стає доступним третім особам! |
Перед замовленням сертифіката обов'язково перевірте чи дозволено обраному вами Центру сертифікації випуск SSL сертифікату для вашого домена (сайта)
Що таке CSR?
CSR - Certificate Signing Request - це запит на генерацію сертифікату. Щоб придбати SSL сертифікат вам необхідно буде згенерувати CSR (Certificate Signing Request) для вашого сервера.
CSR являє собою шматок зашифрованого тексту, що містить інформацію про компанію та доменне ім'я. CSR - це файл, який містить інформацію для сертифіката, в тому числі ваш відкритий публічний ключ. Після генерації CSR його потрібно скопіювати і відправити нам.
Генерація приватного ключа і запиту на випуск сертифіката (request CSR)
Зручно і дуже просто згенерувати запит CSR за допомогою OpenSSL. Щоб створити пару ключів і Signing Request (CSR) для веб-сервера, 'сервер', введіть наступну команду:
При цьому створюється два файли. Файл myserver.key містить приватний ключ. Не розкривайте цей файл нікому. Ретельно охороняйте закритий ключ і тримайте його в секреті. CSR - Certificate Signing Request - це фактично запит на генерацію сертифікату. Щоб придбати SSL сертифікат, вам необхідно буде згенерувати CSR - Certificate Signing Request.
При генерації запита у Вас запросять деякі дані. Їх потрібно вводити англійськими літерами.
- Country Name (2 letter code) - Країна (2 буквенным кодом) [UA]: Поле 'країна' повинна мати код з двох символів, відповідний країні. Для України код 'UA', для інших країн дивіться повний список кодів.
- State or Province Name (full name) [] - регіон або область (повна назва) []:'Kyivska Oblast'
- Locality Name (eg, city) []-Населений пункт, назва (наприклад, міста) []:'Kyiv'.
- Organization Name (eg, company) [] - Назва організації (наприклад, компанія) []: Ваша компанія Inc
- Organizational Unit Name (eg, section) [] -Поле 'відділ' - відділ організації, який займається купівлею сертифіката, наприклад 'IT'.
- Common Name (eg, YOUR name) []- повне доменне ім'я, на яке купується сертифікат, наприклад 'adgrafics.net'.
- Email Address []: електронна адреса, використовуйте поштову адресу веб-майстра або системного адміністратора.
1) заборонено використовувати символи: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
2) НЕ вводити 'extra' атрибути, залиште ці поля порожніми
A challenge password []: - пароль виклику
An optional company name []: -додаткова назва компанії
Поради:
Не слід скорочувати назву регіону або області. Вводите їх повністю
Центр сертифікації перевіряє інформацію, представлену в запиті (CSR), щоб переконатися в тому, що сервер з ім'ям Common Name, закріплений саме за вашою організацією. Центр сертифікації не приймає запити CSR, в яких міститься невірна інформація.
Переконайтеся в тому, що в якості значення Common Name введено реальне ім'я вашого безпечного сервера (правильне ім'я DNS), а не який-небудь з його псевдонімів.
Поля адреси електронної пошти, додатково назва компанії і завдання пароля можна залишити порожнім для сертифіката веб-сервера.
Уникайте використання спеціальних символів, наприклад @, #, &,! і т.д. якщо назва компанії включає амперсанд (&), запишіть його у вигляді «and» замість «&».
Якщо ви генеруєте CSR для Wildcard SSL сертифікату, доменне ім'я має бути вказано з '*.' (Наприклад * .magazinssl.com). Символ зірочки (*) означатиме будь-яку послідовність символів, що не містять точку.
Перевірити вірність, тобто протестувати CSR ви можете тут >>> Створений файл server.csr - це і є CSR-запит на отримання сертифіката, який Ви повинні передати його нам для подальшої обробки сертифікаційним центром.
Зразок CSR
Процес створення CSR відрізняється в залежності від типу, версій і складу програмного забезпечення, встановленого на сервері. Різні способи генерації запитуCSR наведені в https://proverkassl.com/csr.html
Нижче приведена інструкція по генерації CSR для найбільш поширеного веб-сервера Apache . Якщо Ви використовуєте інше серверне ПЗ, для генерації CSR зверніться до розробника.
Для генерації секретного ключа (key) і запиту на сертифікат (CSR) використовується утиліта OpenSSL. Ця утиліта, як правило, входить в стандартну поставку веб-сервера Apache.
- В командному рядку сервера введіть команду:
openssl req -new -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
- Введіть інформацію для подання заяви на підпис сертифіката. Ця інформація буде відображена в сертифікаті.
Увага:- вся інформація повинна вводитися англійськими літерами
- заборонено використовувати символи: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
Параметр Означає Приклад Country Name Двобуквений ISO-код країни UA State or Province Name Область або регіон, де офіційно зареєстрована організація. Kyiv Locality Name Місто, де офіційно зареєстрована організація. Kyiv Organization Name
Найменування організації англійською мовою MyCompany Inc Organizational Unit Name
Назва відділу або підрозділу (англійською мовою). IT Common Name Повне доменне ім'я для веб-сервера в форматі FQDN - Fully Qualifed Domain Name. mydomain.com.ua Email Address
Заповнювати не обов'язково A challenge password
Не заповнювати An optional company name Не заповнювати
В результаті цих дій буде створено запит на сертифікат (CSR) і збережений у файлі mydomain.com.csr, а так само згенерований секретний ключ 2048 RSA. і збережений в файл mydomain.com.key
Не забудьте перевірити CSR на правильність
Зберігайте приватний ключ для FATCA на захищеному носії