Разное

Запрос на сертификат ssl: Как сгенерировать запрос на SSL-сертификат для ОС Windows

08.09.2023

Что такое CSR и как его создать

CSR (Certificate Signing Request) — это зашифрованный запрос на выпуск сертификата, содержащий подробную информацию о домене и организации. Генерация CSR является необходимой процедурой подготовки к получению SSL-сертификата. Сгенерированный CSR включается в анкету на получение сертификата.

Как сгенерировать CSR

CSR можно сгенерировать двумя способами — автоматически и самостоятельно.

Сгенерировать CSR автоматически можно при заказе сертификата или через форму автоматической генерации. Если вы хотите генерировать CSR самостоятельно, подключитесь к терминалу по SSH по одной из инструкций:

  • Как подключиться к хостингу по SSH
  • Подключение к серверу VPS по SSH

После подключения по SSH к хостингу или серверу следуйте инструкции ниже. Она актуальна для Linux-подобных операционных систем (Ubuntu, CentOS, Debian):

  1. 1.

    Сгенерируйте приватный ключ при помощи команды:

    openssl genrsa -out private.key 4096

    Где:

    • private.key — выходной файл, который будет содержать ключ;
    • 1024 (4096) — размер ключа. Для «SGC Certificate» он должен быть равен 1024, для остальных 4096.

  2. 2.

    Сгенерируйте CSR. Используйте алгоритм шифрования SHA-2:

    openssl req -new -key private.key -out domain_name.csr -sha256

    Где:

    • private.key — созданный на предыдущем этапе секретный ключ;
    • domain_name.csr — генерируемый файл, который будет содержать CSR.

    Для успешной генерации CSR система запросит вас ввести данные об организации, для которой заказывается сертификат. Информацию необходимо вводить в латинской раскладке.

    Достаточными являются следующие параметры:

    • Country Name (2 letter code) [AU] — страна регистрации организации. Для Российской Федерации — RU;
    • State or Province Name (full name) [Some-State] — область, регион регистрации организации. Для Москвы — Moscow;
    • Locality Name (eg, city) [] — город регистрации организации. Для Москвы — Moscow;
    • Organization Name (eg, company) [Internet Widgits Pty Ltd] — название организации. Для физ. лиц указывается «Private Person»;
    • Common Name (e.g. server FQDN or YOUR name) [] — доменное имя, для которого заказывается сертификат;
    • Email Address [] — email для связи с администратором. Допустимые значения:
      • admin@имя_домена;
      • administrator@имя_домена;
      • hostmaster@имя_домена;
      • postmaster@имя_домена;
      • webmaster@имя_домена.

    Необязательные параметры вы можете оставить пустыми, просто нажав Enter:

    Процесс генерации CSR и приватного ключа завершён.

  3. 3.

    Содержимое файла domain_name.csr отправьте в анкету (5 шаг в инструкции Как купить SSL-сертификат). После подтверждения данных вы получите готовый сертификат.

Важно

Сохраните в надежном месте файл private.key. Впоследствии он потребуется для установки сертификата на сервер. Никогда и никому не показывайте содержимое этого файла, иначе можете нарушить секретность информации, что может привести к неожиданным последствиям и санкциям со стороны сертифицирующей компании.

Повтор команды генерации не сделает точно такого же ключа — это будет другой ключ, и нужно будет снова генерировать для него CSR и переиздавать сертификат.

Защитите данные с помощью SSL

Защитите данные на вашем сайте от мошенников. Установите SSL-сертификат, чтобы сайт работал по HTTPS-протоколу.

Заказать SSL

Помогла ли вам статья?

Да

раз уже
помогла

Подготовка данных для заказа SSL

Создание электронного адреса
Генерация запроса на получение сертификата (CSR)
Генерация запроса на получение сертификата для Microsoft IIS

Создание электронного адреса

Перед заказом SSL-сертификата нужно создать адрес электронной почты для получения проверочного запроса от Удостоверяющего центра (УЦ). Адрес электронной почты должен принимать одно из следующих значений:

admin@[имя_домена]
administrator@[имя_домена]
hostmaster@[имя_домена]
postmaster@[имя_домена]
webmaster@[имя_домена]

Значение [имя_домена] — это домен, для которого заказывается сертификат. Оно также соответствует полю «Common Name» (CN), указанному в CSR, если запрос на получение сертификата вы генерируете самостоятельно на веб-сервере.

В случае, если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня. Например, при заказе сертификата для домена www.test.ru можно использовать любой из адресов: [email protected] или [email protected].

Генерация запроса CSR на получение сертификата (для OV и EV сертификатов)

CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR вы можете сгенерировать одним из способов:

1. В процессе заказа SSL-сертификата — CSR генерируется автоматически и сразу доступен для скачивания на компьютер.

2. Самостоятельно на стороне вашего веб-сервера. В этом случае вам нужно вручную заполнить информацию для выпуска сертификата.

При генерации CSR на стороне сервера необходимо заполнить латинскими символами следующие поля:

  1. Имя сервера (Common Name) — полностью определенное доменное имя, например, «www.nic.ru». Если Вы генерируете CSR для wildcard сертификата, то в поле CN должна быть указана запись вида *.domain.com. Символ звездочки (*) позволяет использовать сертификат для любого количества поддоменов одного уровня на неограниченном количестве серверов. При этом будут покрываться только поддомены того уровня, на котором стоит символ *.
  2. Название страны
    (Country Name) — двухбуквенный код страны, для РФ — «RU»
  3. Область (State or Province Name) — регион, например, «Moscow»
  4. Город или населенный пункт (Locality Name)
  5. Название организации или ФИО физического лица (Organization Name)

Рекомендации по заполнению полей при генерации CSR:

  1. При заказе сертификата Thawte SSL123 или Geotrust Rapid Wildcard в поле Organization Name могут быть указаны данные Администратора домена из сервиса Whois, либо другого лица или компании, для которых выпускается сертификат.
  2. При заказе других сертификатов в поле Organization Name необходимо указать название организации, на которую выпускается сертификат, без кавычек на латинице соответственно Свидетельству о регистрации юридического лица.

Генерация CSR на хостинге RU-CENTER
Генерация CSR для Apache

Генерация запроса на получение сертификата для Microsoft IIS

При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.

Генерация CSR для Microsoft IIS 5.x/6.x
Генерация CSR для Microsoft IIS 7.x
Генерация CSR для Microsoft IIS 8.0

CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.

Внимание: Если вы используете распределенную инфраструктуру физических серверов для своего сайта и используете веб-сервер Microsoft IIS, то при генерации CSR и закрытого ключа необходимо обязательно указать, что CSR и закрытый ключ должны быть экспортируемыми, иначе вы не сможете установить сертификат на несколько серверов, и сертификат необходимо будет перевыпустить.

Создание CSR | Создать запрос на подпись сертификата

Общие рекомендации по созданию CSR

Прежде чем вы сможете заказать SSL-сертификат, рекомендуется сгенерировать запрос на подпись сертификата (CSR) с вашего сервера или устройства. Узнайте больше о SSL-сертификатах »

CSR — это закодированный файл, который предоставляет вам стандартный способ отправки DigiCert вашего открытого ключа, а также некоторую информацию, идентифицирующую вашу компанию и доменное имя. При создании CSR большинство серверных программ запрашивает следующую информацию: обычное имя (например, www.example.com), название и местонахождение организации (страна, штат/провинция, город/населенный пункт), тип ключа (обычно RSA) и размер ключа (минимум 2048 бит).

Если вы не уверены в точном названии или местонахождении компании при создании CSR, не волнуйтесь; мы можем изменить и доработать эту информацию в процессе проверки перед выдачей сертификата.

После того, как ваш CSR будет создан, вам нужно будет скопировать и вставить его в форму онлайн-заказа, когда вы будете покупать сертификат SSL.

Онлайн-форма заказа сертификата »

Не знаете, какой SSL-сертификат вам нужен? »

Распространенные платформы и операционные системы

Microsoft IIS

Генератор CSR:

  • Создание CSR с помощью утилиты сертификатов DigiCert
Инструкции:

  • IIS 10
  • ИИС 8/8.5
  • ИИС 7
  • ИИС 5/6
  • ИИС 4
  • Импорт/экспорт PFX

Узнать больше:

  • SSL-сертификаты для IIS »
  • Утилита сертификатов DigiCert »

Microsoft Exchange Server

Генераторы CSR:

  • Создание CSR для Exchange 2007
  • Создание CSR с помощью утилиты сертификации DigiCert
Инструкции:

  • Exchange 2016
  • Обмен 2013
  • Обмен 2010
  • Обмен 2007
  • Импорт/экспорт PFX

Подробнее:

  • SSL-сертификаты для Exchange »
  • Утилита сертификации DigiCert »

Сервер Apache (OpenSSL)

Генератор CSR:

  • Создание CSR с помощью мастера OpenSSL CSR Wizard
Инструкции:

  • Сервер Apache
  • Сервер Ubuntu с Apache2
  • Импорт/экспорт PFX

Дополнительные сведения:

  • Краткое справочное руководство по OpenSSL »
  • SSL-сертификаты для Apache »

Сервер Tomcat (Keytool)

Генератор CSR:

  • Создание CSR с помощью мастера Java Keytool CSR Wizard
Инструкции:

  • Сервер Tomcat
  • Сервер на основе Java

Подробнее:

  • SSL-сертификаты для Tomcat »

Microsoft Lync

Генератор CSR:

  • Создание CSR с помощью утилиты сертификации DigiCert
Инструкции:

  • Lync 2013
  • Lync 2010

Подробнее:

  • Сертификаты SSL »
  • Утилита сертификации DigiCert »

Требуемая длина 2048-битного ключа

Чтобы оставаться в безопасности, SSL-сертификаты должны использовать ключи длиной 2048 бит или больше. Подробнее »
Не удается сгенерировать CSR с 2048-битным ключом на вашей серверной платформе? Пожалуйста свяжитесь с нами.

Хотите знать, какая информация необходима для вашей CSR?

  1. Common Name (полное доменное имя [FQDN], которое будет защищать ваш сертификат)
  2. Страна (двузначный код)
  3. Штат или населенный пункт (полные названия, например, Калифорния или Барселона)
  4. Название организации (полное юридическое лицо или имя, зарегистрированное в вашем регионе)
  5. Организационная единица (отдел в вашей организации, для которого сертификат предназначен [например, ИТ или маркетинг])

Создание CSR для универсального сертификата?

При создании CSR для Wildcard-сертификата общее имя должно начинаться со звездочки (*) (например, *.example.com). Подстановочный знак (*) может принимать любое имя, в котором нет точки.

Все инструкции по созданию CSR по платформам/ОС

  • Сервер приложений 2X
  • Беспроводная сеть 3Com
  • Adobe Connect
  • АЕР Нетилла
  • Альфа Пять
  • Апач (OpenSSL)
  • АМС (OpenSSL)
  • AWS (утилита)
  • Спам и вирус Barracuda
  • Барракуда SSL VPN
  • FTP-сервер Цербера
  • Контрольная точка VPN
  • Сиско АСА
  • Мобильность Cisco
  • Шлюз доступа Citrix
  • Основы Citrix Access
  • Citrix NetScaler VPX
  • Кобальт RaQ3x/4x/XTR
  • Полный FTP
  • Курьер IMAP
  • cPanel
  • Панель управления Ensim
  • F5 БОЛЬШОЙ IP
  • F5 FirePass
  • Сервер FileZilla
  • Сервер приложений Google
  • Веб-сервер Hsphere
  • IBM Bluemix (OpenSSL)
  • IBM Bluemix (утилита)
  • HTTP-сервер IBM
  • IBM Watson IoT (OpenSSL)
  • IBM Watson IoT (утилита)
  • iPlanet
  • Веб-серверы Java (универсальные)
  • Lighttpd
  • Лотус Домино Go 4. 6.2.6+
  • Лотус Домино 4.6x и 5.0x
  • Лотос Домино 8.5
  • Lync 2010
  • Lync 2013
  • Mac OS X Lion
  • Mac OS X Mavericks
  • Mac OS X Yosemite
  • Mac OS X Эль-Капитан
  • Microsoft AD LDAP (2008)
  • Microsoft AD LDAP (2012)
  • Microsoft AD ФС
  • Microsoft Exchange 2007
  • Microsoft Exchange 2010
  • Microsoft Exchange 2013
  • Microsoft Exchange 2016
  • Microsoft Exchange 2016 (утилита)
  • Microsoft Forefront TMG
  • Microsoft IIS 4.x
  • Microsoft IIS 5.x/6.x
  • Microsoft IIS 7
  • Microsoft IIS 8
  • Microsoft IIS 10
  • Microsoft OCS 2007
  • Microsoft Office 365
  • Веб-доступ Microsoft Outlook
  • Microsoft SharePoint 2010
  • Microsoft SharePoint 2013
  • Nginx
  • NetScreen
  • Novell ConsoleOne
  • Novell I-Chain
  • Oracle Wallet Manager
  • Parse. com
  • Сервер Plesk
  • Qmail
  • Radware Альтеон
  • Малый бизнес-сервер 2011
  • Малый бизнес-сервер 2008
  • SonicWALL АНБ
  • SonicWALL SSL VPN
  • Веб-сервер Sun Java
  • SurgeMail
  • Сервер Tomcat (Keytool)
  • Сервер Tomcat (утилита)
  • Ubuntu с Apache2 (OpenSSL)
  • WebLogic 8 — 12.x
  • Weblogic (предыдущие версии)
  • Вебмин
  • Веб-сайт Pro
  • Вебсфера
  • ВебСТАР
  • БХМ
  • Облачные службы Windows Azure
  • Веб-сайт Windows Azure
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2008
  • Балансировщик нагрузки Zeus
  • Веб-сервер Zeus
  • Зимбра
  • Zyxel Zywall

Получите необходимую поддержку, когда она вам нужна

У DigiCert есть отмеченная наградами собственная команда технической поддержки, которая готова помочь вам с любыми проблемами с цифровыми сертификатами, которые у вас есть. Наше стремление к беспрецедентной поддержке клиентов отражено в многочисленных наградах за услуги, которые мы получили.


Профессиональная поддержка доступна в любое время!

Мы стараемся поддерживать нашу онлайн-документацию как можно более актуальной. Однако, если у вас есть конкретная статья или платформа, для которой вы хотели бы увидеть документацию, напишите нам.

Бесплатный номер службы поддержки: 1-800-896-7973 (США и Канада)
Прямая служба поддержки: 1-801-701-9600
Бесплатный факс: 1-866-842-0223 (США и Канада)
Электронная почта: [email protected] 9 0185

    Отличие DigiCert
  • Клиенты DigiCert
  • Отзывы клиентов
    Учебники по SSL-сертификатам
  • Настройка SSL-сертификата
  • Инструмент проверки SSL-сертификатов
  • Настройка SSL
  • Создать CSR
    Типы сертификатов
  • Многодоменный
  • Расширенная проверка
  • Инфраструктура открытых ключей PKI
  • Центр сертификации

Инструмент OpenSSL CSR — создавайте CSR быстрее

Наш мастер OpenSSL CSR Wizard — это самый быстрый способ создать CSR для Apache (или любой другой платформы) с помощью OpenSSL.
Заполните данные, нажмите Сгенерируйте , затем вставьте настроенную команду OpenSSL CSR в свой терминал.

Примечание: После 2015 года сертификаты для внутренних имен больше не будут доверенными.

Сведения о сертификате

90 484 Город:
Общее название:
Тема Альтернатива
Имя(а):
Организация:
Отделение:
Штат/провинция:
Страна:
Размер ключа: RSA 2048 (рекомендуется)RSA 4096P-256 (эллиптическая кривая)

Информация Сделать CSR легко!

Похоже, в вашем браузере отключен JavaScript. Если вы включите JavaScript, эта панель будет отображать полезную информацию при переходе от поля к полю.

Обычное имя (имя сервера)

Полное доменное имя, которое клиенты будут использовать для доступа к вашему серверу.

Например, для защиты https://www.example.com ваше обычное имя должно быть www.example.com
или *.example.com для универсального сертификата.

Хотя это встречается реже, вы также можете ввести общедоступный IP-адрес
вашего сервера.

Отдел (опционально) *

Эта информация не является обязательной. Вы можете оставить это поле пустым.

Для частных сертификатов TLS/SSL это отдел вашей организации, который должен отображаться в сертификате. Он будет указан в теме сертификата как «Организационная единица» или «ou».

*Примечание: отраслевые правила больше не позволяют центрам сертификации (ЦС) включать отдел (организационную единицу) в общедоступные сертификаты TLS/SSL. См. статью нашей базы знаний: В DigiCert будет объявлено устаревшим поле Organizational Unit .

Город

Город, в котором зарегистрирована ваша организация.

Штат или провинция

Штат или провинция, где официально находится ваша организация.

Страна

Мы определили вашу страну на основе вашего IP-адреса, но если мы ошиблись, выберите правильную страну. Если вашей страны нет в этом списке, возможно, мы не сможем выдавать сертификаты организациям в вашей стране.

Название организации

Точное юридическое название вашей организации (например, DigiCert, Inc. )

Если у вас нет официально зарегистрированного названия организации, вы должны ввести здесь свое полное имя.

Ключ

Ключи RSA меньше 2048 считаются небезопасными.

Теперь просто скопируйте и вставьте эту команду в сеанс терминала на вашем сервере. Ваш CSR будет записан в ###FILE###.csr.

После того как вы создали запрос на подпись сертификата (CSR) и заказали сертификат, вам все равно необходимо установить сертификат SSL на свой сервер.
Инструкции по установке SSL-сертификатов см. в разделе Инструкции и учебные пособия по установке SSL-сертификатов.

Куда вставить эту команду?

Вы можете запустить эту команду везде, где у вас есть OpenSSL — скорее всего, на вашем сервере, но вы также можете запустить ее на своем компьютере, поскольку в большинстве дистрибутивов Linux OpenSSL установлен по умолчанию. Просто убедитесь, что вы отслеживаете свой файл закрытого ключа после создания CSR; вам понадобится этот закрытый ключ для установки вашего сертификата.

Что происходит, когда я запускаю эту команду?

OpenSSL создает как ваш закрытый ключ, так и запрос на подпись сертификата и сохраняет их в двух файлах: your_common_name.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *