Разное

Запрос на сертификат ssl: Как сгенерировать запрос на SSL-сертификат для ОС Windows

31.01.2023

Подготовка данных для заказа SSL

Создание электронного адреса
Генерация запроса на получение сертификата (CSR)
Генерация запроса на получение сертификата для Microsoft IIS

Создание электронного адреса

Перед заказом SSL-сертификата нужно создать адрес электронной почты для получения проверочного запроса от Удостоверяющего центра (УЦ). Адрес электронной почты должен принимать одно из следующих значений:

admin@[имя_домена]
administrator@[имя_домена]
hostmaster@[имя_домена]
postmaster@[имя_домена]
webmaster@[имя_домена]

Значение [имя_домена] — это домен, для которого заказывается сертификат. Оно также соответствует полю «Common Name» (CN), указанному в CSR, если запрос на получение сертификата вы генерируете самостоятельно на веб-сервере.

В случае, если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня. Например, при заказе сертификата для домена www.test. ru можно использовать любой из адресов: [email protected] или [email protected].

Генерация запроса CSR на получение сертификата (для OV и EV сертификатов)

CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR вы можете сгенерировать одним из способов:

1. В процессе заказа SSL-сертификата — CSR генерируется автоматически и сразу доступен для скачивания на компьютер.

2. Самостоятельно на стороне вашего веб-сервера. В этом случае вам нужно вручную заполнить информацию для выпуска сертификата.

При генерации CSR на стороне сервера необходимо заполнить латинскими символами следующие поля:

  1. Имя сервера (Common Name) — полностью определенное доменное имя, например, «www.nic.ru». Если Вы генерируете CSR для wildcard сертификата, то в поле CN должна быть указана запись вида *.domain.com. Символ звездочки (*) позволяет использовать сертификат для любого количества поддоменов одного уровня на неограниченном количестве серверов.
    При этом будут покрываться только поддомены того уровня, на котором стоит символ *.
  2. Название страны (Country Name) — двухбуквенный код страны, для РФ — «RU»
  3. Область (State or Province Name) — регион, например, «Moscow»
  4. Город или населенный пункт (Locality Name)
  5. Название организации или ФИО физического лица (Organization Name)

Рекомендации по заполнению полей при генерации CSR:

  1. При заказе сертификата Thawte SSL123 или Geotrust Rapid Wildcard в поле Organization Name могут быть указаны данные Администратора домена из сервиса Whois, либо другого лица или компании, для которых выпускается сертификат.
  2. При заказе других сертификатов в поле Organization Name необходимо указать название организации, на которую выпускается сертификат, без кавычек на латинице соответственно Свидетельству о регистрации юридического лица.

Генерация CSR на хостинге RU-CENTER
Генерация CSR для Apache

Генерация запроса на получение сертификата для Microsoft IIS

При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.

Генерация CSR для Microsoft IIS 5.x/6.x
Генерация CSR для Microsoft IIS 7.x
Генерация CSR для Microsoft IIS 8.0

CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.

Внимание: Если вы используете распределенную инфраструктуру физических серверов для своего сайта и используете веб-сервер Microsoft IIS, то при генерации CSR и закрытого ключа необходимо обязательно указать, что CSR и закрытый ключ должны быть экспортируемыми, иначе вы не сможете установить сертификат на несколько серверов, и сертификат необходимо будет перевыпустить.

Что такое CSR и как его создать

CSR (Certificate Signing Request) — это зашифрованный запрос на выпуск сертификата, содержащий подробную информацию о домене и организации. Генерация CSR является необходимой процедурой подготовки к получению SSL-сертификата. Сгенерированный CSR включается в анкету на получение сертификата.

Как сгенерировать CSR

CSR можно сгенерировать двумя способами — автоматически и самостоятельно.

Сгенерировать CSR автоматически можно при заказе сертификата или через форму автоматической генерации. Если вы хотите генерировать CSR самостоятельно, подключитесь к терминалу по SSH по одной из инструкций:

  • Как подключиться к хостингу по SSH
  • Подключение к серверу VPS по SSH

После подключения по SSH к хостингу или серверу следуйте инструкции ниже. Она актуальна для Linux-подобных операционных систем (Ubuntu, CentOS, Debian):

  1. 1.

    Сгенерируйте приватный ключ при помощи команды:

    openssl genrsa -out private.key 4096

    Где:

    • private.key — выходной файл, который будет содержать ключ;
    • 1024 (4096) — размер ключа. Для «SGC Certificate» он должен быть равен 1024, для остальных 4096.
  2. 2.

    Сгенерируйте CSR. Используйте алгоритм шифрования SHA-2:

    openssl req -new -key private.key -out domain_name.csr -sha256

    Где:

    • private.key — созданный на предыдущем этапе секретный ключ;
    • domain_name.csr
       — генерируемый файл, который будет содержать CSR.

    Для успешной генерации CSR система запросит вас ввести данные об организации, для которой заказывается сертификат. Информацию необходимо вводить в латинской раскладке. Достаточными являются следующие параметры:

    • Country Name (2 letter code) [AU] — страна регистрации организации. Для Российской Федерации — RU;
    • State or Province Name (full name) [Some-State] — область, регион регистрации организации. Для Москвы — Moscow;
    • Locality Name (eg, city) [] — город регистрации организации. Для Москвы — Moscow;
    • Organization Name (eg, company) [Internet Widgits Pty Ltd] — название организации.
      Для физ. лиц указывается «Private Person»;
    • Common Name (e.g. server FQDN or YOUR name) [] — доменное имя, для которого заказывается сертификат;
    • Email Address [] — email для связи с администратором. Допустимые значения:
      • admin@имя_домена;
      • administrator@имя_домена;
      • hostmaster@имя_домена;
      • postmaster@имя_домена;
      • webmaster@имя_домена.

    Необязательные параметры вы можете оставить пустыми, просто нажав Enter:

    Процесс генерации CSR и приватного ключа завершён.

  3. 3.

    Содержимое файла domain_name.csr отправьте в анкету (5 шаг в инструкции Как купить SSL-сертификат). После подтверждения данных вы получите готовый сертификат.

Важно

Сохраните в надежном месте файл private.key. Впоследствии он потребуется для установки сертификата на сервер. Никогда и никому не показывайте содержимое этого файла, иначе можете нарушить секретность информации, что может привести к неожиданным последствиям и санкциям со стороны сертифицирующей компании.

Повтор команды генерации не сделает точно такого же ключа — это будет другой ключ, и нужно будет снова генерировать для него CSR и переиздавать сертификат.

Защитите данные с помощью SSL

Защитите данные на вашем сайте от мошенников. Установите SSL-сертификат, чтобы сайт работал по HTTPS-протоколу.

Заказать SSL

Помогла ли вам статья?

Да

5 раз уже помогла

Инструмент OpenSSL CSR — создавайте CSR быстрее

Наш мастер OpenSSL CSR Wizard — это самый быстрый способ создать CSR для Apache (или любой другой платформы) с помощью OpenSSL.
Заполните данные, нажмите

Generate , затем вставьте настроенную команду OpenSSL CSR в свой терминал.

Примечание: После 2015 года сертификаты для внутренних имен больше не будут доверенными.

Сведения о сертификате

Common Name:
Subject Alternative
Name(s):
Organization:
Department:
City:
State / Province:
Страна:
Размер ключа: RSA 2048 (рекомендуется)RSA 4096P-256 (эллиптическая кривая)

Информация

Сделать CSR легко!

Похоже, в вашем браузере отключен JavaScript. Если вы включите JavaScript, эта панель будет отображать полезную информацию при переходе от поля к полю.

Обычное имя (имя сервера)

Полное доменное имя, которое клиенты будут использовать для доступа к вашему серверу.

Например, для защиты https://www.example.com ваше общее имя должно быть www.example.com
или *.example.com для группового сертификата.

Хотя это встречается реже, вы также можете ввести общедоступный IP-адрес
вашего сервера.

Отдел (опционально) *

Эта информация не требуется. Вы можете оставить это поле пустым.

Для частных сертификатов TLS/SSL это отдел вашей организации, который должен отображаться в сертификате. Он будет указан в теме сертификата как «Организационная единица» или «ou».

*Примечание: отраслевые правила больше не позволяют центрам сертификации (ЦС) включать отдел (организационную единицу) в общедоступные сертификаты TLS/SSL. См. нашу статью базы знаний: DigiCert прекратит поддержку поля «Организационная единица» .

Город

Город, в котором зарегистрирована ваша организация.

Штат или провинция

Штат или провинция, где официально находится ваша организация.

Страна

Мы определили вашу страну на основе вашего IP-адреса, но если мы ошиблись, выберите правильную страну. Если вашей страны нет в этом списке, возможно, мы не сможем выдавать сертификаты организациям в вашей стране.

Название организации

Точное юридическое название вашей организации (например, DigiCert, Inc. )

Если у вас нет официально зарегистрированного названия организации, вы должны ввести здесь свое полное имя.

Ключ

Размер ключа RSA менее 2048 считается небезопасным.

Теперь просто скопируйте и вставьте эту команду в сеанс терминала на вашем сервере. Ваш CSR будет записан в ###FILE###.csr.

После того, как вы создали запрос на подпись сертификата (CSR) и заказали сертификат, вам все равно необходимо установить сертификат SSL на свой сервер.
Инструкции по установке SSL-сертификатов см. в разделе Инструкции и учебные пособия по установке SSL-сертификатов.

Куда вставить эту команду?

Вы можете запустить эту команду везде, где у вас есть OpenSSL — скорее всего, на вашем сервере, но вы также можете запустить ее на своем компьютере, поскольку в большинстве дистрибутивов Linux OpenSSL установлен по умолчанию. Просто убедитесь, что вы отслеживаете свой файл закрытого ключа после создания CSR; вам понадобится этот закрытый ключ для установки вашего сертификата.

Что происходит, когда я запускаю эту команду?

OpenSSL создает как ваш закрытый ключ, так и запрос на подпись сертификата и сохраняет их в двух файлах: your_common_name.key и your_common_name.csr. Затем вы можете скопировать содержимое файла CSR и вставить его в текстовое поле CSR в нашей форме заказа.

Какой сертификат мне купить?

Если вам нужен SSL-сертификат для Apache, лучшими вариантами являются стандартные сертификаты и сертификаты с подстановочными знаками.

DigiCert Wildcard может защитить все имена серверов в вашем домене (например, *.example.com, ).

Цена за год
2 года 625 долларов в год (1250 долларов США) (Вы экономите 10%) Купить сейчас
1 год $658 Купить сейчас

Стандартные сертификаты способны защитить одно имя сервера (например, mail. example.com ). Если вам нужен SSL только для одного имени хоста, стандартный сертификат будет работать идеально.

Цена за год
2 года 188 долларов в год (376 долларов США) (Вы экономите 10%) Купить сейчас
1 год $198 Купить сейчас
Что делать, если мне нужны альтернативные имена субъектов?

Многодоменные сертификаты (SAN) позволяют назначать несколько имен хостов, известных как альтернативные имена субъекта или SAN, в одном сертификате.

Использование OpenSSL для добавления альтернативных имен субъектов в CSR — сложная задача. Наш совет — пропустить хлопоты, использовать наиболее важное имя сервера в качестве общего имени в CSR, а затем указать другие имена в процессе заказа. Наш процесс заказа многодоменного сертификата (SAN) позволяет вам указать все нужные вам имена, не заставляя вас включать их в CSR.

Вы также можете использовать OpenSSL для создания запроса сертификата для вашего сертификата подписи кода.
Si Desea information en español Hacer un CSR Utilizando OpenSSL.

Связанные:
Ссылки по теме
  • Создание Apache CSR
  • Установка Apache SSL
Сертификаты SSL
  • Обзор продукта
  • Многодоменный
  • Стандартный SSL
  • Стандартный SSL, сравнение
  • Подстановочный знак SSL
  • Сравнение подстановочных SSL-сертификатов
Поддержка SSL
  • Определено SSL
  • Уровень защищенных сокетов
  • Apache SSL
  • Создать обмен CSR
  • Учебное пособие по SSL
  • Запрос на подпись сертификата

Создание CSR :: Утилита DigiCert Microsoft Server

Ищете простой способ создать CSR, который работает на любой серверной платформе Microsoft? Затем используйте утилиту сертификатов DigiCert для Windows 9. 0305 © . Дополнительные сведения об утилите сертификатов DigiCert см. в разделе Утилита сертификатов DigiCert для Windows.

Чтобы создать CSR с помощью утилиты DigiCert, выполните следующие действия.

Как создать CSR для серверов Microsoft с помощью утилиты сертификатов DigiCert

  1. На сервере Windows загрузите и сохраните исполняемый файл DigiCert Certificate Utility для Windows ( DigiCertUtil.exe ).

  2. Запустите утилиту сертификатов DigiCert для Windows (дважды щелкните DigiCertUtil ).

  3. В программе DigiCert Certificate Utility для Windows © щелкните SSL (золотой замок), а затем щелкните Создать CSR .

  4. На странице Create CSR укажите следующую информацию ниже и нажмите Создать .

    Тип сертификата: Выберите SSL .
    Общее наименование: Введите полное доменное имя (FQDN) (например, www. example.com ).
    Альтернативные имена субъекта: Если вы запрашиваете многодоменный сертификат (SAN), введите любые SAN, которые вы хотите включить
    (например, www.example.com, www.example2.com и www.example3.net).
    Организация: Введите официально зарегистрированное название вашей компании (например, YourCompany, Inc. ).
    Отдел: (Необязательно) Если хотите, введите название своего отдела в организации или просто оставьте это поле пустым.
    Город: Введите город, в котором юридически зарегистрирована ваша компания.
    Состояние: Используйте раскрывающийся список, чтобы выбрать штат, в котором ваша компания находится на законных основаниях.
    Примечание: Если ваша компания находится за пределами США, вы можете ввести соответствующее название в поле.
    Страна: Используйте раскрывающийся список, чтобы выбрать страну, в которой ваша компания находится на законных основаниях.
    Размер ключа: В раскрывающемся списке выберите 2048 (если у вас нет особых причин для использования большей длины в битах).

  5. На странице DigiCert Certificate Utility для Windows © — Создать CSR выполните одно из следующих действий, а затем щелкните Close :

    Нажмите Копировать CSR . Копирует содержимое сертификата в буфер обмена. Используйте этот вариант, если вы готовы вставить CSR в форму заказа DigiCert.
    Примечание: Поскольку утилита сертификатов DigiCert не хранит CSR, при использовании этого параметра рекомендуется вставить CSR в текстовый редактор (например, Блокнот). Если вы закроете страницу CSR и случайно перезапишете содержимое буфера обмена, не сделав этого, вам потребуется создать новый CSR.
    Нажмите Сохранить в файл . Сохраняет CSR в виде файла .txt на Windows Server 2012.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    © Орфографика.рф, 2010 - 2019
    Расшифровки, размещенные на сайте, предназначены только для личного, некоммерческого использования.
    При перепосте материалов обязательна активная ссылка: «Текст подготовлен компанией Орфографика.рф».
    Вопросы и предложения: info@орфографика.рф.