввести его в текстовое поле в форме заказа сертификата.
  
  Создание запроса на сертификат (CSR) для Apache
  
  Для создания CSR необходимо использовать криптографический пакет с открытым исходным кодом – OpenSSL. Перед созданием CSR необходимо сгенерировать закрытый ключ длиной не менее 2048 бит. Закрытый ключ должен создаваться и храниться на сервере, для которого приобретается сертификат.
  
  Как создать закрытый ключ?
  
  1. Выполните в командной строке команду openssl genrsa -des3 -out private.key 2048
  
  2. Увидев сообщение «Enter pass phrase for private.key», введите пароль для защиты закрытого ключа.
  
  3. После получения сообщения «Verifying - Enter pass phrase for private.key» повторите ввод пароля.
  
  4. Ваш закрытый ключ будет создан и сохранен в файле private.key. Увидеть его можно, выполнив команду: less private.key
  
  5. Для удаления passphrase из приватного ключа (требуется для некоторых серверов) необходимо выполнить команду: openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem
  
  Как создать CSR?
  
  Обратите внимание, что при создании CSR все данные вводятся латинскими символами.
  
  Чтобы создать CSR, необходимо:
  
  1. В командной строке выполнить команду: openssl req -new -key private.key -out domain-name.csr
  
  2. Ввести пароль закрытого ключа в ответ на сообщение «Enter pass phrase for private.key».
  
  3. Заполнить следующие поля на латинице:
  
  

  • Country Name - двухсимвольный код страны («BY» для Республики Беларусь);
  • State or Province Name - название области или региона без сокращений;
  • Locality Name - название города или населенного пункта;
  • Organization Name - название организации на латинице;
  • Organizational Unit Name - название подразделения, для которого заказывается сертификат (необязательное поле);
  • Common Name - полностью определенное (FQDN) доменное имя;
  • Email Address - контактный email адрес (необязательное поле);
  • A challenge password - не заполняется;
  • An optional company name - альтернативное имя компании (не заполняется).

  
  
  Запрос на сертификат будет сохранен в файле domain-name.csr в виде закодированного текста.
  
  Проверьте корректность введенных данных, выполнив следующую команду: openssl req -noout -text -in domain-name.csr