Разное

Запрос ssl сертификата: Что такое CSR? Сгенерировать CSR запрос SSL

16.01.2019

Содержание

Что такое CSR? Сгенерировать CSR запрос SSL

CSR (Certificate Signing Request) — запрос на получение сертификата. Это ничто иное как файл, который содержит в себе небольшой фрагмент зашифрованных данных о Вашем домене и компании, на который выдается сертификат. Также в этом файле хранится Ваш открытый ключ (open key). 

Попробуйте наш CSR ГЕНЕРАТОР

Уже сгенерировали CSR? ПРОВЕРЬТЕ CSR НА ПРАВИЛЬНОСТЬ!

Необходимо уточнить, что при выборе некоторых продуктов, клиентам пользующимся виртуальным хостингом необходимо приобрести выделенный IP-адрес. Все зависит от вашего хостинг-провайдера.

Зачем нужен выделенный IP- адрес для SSL сертификатов?

Для того, чтобы защитить Ваш вебсайт, браузер устанавливает защищенное соединение по протоколу https с Web-сервером. Только после установки защищенного соединения браузер может запросить страницу сайта по протоколу http. Для того, чтобы при запросе к сайту выдавался правильный SSL сертификат (принадлежащий запрашиваемому домену), этот сайт должен либо обслуживаться на отдельном IP-адресе, либо на отдельном порту сервера. Ваш хостинг провайдер может не предоставлять возможности работы с SSL-сертификатами с помощью настроек отдельных портов, а только на основе выделенного IP-адреса. Мы просим вас уточнить это у вашего хостинг-провайдера, особенно если в панели управления вашего хостинга настройки SSL не активны, это может быть причиной.

Генерация CSR полностью зависит от программного обеспечения, используемого на вашем сервере и в основном производится с помощью специальных настроек в административной панели вашего хостинга. Если ваш хостинг не предоставляет такой возможности, вы можете воспользоваться онлайн сервисами для генерации CSR запроса (например, утилита OpenSSL) или выяснить у вашего хостинг-провайдера как это сделать. Во время генерации вы получаете как сам запрос так и закрытый ключ. Не забудьте сделать резервную копию обоих ключей!

Пример сгенерированного CSR кода: 

В большинстве случаев для генерации CSR Вам понадобится предоставить следующую информацию:
  • Имя сервера (Common Name) — полное имя Вашего домена, например www.emaro-ssl.ru;
  • Страна (Country Name) — буквенное обозначение страны, в которой зарегистрирован Ваш домен, например RU, UA, GB. Для других стран Вы можете воспользоваться списком кодов стран;
  • Область (State or Province Name) — регион или область без сокращения, например, Moscow; 
  • Населенный пункт (Locality Name) — город или поселок без сокращения, например, Moscow;
  • Полное название организации или ФИО физического лица (Organization Name) — полное название Вашей компании латиницей, например, CJSC EMARO.
  • Если Вы заказываете SSL сертификат с проверкой компании (OV) или с расширенной проверкой (EV), название компании должно соответствовать  названию, указанному как в Cвидетельстве о регистрации юридического лица, так и в данных сервиса Whois;
  • Отдел (Organizational Unit Name) — ответственный отдел, например IT. 

Инструкции по генерации CSR для платформ:

Microsoft IIS 5x/6x
Microsoft IIS 7
OpenSSL (для Apache, ModSSL, Nginx)
Plesk 7 и 8

Все этапы заказа на SSL сертификат Вы можете увидеть у нас!

Заказ SSL сертификата – достаточно простой процесс, хотя может показаться, что шагов слишком много. Мы постараемся подробно описать каждый из них. Тем не менее, если у вас возникнут какие-либо вопросы, вы всегда можете обратиться за помощью в нашу поддержку.

Порядок получения SSL сертификата зависит от его типа, и, соответственно, от характера данных, которые необходимо предоставить для проверки центром сертификации. SSL сертификат может подтверждать:

  • только домен (простые SSL сертификаты)
  • домен и компанию, для которой вы желаете заказать SSL сертификат (с проверкой компании и с расширенной проверкой). 

Поэтому процедура оформления разных типов SSL сертификатов будет немного отличаться. Мы выделили 6 общих этапов оформления SSL сертификата. Ниже детальные описание каждого из них.

1. Выберите SSL сертификат и срок его действия

Первым делом вам следует определиться, какой тип сертификата вам нужен. Выбрать сертификат можно несколькими способами, мы предлагаем воспользоваться удобным фильтром на странице «Купить SSL сертификат»: 

 

либо в пунктах меню 

  • «Продукты» — сертификаты разделены по типу и способу проверки;
  • «Бренды» — удобно, если вы уже знаете продукт какого центра сертификации вам нужен;
  • подробное описание всех видов SSL сертификатов вы найдете по ссылке. 

 

Перейдя на страницы со списками продуктов, вы сможете сравнить их характеристики и выбрать наиболее подходящий:

 

Здесь следует обратить внимание на то, что возможность заказа того или иного типа SSL сертификата зависит от правового статуса будущего владельца сертификата:

Срок действия SSL сертификата: обратите внимание, что если вы оформляете заказ SSL сертификата сразу на несколько лет, вы получаете сразу несколько преимуществ:

  • SSL сертификат обойдется вам дешевле;
  • вам не придется тратить время на перевыпуск сертификата (оформление заказа, валидацию и установку на сервере) через год.

 

Если, Вы определились с типом и сроком действия сертификата, предлагаем перейти к оформлению заказа.

2. Оформите заказ SSL сертификата

Для создания заказа вам следует зарегистрироваться на сайте или авторизоваться, если вы уже регистрировались ранее.

После регистрации вы получите доступ к разделу Личный кабинет, где вы сможете управлять своими заказами и следить за их выполнением.

 

Нажав кнопку «Оформить заказ»:

 

Вам необходимо заполнить регистрационные данные:


После регистрации или входа в учетную запись, вы попадаете на страницу оформления заказа, где следует ввести информацию о себе и/или компании, которую вы представляете:


После этого ваш заказ SSL сертификата будет сформирован, и вы сможете перейти к дальнейшим действиям. 

3. Оплата SSL сертификата

Вы можете произвести оплату сертификата несколькими способами, запросив счет на опату у нашей бухгалтерии, для этого просим сделать запрос на почту [email protected], либо перейдя по ссылке «Оплатить заказ» со страницы подтверждения заказа:

 

Если вы оформляете SSL сертификат как Физическое лицо, вам следует оплатить заказ, чтобы появилась ссылка для введения технических данных.

Юридические лица, выбравшие оплату по банковскому переводу, могут продолжить заказ без предоплаты, так как банковский перевод занимает время, и мы не хотим заставлять вас ждать. Вместе с подтверждением заказа в новой вкладке откроется счет на оплату:

 

Также счет можно загрузить в личном кабинете, перейдя по ссылке «Оплатить» напротив заказа.

Перечень всех способов оплаты можно найти здесь.

Если у вас возникли какие-либо вопросы или проблемы с проведением оплаты, обратитесь в нашу службу поддержки.

4. Заполните форму на выдачу SSL сертификата

Далее можно переходить к следующему шагу заказа – введение технических данных для получения SSL сертификата. Для этого вы можете воспользоваться ссылкой «Продолжить» напротив каждого заказа в разделе «Личный кабинет».

В случае, если вы заказали бесплатный тестовый сертификат на 90 дней, или же оформили заказ SSL сертификата от имени юридического лица, сразу после регистрации заказа вам будет предоставлена ссылка на форму для заполнения технических данных.

Вам следует заполнить форму, предоставив необходимую информацию:

Запрос так же можно сформировать и на Вашем сервере. Если у вас уже есть CSR запрос, вы можете проверить его на правильность.


Вы также можете сгенерировать запрос сразу при введении технических данных, поставив галочку напротив соответствующего поля. В этом случае вам нужно будет ввести данные в формуляре на нашем сайте.

 

 
  • контактные данные технически ответственного лица,
  • доменное имя (FQDN) или субдомен, для которых вы планируете использовать ваш SSL сертификат. Обратите внимание, что с 2014 года прекращена выдача SSL сертификатов для IP-адресов и локальных доменов в связи с их ненадежностью.
  • данные об организации при выдаче сертификата с валидацией компании, 
  • ввести административный электронный адрес для валидации домена (расположенный на указанном домене). Для сертификатов Sectigo (Comodo) вы также можете выбать альтернативные методы валидации по http/https.
    Для сертификатов Geotrust, Thawte, Symantec необходимо запрошивать в ручном режиме альтернативные методы валидации домена.

 

Эти данные пересылаются в соответствующий центр сертификации для дальнейшей обработки. Вам же следует скачать и сохранить приватный ключ, который показывается в конце заполнения формуляра в том случае, если вы сгенерировали CSR запрос на нашем сайте:

 

5. Пройдите валидацию SSL сертификата

Прохождение проверки зависит от того, какой тип сертификата вы выбрали. В случае email валидации, Вам придет письмо на административный адрес, который Вы выберете из предложенного списка.


Получение SSL сертификата с проверкой домена (DV)

Это сертификат начального уровня, подтверждающий только домен, на который он выписывается, именно поэтому его получение происходит в упрощённой форме и в короткие сроки. Предоставление каких-либо документов не требуется, вам необходимо всего лишь выбрать административный электронный адрес для подтверждения вашего права доступа к домену.

Валидация производится по e-mail: центр сертификации отправит письмо на указанный вами административный электронный адрес на вашем домене, поэтому важно указать правильный актуальный е-мейл.

SSL сертификат с валидацией домена выдается как юридическим, так и физическим лицам.

Время выдачи: в течение 2-10 минут

Получение SSL сертификата с подтверждением домена и организации (OV)

SSL сертификат с проверкой компании (Organization Validation SSL) — это цифровой сертификат бизнес уровня, подтверждающий домен и компанию, которой он принадлежит. Чтобы получить такой SSL сертификат вам необходимо:

  • Пройти валидацию по email, http(s) или dns cname
  • Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН).
    Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
  • Пройти валидацию по телефону (описание ниже)

Валидация производится по телефону: к вам в компанию последует телефонный звонок, необходимо будет подтвердить название организации и доменного имени.

SSL сертификат с проверкой компании (OV) выдается только юридическим лицам и ИП.

Период выдачи: от 2 до 5 дней.

Получение SSL сертификата с расширенной проверкой (EV)

На сегодняшний день самыми надежными сертификатами бизнес уровня являются SSL сертификаты расширенной проверки EV (Extended Validation SSL Certificate). Данный тип SSL сертификатов, помимо подтверждения доменного имени, содержит более подробную информацию об организации, на которую он был выписан, а также окрашивает адресную строку браузера пользователя в зеленый цвет и выводит в нее название вашей компании.

Для получения EV SSL сертификата необходимо:

  • Пройти валидацию по email, http(s) или dns cname
  • Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН). 
    Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
  • Пройти валидацию по телефону (см. описание ниже). 

EV SSL Сертификат выдается исключительно юридическим лицам.

Срок оформления: от 2 до 10 дней

Валидация по телефону для SSL сертификатов OV и EV

Для SSL сертификатов с проверкой компании или с расширенной проверкой, валидация производится по телефону. Для этого достаточно записи о компании в одном из общедоступных телефонных справочников (например 2gis.ru, list-org.com, ru.kompass.com). 

Для прохождения проверки по телефону есть три варианта:

  1. Предоставление номера DUNS: важно, чтобы данные указанные в записи на dnb.com были актуальными и соответствовали данным в выписке из ЕГРЮЛ. Создание записи в dnb платное. Более подробная информация по ссылке. 
  2. Письмо с подписью нотариуса: пример письма можно получить, обратившись в нашу поддержку.
  3. Добавление номера в доверенный телефонный справочник: необходимо обратиться к источнику с запросом добавления данных компании, включая номер телефона. 

Важно! Адрес и название компании, указанные в любом из этих источников, должны совпадать с данными в вашем заказе, выписке из ЕГРЮЛ и в телефонном справочнике.

На телефон, указанный в них, вам позвонят после назначения наиболее удобного времени.

Звонок производят на английском языке в случае центра сертификации Sectigo (Comodo), в остальных случаях русскоговорящие операторы.

6. Получите SSL сертификат

После успешного проведения валидации центр сертификации вышлет вам SSL сертификат. Кроме того, вы сможете скачать ваш SSL сертификат в личном кабинете. Вам останется только установить его на сервер.

Установка SSL сертификата полностью зависит от программного обеспечения, используемого на вашем веб-сервере. Чтобы установить SSL сертификат, рекомендуем воспользоваться нашими инструкциями по установке SSL.

Если вы приобрели и корректно установили SSL сертификат, в адресной строке появится символ – закрытый замочек, а URL адрес будет начинаться с расширения https://. Не забудьте поместить на ваш сайт печать доверия (Siteseal/TrustLogo) с подтверждением идентификации сайта сертификационным центром.

И главное: На любом этапе заказа вы можете обратиться к нам и мы с радостью вам поможем с дальнейшим оформлением!


Что такое CSR | Сгенерировать CSR файл для SSL-сертификата

Купить Корзина

ПодобратьWhois

Регистрация      Вход
  • Все услуги
    •  
    • Домены
      • Регистрация Зарегистрировать домен Перенос доменов в REG.RU Освобождающиеся домены Регистрация доменов списком Премиум-домены Освобождённые домены Новые доменные зоны REG.RU Энциклопедия доменных зон Географические домены Подбор по ключевому слову
      • Купить-продать Магазин доменов Доменный брокер Гарант сделки Бесплатный подбор домена Экспертная оценка домена Специальное Условия и цены для Партнёров Юридическое сопровождение Нотариальное заверениесайтаnew
      • Операции Продление регистрации Смена администратора Изменение данных Перенос доменов между аккаунтами Смена регистратора Договоры и письма Онлайн-операции с доменами
      • Мои домены
    • Конструктор и CMS
      • Конструкторы сайтов Конструктор сайтов REG.RU Конструктор лендингов Лицензии Купить Лицензию 1С-Битрикс Продлить Лицензию 1С-Битрикс
      • Сайты на CMS 1С-Битрикс Joomla WordPress
      • Сервисы Переадресация домена Парковочная страница
      • Мои услуги
    • Хостинг
      • Популярное Хостинг сайтов Конструктор сайтов REG.RU Бесплатная почта VIP-тарифы хостинга
      • Спецрешения Хостинг для 1C-Битрикс Хостинг для Joomla Хостинг для ASP.NET Хостинг для WordPress Хостинг для OpenCart Пакет Хостинг + Домен Сервер для бизнесаnew
      • Операции Продление Изменение владельца Договоры и письма Бесплатный перенос
      • Мои услуги

    • VPS
      • Обзор VPS Облачные VPS Облачные серверы Высокочастотные VPSnew Приложения ISPmanager LEMP Docker Снэпшоты VPS с администрированием
      • Классические VPS VPS на Linux VPS на Windows Спецрешения Jelastic PaaS Виртуальный дата-центр VMware Серверы для 1С
      • Операции Продление Изменение владельца Перенос услуг внутри REG.RU Договоры и письма
      • Мои услуги

    • Серверы и ДЦ
      • Популярное Dedicated-серверы Colocation Администрирование сервера Выделенные серверы для 1С Выделенные серверы с GPU
      • Облачная инфраструктура Обзор VPS Виртуальный дата-центр VMware
      • Операции Продление Изменение владельца Перенос услуг внутри REG.RU Договоры и письма
      • Услуги Сервер для бизнеса Дополнительные IP Бэкап сервера Мониторинг серверов
      • Мои услуги

    • SSL
      • Популярное Сравнение SSL-сертификатов О сертификатах SSL-сертификаты GlobalSign SSL-сертификаты Thawte SSL-сертификаты Comodo SSL-сертификаты TrustWave SSL-сертификаты Symantec SSL-сертификаты GeoTrust SSL-сертификаты Wildcard

предназначение, отличия и проверка – База знаний Timeweb Community

Когда мы используем интернет для поиска информации, покупки вещей или бронирования билетов на самолет, мы никогда не задумываемся о безопасности сайта и защите своих данных. Да и зачем это, если перед глазами популярный сервис, который давно себя зарекомендовал. 

Другое дело, когда спустя сотню запросов мы находим нужную вещь для покупки, но она расположена на сомнительном ресурсе. И тут уже возникает вопрос: «А не будет ли мне это стоить всего моего состояния?». Давайте разберемся, как уберечь себя от потери личных данных и проверить сайт на наличие SSL и TLS сертификатов. 

Сертификаты SSL и TLS: зачем они нужны

Продолжим разбор ситуации с покупкой чего-либо через интернет: представим себе, что мы собрались полететь на солнечное Бали из Москвы. Мы нашли сайт, который не представляет собой ничего подозрительного, и поэтому спокойно вводим на нем все необходимые данные и бронируем билеты на самолет.

В то время, когда на сайте совершается оплата за выбранные билеты, начинают срабатывать сертификаты защиты. Их еще называют SSL и TLS, но они представляют собой развитие одной технологии.

SSL расшифровывается как Secure Socket Layer, что означает «уровень защищенных сокетов». TLS же обозначается как Transport Layer Security, «безопасность транспортного уровня». По своей сути обе технологии занимаются одним делом – защитой пользовательской информации от злоумышленников. 

Их отличие состоит лишь только в том, что TLS основан на уже действующей спецификации SSL 3.0. А сам SSL уже давно устарел, разработчики редко его используют как единственную защиту. Чаще всего можно увидеть связку двух сертификатов SSL/TLS. Такая поддержка обеспечивает работу как с новыми, так и со старыми устройствами.

Использование такой защиты можно встретить в различных ситуациях: при передаче сообщений, отправке личных данных, транзакциях и т.д.

Специфика работы сертификатов SSL/TLS

Вернемся к ситуации с покупкой билетов на сайте. Как мы выяснили, при отправке личных данных начинают действовать сертификаты. Но что происходит, если защита не производится должным путем? 

Без подключения SSL/TLS контакт между пользователем и веб-сайтом происходит через канал HTTP. А это означает, что вся передаваемая информация находится в открытом виде: доступ к данным лежит на поверхности. То есть, когда происходит связь между пользователем и сайтом, например, при оплате билетов на самолет, вся информация, включая паспортные данные, может быть получена злоумышленником. Такое происходит, если на сайте не используются сертификаты защиты. 

При подключении SSL/TLS, пользователь устанавливает соединение с веб-сервером HTTPS, который защищает все конфиденциальные данные при передаче. Кроме того, срабатывает привязка криптографического ключа к передаваемой информации и выполняется шифровка данных, которую никто не сможет перехватить. 

SSL/TLS используют ассиметричное шифрование для аутентификации пользователя и симметричное для сохранения целостности личной информации. 

Как проверить сертификаты SSL/TLS

Мы рассмотрим 5 наиболее популярных онлайн-инструментов для обнаружения слабых мест веб-сайта. Что ж, давайте приступим.  

SeoLik

Начнем с отечественного онлайн-сервиса, который позиционирует себя как инструмент для проверки надежности сайта. Помимо основной задачи здесь также можно выполнить сканирование портов, узнать свой IP-адрес и произвести другие действия с сайтом. 

Проверяем наличие HTTPS соединения:

  1. Открываем в браузере сервис Seolik и вводим ссылку на необходимый сайт, затем кликаем по кнопке «Анализ». 
  2. В результате анализа рассматриваемого ресурса, перед нами отобразится вся необходимая информация: название сертификата, срок действия, серийный номер и другие атрибуты, которые могут быть полезны для разработчиков. 

Использование данного сервиса поможет проверить сайт всего за несколько минут и уберечь от потери личной информации. В данном случае мы можем быть спокойны, сертификат действителен еще 322 дня. 

SSL Shopper

По сравнению с предыдущим сервисом, данный инструмент не столь функционален и поддерживает только англоязычную версию. Давайте посмотрим, как он работает: 

  1. Переходим в онлайн-сервис и вводим ссылку, которую требуется проверить.
  2. После выполнения запроса мы видим, что сайт надежно защищен. 
  3. Если пролистать немного ниже, то можно посмотреть дополнительную информацию о сертификатах.  

Wormly Web Server Tester

Один из самых популярных инструментов для проверки сайтов, который помогает не только узнать о наличии SSL/TLS, но и дает возможность просмотреть данные о шифровании, различные протоколы и многое другое. Работает это следующим образом: 

  1. Открываем сайт и вводим в запрос «Web Server URL» нужную ссылку, затем кликаем по красной кнопке.
  2. Далее будет запущен глубокий анализ, который можно пропустить. Уже на первых этапах тестирования будет сообщено о безопасности ресурса в строке «Expires». 

Данный сервис позволяет просматривать шифры сертификатов, что может быть полезно для веб-разработчиков. 

Immuni Web

Это многофункциональный гигант, который анализирует поддержку протоколов, проверяет на совместимость PCI DSS и делает много всего, что недоступно в предыдущих инструментах. Конечно, здесь можно проверить и сайт на безопасность. 

  1. Переходим по ссылке и в строку запроса «Enter your website or mail server address here» вписываем адрес для проверки. Далее кликаем по кнопке запуска справа от строки. 
  2. Как только появятся результаты, перед нами отобразится новая страница. Пролистываем немного вниз и находим две строчки «Valid From» и «Valid To». Первая информирует о том, когда был выдан сертификат, вторая указывает на окончание срока действия.

При необходимости можно сохранить все результаты в формате PDF. Для этого следует кликнуть по кнопке «Download report». 

SSL Checker

Незаменимый инструмент для разработчиков. Особенностью данного сервиса является то, что в нем можно активировать уведомления, которые будут оповещать об истечении срока действия сертификата.

  1. Переходим по ссылке и вводим адрес. Справа от строки запроса кликаем по кнопке «Check».
  2. Перед нами отобразится вся нужная информация. Для того чтобы напомнить об истечении срока действия сертификата, достаточно кликнуть по кнопке «Remind me SSL is about to expire» и указать свою почту.

На этом моя статья подходит к концу. Теперь вы знаете, как можно проверить SSL и TLS сертификаты на сайте. Спасибо за внимание!

Про установку SSL-сертификатов вы можете почитать тут и тут.

Включение SSL для всех клиентов — Internet Information Services

  • Чтение занимает 5 мин

В этой статье

В этой статье описано, как включить протокол SSL для всех клиентов, взаимодействующих с вашим веб-сайтом в службах Microsoft Internet Information Services (IIS).

Исходная версия продукта:   Службы IIS
Исходный номер статьи базы знаний:   298805

Сводка

В этой статье рассматриваются следующие темы:

  • Как настроить и включить сертификаты сервера, чтобы клиенты могли быть уверены, что ваш веб-сайт действителен, а любая информация, которую они отправляют, остается конфиденциальной и конфиденциальной.
  • Использование сторонних сертификатов для поддержки протокола SSL (Secure Sockets Layer), а также общий обзор процесса, используемого для создания запроса подписи сертификата (CSR), который используется для получения сертификата стороннего производителя.
  • Включение подключения SSL для веб-сайта.
  • Использование протокола SSL для всех подключений и настройка требуемой длины шифрования между клиентами и веб-сайтом.

Вы можете использовать функции безопасности SSL веб-сервера для двух типов проверки подлинности. Вы можете использовать сертификат сервера , чтобы разрешить пользователям выполнять проверку подлинности веб-сайта, прежде чем передавать персональные данные, например номер кредитной карты. Кроме того, вы можете использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию на веб-сайте.

В этой статье предполагается, что для проверки подлинности на веб-сервере будет использоваться сторонний центр сертификации (CA).

Чтобы включить проверку сертификата сервера SSL и обеспечить уровень безопасности, требуемый клиентам, необходимо получить сертификат из стороннего центра сертификации. Сертификаты, выданные вашей организации сторонним центром сертификации, обычно привязаны к веб-серверу, а именно к веб-сайту, на котором вы хотите присоединить SSL. Вы можете создать свой собственный сертификат на сервере IIS, но если это сделать, клиенты должны явно доверять вас как центру сертификации.

Статья предполагает следующее:

  • Установлены службы IIS.
  • Вы создали и опубликовали веб-сайт, который вы хотите защитить с помощью протокола SSL.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоли управления IIS; Поэтому необходимо установить службы IIS, прежде чем можно будет создать CSR. Представитель по обслуживанию клиентов по сути является сертификатом, который создается на сервере, который проверяет сведения о сервере при запросе сертификата из стороннего центра сертификации. Представитель по обслуживанию клиентов — это просто зашифрованное текстовое сообщение, которое шифруется с помощью открытого и закрытого ключа.

Как правило, следующие сведения о компьютере включены в создаваемый представитель по обслуживанию клиентов:

  • Организация
  • Подразделение
  • Страна
  • State
  • Расположение
  • Общее имя

Примечание

Обычно общее имя состоит из имени ведущего компьютера и домена, к которому он относится, например XYZ.com. В этом случае компьютер является частью com-домена и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.

Создание CSR

  1. Доступ к консоли управления IIS (MMC). Для этого щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Управление. Откроется консоль управления компьютером. Разверните раздел службы и приложение . Откройте консоль IIS и разверните консоль IIS.

  2. Выберите конкретный веб-сайт, на котором необходимо установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите пункт Свойства.

  3. Перейдите на вкладку Безопасность каталога . В разделе безопасная связь выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.

  4. Выберите создать новый сертификат и нажмите кнопку Далее.

  5. Выберите подготовить запрос сейчас, чтобы отправить его позже, а затем нажмите кнопку Далее.

  6. В поле имя введите имя, которое вы можете запомнить. По умолчанию будет задано имя веб-сайта, для которого создается представитель по обслуживанию клиентов.

    Примечание

    При создании CSR необходимо указать длину в битах. Длина ключа шифрования определяет стойкость зашифрованного сертификата, отправляемого в сторонний центр сертификации. Чем выше длина, тем сильнее шифрование. Большинство сторонних центров сертификации предпочитают не менее 1024 бит.

  7. В разделе сведения об организации введите сведения об организации и подразделении. Это должно быть точным, так как вы представляете эти учетные данные для стороннего центра сертификации, и вам необходимо соблюдать условия их лицензирования. Нажмите кнопку Далее , чтобы открыть раздел Общее имя вашего сайта .

  8. Раздел » Общее имя» сайта отвечает за привязку сертификата к веб-сайту. В разделе SSL-сертификаты введите имя главного компьютера с именем домена. Для серверов интрасети вы можете использовать NetBIOS-имя компьютера, на котором размещается сайт. Нажмите кнопку Далее , чтобы получить доступ к сведениям о местоположении.

  9. Введите сведения о стране, штате, крае и стране или регионе. Полностью произношение штата, Республики и страны или региона; не используйте аббревиатуры. Нажмите кнопку Далее.

  10. Сохраните файл в формате txt.

  11. Подтвердите сведения о запросе. Нажмите кнопку Далее , чтобы завершить работу мастера сертификатов веб-сервера.

Запрос сертификата

Существует несколько способов отправки запроса. Обратитесь к поставщику сертификата, чтобы использовать этот метод, и Определите оптимальный уровень сертификата для ваших потребностей. В зависимости от выбранного метода отправки запроса в центр сертификации, вы можете отправить файл CSR из действия 10 в разделе Создание CSR или вставить в запрос содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитулы для содержимого. При запросе сертификата необходимо включить верхний и нижний колонтитулы. Ваш представитель по обслуживанию клиентов должен выглядеть следующим образом:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
Jb9/2RM=
-----END NEW CERTIFICATE REQUEST-----

Установка сертификата

После того как сторонний ЦС закончит запрос на сертификат сервера, вы получите его по электронной почте или на сайте для скачивания. Сертификат должен быть установлен на веб-сайте, на котором вы хотите обеспечить безопасное взаимодействие.

Чтобы установить сертификат, выполните указанные ниже действия.

  1. Скачайте или скопируйте сертификат, полученный из центра сертификации на веб-сервер.
  2. Откройте консоль управления (MMC) IIS, как описано в разделе Создание отдела CSR .
  3. Доступ к диалоговому окну Свойства для веб-сайта, на котором устанавливается сертификат.
  4. Перейдите на вкладку Безопасность каталога и выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.
  5. Выберите элемент обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.
  6. Перейдите к расположению сертификата, сохраненному на шаге 1. Дважды нажмите кнопку Далее , а затем кнопку Готово.

Принудительное применение SSL-подключений

Теперь, когда сертификат сервера установлен, вы можете принудительно применять безопасные каналы SSL для клиентов веб-сервера. Для начала необходимо включить порт 443 для безопасной связи с веб-сайтом. Для этого выполните следующие действия:

  1. В консоли «Управление компьютером» щелкните правой кнопкой мыши веб-сайт, на котором нужно включить SSL, и выберите пункт Свойства.
  2. Перейдите на вкладку веб-сайт . В разделе Идентификация веб-сайта убедитесь, что в поле Порт SSL указано числовое значение 443.
  3. Выберите Дополнительно. Вы должны увидеть два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле удостоверения для этого веб-сайта. В поле несколько удостоверений SSL для этого веб-сайта выберите Добавить , если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле Порт SSL. Нажмите кнопку ОК.

Теперь, когда порт 443 включен, можно применить SSL-подключения. Для этого выполните следующие действия:

  1. Перейдите на вкладку Безопасность каталога . В разделе безопасная связь теперь можно изменить . Нажмите кнопку Изменить.

  2. Выберите обязательное использование безопасного канала (SSL).

    Примечание

    Если вы укажете 128-разрядное шифрование, клиенты, использующие браузер с 40-разрядной или 56-разрядной версией, не смогут поддерживать обмен данными с сайтом, пока не будут обновлены свои силы шифрования.

  3. Откройте браузер и попытайтесь подключиться к веб-серверу с помощью стандартного протокола http:// . При принудительном применении SSL появляется следующее сообщение об ошибке:

    Страница должна просматриваться по безопасному каналу
    Для страницы, которую вы пытаетесь просмотреть, необходимо использовать «HTTPS» в адресе.
    Выполните следующие действия: повторите попытку, введя https://в начале адреса, к которому вы пытаетесь получить доступ. HTTP 403,4-запрещено: требуются службы IIS для протокола SSL
    Техническая информация (для персонала службы поддержки): Эта ошибка указывает на то, что страница, к которой вы пытаетесь получить доступ, защищена с помощью протокола SSL.

Теперь можно подключиться к веб-сайту только с помощью протокола https:// .

Генерация и использование SSL-сертификатов в Linux

В целях безопасности, в частности во избежание перехвата конфиденциальных, персональных или важных данных. Многие владельцы сайтов в сети защищают трафик с помощью SSL-сертификатов. Естественно, защите подлежит только тот трафик, который связан непосредственно с запросами и передачей данных с определённым адресом — адресом сайта. Системные администраторы, сотрудники техподдержки должны ориентироваться в вопросах, касающихся создания и внедрения SSL-сертификатов для хостов. Поскольку предоставляют соответствующие услуги. Для этих целей в системах Linux существует утилита openssl. Она является свободной реализацией методов защиты, протокола SSL, а также генерации сертификатов.

Как SSL-сертификат помогает защитить данные?

На самом деле схема защиты трафика основана на его шифровании открытым ключом и его расшифровке закрытым ключом. Понятие SSL-сертификата применимо в контексте подтверждения того факта, что открытый ключ действительно принадлежит именно тому домену, с которым происходит соединение. Таким образом, в данной схеме присутствуют две составляющие:

  • Пара ключей (открытый и закрытый) — для шифрования/расшифровки трафика;
  • Подпись открытого ключа. Гарантирующая, что он подлинный и обслуживает именно тот домен, для которого и был создан.

Обе эти составляющие и представляют собой то, что принято обозначать понятием SSL-сертификат. Подпись является гарантией, поскольку выдаётся авторитетным центрами сертификации. Это доступные всем онлайн-сервисы (достаточно воспользоваться любой поисковой системой), которым можно отправить свой ключ, заполнив соответствующую анкету. Далее сервис (центр сертификации) обрабатывает данные из анкеты и сам ключ и высылает уже подписанный ключ обратно его владельцу. Среди самых популярных на сегодняшний день центров сертификации являются такие как Comodo.
Важно заметить, что зашифрованный открытым ключом трафик возможно расшифровать только соответствующим ему закрытым ключом. В свою очередь подпись для открытого ключа от авторитетного цента говорит, что зашифрованный трафик пришёл от «своего» или подлинного узла и его можно принять в обработку, т. е. расшифровать закрытым ключом.

Общий порядок создания SSL-сертификата, ключи и подпись

Во время создания SSL-сертификата происходит последовательная обработка следующих видов ключей:

  • *.key – это сами ключи шифрования, открытий и/или закрытый;
  • *.csr – ключ, содержащий сформированный запрос для получения подписи сертификата от центра сертификации, а сам запрос — это открытый ключ и информация о домене и организации, связанной с ним;
  • *.crt, *.cer, *.pem – это, собственно, сам сертификат, подписанный центром сертификации по запросу из файла *.csr.

Для начала нужно создать закрытый ключ:

$ openssl genrsa -des3 -out server.key 2048

Здесь команда genrsa генерирует RSA-ключ, опция -des3 указывает алгоритм шифрования ключа. А опция -out указывает, что ключ должен быть получен в виде файла server.key. Число 2048 — это сложность шифрования. При выполнении этой команды пользователю будет предложено ввести пароль для шифрования. Поскольку указан его алгоритм опцией -des3. Если это личный ключ и его планируется использовать на сервере, который можно настроить в собственных целях, то естественно шифрование обязательно. Однако, многие серверы требуют закрытые ключи без шифрования (например хостинг-площадки, поскольку предоставляют универсальную услугу по заказу SSL-сертификатов). Поэтому перед генерацией закрытого ключа нужно определиться, как он будет использоваться.

Теперь нужно создать запрос на подпись — CSR-файл, который будет включать только что сгенерированный ключ server.key:

$ openssl req -new -key server.key -out server.csr

При выполнении этой команды пользователю необходимо ввести информацию о домене и организации. Причём наименование домена следует вводить точно, например, если идентификатор URL сайта https://mycompany.com, то ввести нужно mycompany.com. Для URL-идентификатора www.mycompany.com уже необходим отдельный сертификат.
Теперь файл server.csr со сформированным запросом на подпись можно отправить в выбранный центр сертификации.

Подписание SSL-сертификатов

Получить подписанный сертификат, когда имеется закрытый ключ и запрос на подпись можно несколькими способами: воспользоваться услугой авторитетных центров сертификации, отправив им запрос (CSR-файл) и получив в ответ готовый сертификат *.crt. Либо можно сделать сертификат самоподписанным. Т. е. подписать его тем же ключом, который использовался при создании файла CSR. Для этого следует выполнить команду:

$ openssl x509 -signkey server.key -in server.csr -req -days 365 -out server.crt

Здесь опция -days указывает количество дней, в течение которых выпускаемый сертификат server.crt будет действителен. В данном случае на протяжении одного года.
Также можно создать самоподписанный сертификат из имеющегося закрытого ключа без использования CSR-файла. Но в этом случае нужно вводить информацию CSR-запроса:

$ openssl req -key server.key -new -x509 -days 365 -out server.crt

Параметр -x509 задаёт формат генерируемого сертификата. Он является самым распространённым и используется в большинстве случаев. Опция -new позволяет запрашивать информацию для запроса у пользователя.

Важно отметить, что сертификаты, подписанные авторитетными центрами сертификации известны веб-браузерам. Самоподписанные сертификаты необходимо импортировать в хранилище доверенных сертификатов веб-браузера вручную. Поскольку соединения с доменами, обслуживаемыми такими сертификатами по-умолчанию блокируются.

Использование SSL-сертификатов для домена

Для использования сертификата доменом, для которого он был создан, необходимо соответствующим образом настроить виртуальный хост этого домена. Для начала нужно сохранить файлы *.crt и *.key где-нибудь, где доступ к ним может получить только их владелец. Например в ~/ssl/certs/ нужно поместить файл server.crt, в ~/ssl/private/ — файл server.key. Далее, в конфигурационном файле виртуального хоста нужно определить следующие директивы:

SSLCertificateFile /home/john/ssl/certs/server.crt
SSLCertificateKeyFile /home/john/ssl/private/server.key

Важно заметить, что для SSL-соединений домена должен быть отдельный конфигурационный файл (или просто отдельная конфигурация в одном файле) виртуального хоста для него. Это необходимо, поскольку обычные HTTP-соединения обрабатываются по порту 80, а HTTPS (SSL) — по 443. Это отдельные конфигурации одного виртуального хоста (хотя это не совсем верное определение). Также для Apache должен быть включен модуль SSL. Типичная конфигурация может выглядеть следующим образом:

<IfModule mod_ssl.c>
 <VirtualHost 128.138.243.150:443>
    ServerName www.mycompany.com
    ServerAdmin [email protected]
    DocumentRoot /var/www/htdocs/mycompany
    ErrorLog logs/www.mycompany.com-ssl-error_log
    CustomLog logs/www.mycompany.com-ssl-access_log combined
    ScriptAlias /cgi-bin/ /var/www/cgi-bin/mycompany
    SSLEngine on
    SSLCertificateFile /home/john/ssl/certs/server.crt
    SSLCertificateKeyFile /home/john/ssl/private/server.key
 </VirtualHost>
</IfModule>

Как подключить ssl сертификата в nginx читайте в этой статье.

Заключение

В заключение следует заметить, что генерация и подключение SSL-сертификатов к домену — далеко не самая сложная задача. Однако она требует очень внимательного выполнения отдельных её этапов, поскольку от ошибки зависит безопасность для домена.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Что такое CSR (запрос на подпись сертификата)?

Что такое CSR? Запрос CSR или подписи сертификата — это блок закодированного текста, который передается в центр сертификации при подаче заявки на сертификат SSL. Обычно он создается на сервере, на котором будет установлен сертификат, и содержит информацию, которая будет включена в сертификат, такую ​​как название организации, общее имя (доменное имя), местонахождение и страну. Он также содержит открытый ключ, который будет включен в сертификат.Закрытый ключ обычно создается одновременно с созданием CSR, составляя пару ключей. CSR обычно кодируется с использованием ASN.1 в соответствии со спецификацией PKCS # 10.

Центр сертификации будет использовать CSR для создания вашего сертификата SSL, но ему не нужен ваш закрытый ключ. Вам нужно держать свой закрытый ключ в секрете. Сертификат, созданный с помощью определенного CSR, будет работать только с закрытым ключом, который был с его помощью. Поэтому, если вы потеряете закрытый ключ, сертификат больше не будет работать.

Что содержится в CSR?

Имя Объяснение Примеры
Общее имя Полное доменное имя (FQDN) вашего сервера. Он должен точно соответствовать тому, что вы вводите в своем браузере, иначе вы получите сообщение об ошибке несоответствия имени.

* .google.com
mail.google.com

Организация Юридическое название вашей организации.Это не должно быть сокращено и должно включать суффиксы, такие как Inc, Corp или LLC. Google Inc.
Организационная единица Подразделение вашей организации, занимающееся сертификатом. Информационные технологии
Отдел информационных технологий
Город Город, в котором расположена ваша организация. Маунтин-Вью
Штат / округ / регион Штат / регион, в котором находится ваша организация.Это не должно быть сокращено. Калифорния
Страна Двухбуквенный код ISO страны, в которой находится ваша организация. США
ГБ
Адрес электронной почты Адрес электронной почты, по которому можно связаться с вашей организацией. [email protected]
Открытый ключ Открытый ключ, который войдет в сертификат. Открытый ключ создается автоматически

Как выглядит CSR?

Большинство CSR создаются в формате PEM с кодировкой Base-64.Этот формат включает строки «—— НАЧАЛО ЗАПРОСА СЕРТИФИКАТА ——» и «—— КОНЕЦ ЗАПРОСА СЕРТИФИКАТА ——» в начале и в конце CSR. CSR формата PEM можно открыть в текстовом редакторе и выглядит следующим образом:

----- BEGIN CERTIFICATE REQUEST -----

MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMR8w

HQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQDEw53d3cuZ29v Z2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApZtYJCHJ4VpVXHfV
IlstQTlO4qC03hjX + ZkPyvdYd1Q4 + qbAeTwXmCUKYHThVRd5aXSqlPzyIBwieMZr
WFlRQddZ1IzXAlVRDWwAo60KecqeAXnnUK + 5fXoTI / UgWshre8tJ + X / TMHaQKR / J

cIWPhqaQhsJuzZbvAdGA80BLxdMCAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAIhl 4PvFq + e7ipARgI5ZM + GZx6mpCz44DTo0JkwfRDf + BtrsaC0q68eTf2XhYOsq4fkH
Q0uA0aVog3f5iJxCa3Hp5gxbJQ6zV6kJ0TEsuaaOhEko9sdpCoPOnRBm2i / XRD2D
6iNh8f8z0iCh + 9CY0-B0-B0-B0-B0-B0-B0-B0-B0-0-B0-B-0-B--C.ht-

Как мне сгенерировать CSR и закрытый ключ?

Вам необходимо сгенерировать CSR и закрытый ключ на сервере, на котором будет использоваться сертификат.Вы можете найти инструкции в документации вашего сервера или попробовать инструкции в одном из этих центров сертификации:

Инструкции по созданию Comodo CSR
Инструкции по созданию DigiCert CSR
Инструкции по созданию Entrust CSR
Инструкции по созданию GeoTrust CSR
Инструкции по созданию CSR Thawte

После того, как вы сгенерировали CSR, вы можете использовать наш мастер SSL, чтобы найти лучший сертификат SSL, который будет соответствовать вашим потребностям. Если вы знакомы с OpenSSL, вы можете использовать следующую команду для создания CSR и закрытого ключа:

openssl req -new -newkey rsa: 2048 -nodes -out имя_сервера.csr -keyout имя_сервера.key

Как декодировать CSR?

Вы можете легко декодировать CSR, чтобы увидеть, что в нем содержится, с помощью нашего CSR Decoder. Чтобы декодировать CSR на вашем собственном компьютере с помощью OpenSSL, используйте следующую команду:

openssl req -in server.csr -noout -text

Какова длина в битах CSR / закрытого ключа?

Битовая длина пары CSR и закрытого ключа определяет, насколько легко ключ может быть взломан с использованием методов грубой силы.По состоянию на 2016 год размер ключа менее 2048 бит считается слабым и потенциально может быть взломан в течение нескольких месяцев или меньше при наличии достаточной вычислительной мощности. Если закрытый ключ сломан, все соединения, инициированные с его помощью, будут доступны тому, у кого есть ключ. Руководящие принципы расширенной проверки, которым обязаны следовать поставщики сертификатов SSL, требуют, чтобы все сертификаты EV использовали 2048-битный размер ключа, чтобы обеспечить их безопасность в будущем. Из-за этого большинство провайдеров поощряют 2048-битные ключи для всех сертификатов, независимо от того, являются они EV или нет.

Сравнить сертификаты SSL

Первоначально опубликовано вс, 7 декабря 2008 г.

Добавление сертификатов TLS / SSL и управление ими - Служба приложений Azure

  • 17 минут на чтение

В этой статье

Служба приложений Azure предоставляет хорошо масштабируемую службу веб-хостинга с автоматическими исправлениями. В этой статье показано, как создать, загрузить или импортировать частный сертификат или общедоступный сертификат в службу приложений.

После того, как сертификат добавлен в приложение службы приложений или приложение-функцию, вы можете защитить с его помощью настраиваемое DNS-имя или использовать его в коде приложения.

Примечание

Сертификат, загруженный в приложение, хранится в модуле развертывания, который привязан к комбинации группы ресурсов и региона приложения (внутреннее название - веб-пространство ). Это делает сертификат доступным для других приложений в той же комбинации группы ресурсов и региона.

В следующей таблице перечислены параметры, которые у вас есть для добавления сертификатов в службу приложений:

Публичные сертификаты
Опция Описание
Создание бесплатного управляемого сертификата службы приложений (предварительная версия) Частный сертификат, который легко использовать, если вам просто нужно защитить собственный домен www или любой другой домен в службе приложений.
Приобрести сертификат службы приложений Частный сертификат, управляемый Azure. Он сочетает в себе простоту автоматического управления сертификатами и гибкость опций продления и экспорта.
Импорт сертификата из Key Vault Полезно, если вы используете Azure Key Vault для управления своими сертификатами PKCS12. См. Требования к частному сертификату.
Загрузить частный сертификат Если у вас уже есть частный сертификат от стороннего поставщика, вы можете загрузить его.См. Требования к частному сертификату.
Загрузить публичный сертификат не используются для защиты пользовательских доменов, но вы можете загрузить их в свой код, если они вам нужны для доступа к удаленным ресурсам.

Предварительные требования

Чтобы следовать этому руководству:

Требования к частному сертификату

Примечание

Веб-приложения Azure не поддерживают , а AES256, и все файлы pfx должны быть зашифрованы с помощью TripleDES.

Бесплатный управляемый сертификат службы приложений или сертификат службы приложений уже удовлетворяют требованиям службы приложений. Если вы решите загрузить или импортировать частный сертификат в службу приложений, ваш сертификат должен соответствовать следующим требованиям:

  • Экспортировано как PFX-файл, защищенный паролем
  • Содержит закрытый ключ длиной не менее 2048 бит
  • Содержит все промежуточные сертификаты в цепочке сертификатов

Для защиты личного домена в привязке TLS к сертификату предъявляются дополнительные требования:

  • Содержит расширенное использование ключа для аутентификации сервера (OID = 1.3.6.1.5.5.7.3.1)
  • Подписано доверенным центром сертификации

Примечание

Сертификаты Elliptic Curve Cryptography (ECC) могут работать со службой приложений, но не рассматриваются в этой статье. Работайте со своим центром сертификации над точными шагами по созданию сертификатов ECC.

Подготовьте веб-приложение

Для создания настраиваемых привязок TLS / SSL или включения клиентских сертификатов для приложения службы приложений ваш план службы приложений должен быть на уровне Basic , Standard , Premium или Isolated .На этом этапе вы убедитесь, что ваше веб-приложение находится на поддерживаемом ценовом уровне.

Войти в Azure

Откройте портал Azure.

Перейдите в свое веб-приложение

Найдите и выберите App Services .

На странице App Services выберите имя своего веб-приложения.

Вы попали на страницу управления своего веб-приложения.

Проверить ценовой уровень

На левой панели навигации страницы веб-приложения перейдите к разделу Настройки и выберите Увеличение масштаба (план службы приложений) .

Убедитесь, что ваше веб-приложение не относится к уровню F1 или D1 . Текущий уровень вашего веб-приложения выделен темно-синей рамкой.

Custom SSL не поддерживается на уровне F1 или D1 . Если вам нужно увеличить масштаб, выполните действия, описанные в следующем разделе. В противном случае закройте страницу Увеличение масштаба и пропустите раздел «Увеличение масштаба плана службы приложений».

Расширьте план службы приложений

Выберите любой из платных уровней ( B1 , B2 , B3 или любой уровень в категории Production ).Для дополнительных параметров щелкните См. Дополнительные параметры .

Щелкните Применить .

Когда вы увидите следующее уведомление, операция масштабирования завершена.

Создать бесплатный сертификат (предварительная версия)

Бесплатный управляемый сертификат службы приложений - это готовое решение для защиты настраиваемого DNS-имени в службе приложений. Это полнофункциональный сертификат TLS / SSL, управляемый службой приложений и автоматически обновляемый.Бесплатный сертификат имеет следующие ограничения:

  • Не поддерживает сертификаты с подстановочными знаками.
  • Не поддерживает голые домены.
  • Не подлежит экспорту.
  • Не поддерживается в среде службы приложений (ASE)
  • Не поддерживает записи A. Например, автоматическое продление не работает с записями A.

Примечание

Бесплатный сертификат выдается DigiCert. Для некоторых доменов верхнего уровня вы должны явно разрешить DigiCert в качестве издателя сертификатов, создав запись домена CAA со значением: 0 issue digicert.com .

Для создания бесплатного управляемого сертификата службы приложений:

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Создать управляемый сертификат службы приложений .

В диалоговом окне отображается любой неголовый домен, который правильно сопоставлен с вашим приложением с помощью записи CNAME.Выберите личный домен, для которого нужно создать бесплатный сертификат, и выберите Create . Вы можете создать только один сертификат для каждого поддерживаемого личного домена.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Импорт сертификата службы приложений

Если вы приобрели сертификат службы приложений в Azure, Azure управляет следующими задачами:

  • Обеспечивает процесс покупки в GoDaddy.
  • Выполняет проверку домена сертификата.
  • Поддерживает сертификат в Azure Key Vault.
  • Управляет обновлением сертификата (см. Обновление сертификата).
  • Автоматически синхронизируйте сертификат с импортированными копиями в приложениях службы приложений.

Чтобы приобрести сертификат службы приложений, перейдите к Начать заказ сертификата.

Если у вас уже есть работающий сертификат службы приложений, вы можете:

Примечание

Сертификаты службы приложений

в настоящее время не поддерживаются в национальных облаках Azure.

Стартовый сертификат, заказ

Запустите заказ сертификата службы приложений на странице создания сертификата службы приложений.

Используйте следующую таблицу, чтобы помочь вам настроить сертификат. Когда закончите, нажмите Create .

Настройка Описание
Имя Понятное имя для вашего сертификата службы приложений.
Имя хоста голого домена Укажите здесь корневой домен.Выданный сертификат защищает как корневой домен , так и поддомен www . В выданном сертификате поле Common Name содержит корневой домен, а поле Subject Alternative Name содержит домен www . Чтобы защитить только любой поддомен, укажите здесь полное доменное имя поддомена (например, mysubdomain.contoso.com ).
Подписка Подписка, которая будет содержать сертификат.
Группа ресурсов Группа ресурсов, которая будет содержать сертификат. Вы можете, например, использовать новую группу ресурсов или выбрать ту же группу ресурсов, что и ваше приложение службы приложений.
Сертификат SKU Определяет тип создаваемого сертификата: стандартный или подстановочный.
Юридические условия Щелкните, чтобы подтвердить свое согласие с юридическими условиями. Сертификаты получены от GoDaddy.

Примечание

сертификатов службы приложений, приобретенных в Azure, выдает GoDaddy. Для некоторых доменов верхнего уровня необходимо явно разрешить GoDaddy в качестве эмитента сертификатов, создав запись домена CAA со значением: 0 issue godaddy.com

Store в Azure Key Vault

После завершения процесса покупки сертификата вам необходимо выполнить еще несколько шагов, прежде чем вы сможете начать использовать этот сертификат.

Выберите сертификат на странице Сертификаты службы приложений, затем щелкните Конфигурация сертификата > Шаг 1. Сохраните .

Key Vault - это служба Azure, которая помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Это предпочтительное хранилище для сертификатов службы приложений.

На странице Key Vault Status щелкните Key Vault Repository , чтобы создать новое хранилище, или выберите существующее хранилище. Если вы решили создать новое хранилище, воспользуйтесь следующей таблицей, которая поможет вам настроить хранилище, и нажмите «Создать». Создайте новое хранилище ключей внутри той же подписки и группы ресурсов, что и ваше приложение службы приложений.

.
Настройка Описание
Имя Уникальное имя, состоящее из буквенно-цифровых символов и тире.
Группа ресурсов В качестве рекомендации выберите ту же группу ресурсов, что и сертификат службы приложений.
Расположение Выберите то же расположение, что и ваше приложение службы приложений.
Ценовой уровень Дополнительные сведения см. В статье о ценах на хранилище ключей Azure.
Политики доступа Определяет приложения и разрешенный доступ к ресурсам хранилища. Вы можете настроить его позже, выполнив действия, описанные в разделе Назначение политики доступа Key Vault.
Доступ к виртуальной сети Ограничить доступ к хранилищу для определенных виртуальных сетей Azure. Вы можете настроить его позже, выполнив действия, указанные в разделе Настройка брандмауэров и виртуальных сетей Azure Key Vault

После того, как вы выбрали хранилище, закройте страницу Key Vault Repository .Для параметра Step 1: Store должна появиться зеленая галочка. Оставьте страницу открытой для следующего шага.

Подтвердите право собственности на домен

На той же странице конфигурации сертификата , которую вы использовали на предыдущем шаге, щелкните Шаг 2: Подтвердите .

Выберите Проверка службы приложений . Поскольку вы уже сопоставили домен со своим веб-приложением (см. Предварительные требования), он уже проверен. Просто щелкните Verify , чтобы завершить этот шаг.Нажимайте кнопку Обновить , пока не появится сообщение Сертификат подтвержден доменом .

Примечание

Поддерживаются четыре типа проверки домена:

  • Служба приложений - наиболее удобный вариант, когда домен уже сопоставлен с приложением службы приложений в той же подписке. Он использует тот факт, что приложение службы приложений уже подтвердило право собственности на домен.
  • Домен - проверьте домен службы приложений, который вы приобрели в Azure.Azure автоматически добавляет проверочную TXT-запись и завершает процесс.
  • Mail - Подтвердите домен, отправив электронное письмо администратору домена. Инструкции предоставляются при выборе опции.
  • Manual - Проверьте домен с помощью HTML-страницы (только сертификат Standard ) или записи DNS TXT. Инструкции предоставляются при выборе опции.

Импортировать сертификат в службу приложений

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Импортировать сертификат службы приложений .

Выберите сертификат, который вы только что приобрели, и выберите OK .

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата.Следуйте инструкциям в разделе Создание привязки.

Импортировать сертификат из Key Vault

Если вы используете Azure Key Vault для управления своими сертификатами, вы можете импортировать сертификат PKCS12 из Key Vault в службу приложений, если он удовлетворяет требованиям.

Разрешить службе приложений читать данные из хранилища

По умолчанию поставщик ресурсов службы приложений не имеет доступа к Key Vault. Чтобы использовать Key Vault для развертывания сертификата, вам необходимо разрешить поставщику ресурсов доступ для чтения к KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd - это имя участника службы поставщика ресурсов для службы приложений, одинаковое для всех подписок Azure. Для облачной среды Azure для государственных организаций используйте 6a02c803-dafd-4136-b4c3-5a6f318b4714 вместо основного имени службы поставщика ресурсов.

Импортируйте сертификат из хранилища в приложение

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

На левой панели навигации по вашему приложению выберите Настройки TLS / SSL > Сертификаты закрытых ключей (.pfx) > Импортировать сертификат хранилища ключей .

Используйте следующую таблицу, чтобы помочь вам выбрать сертификат.

Настройка Описание
Подписка Подписка, которой принадлежит Key Vault.
Хранилище ключей Хранилище с сертификатом, который вы хотите импортировать.
Сертификат Выберите из списка сертификатов PKCS12 в хранилище. Все сертификаты PKCS12 в хранилище перечислены с их отпечатками, но не все поддерживаются в службе приложений.

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа . Если импорт завершается с ошибкой, сертификат не соответствует требованиям для службы приложений.

Примечание

Если вы обновите свой сертификат в Key Vault новым сертификатом, служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Загрузить частный сертификат

После получения сертификата от поставщика сертификатов выполните действия, описанные в этом разделе, чтобы подготовить его для службы приложений.

Слияние промежуточных сертификатов

Если ваш центр сертификации предоставляет вам несколько сертификатов в цепочке сертификатов, вам необходимо объединить сертификаты по порядку.

Для этого откройте каждый полученный сертификат в текстовом редакторе.

Создайте файл для объединенного сертификата с именем mergedcertificate.crt . В текстовом редакторе скопируйте содержимое каждого сертификата в этот файл. Порядок ваших сертификатов должен соответствовать порядку в цепочке сертификатов, начиная с вашего сертификата и заканчивая корневым сертификатом. Это похоже на следующий пример:

  ----- НАЧАТЬ СЕРТИФИКАТ -----
<весь ваш SSL-сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат 1 в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь промежуточный сертификат в кодировке Base64 2>
----- КОНЕЦ СЕРТИФИКАТА -----

----- НАЧАТЬ СЕРТИФИКАТ -----
<Весь корневой сертификат в кодировке Base64>
----- КОНЕЦ СЕРТИФИКАТА -----
  

Экспортный сертификат PFX

Экспортируйте объединенный сертификат TLS / SSL с закрытым ключом, с которым был сгенерирован ваш запрос сертификата.

Если вы сгенерировали запрос на сертификат с помощью OpenSSL, значит, вы создали файл закрытого ключа. Чтобы экспортировать сертификат в PFX, выполните следующую команду. Замените заполнители и на пути к вашему закрытому ключу и вашему объединенному файлу сертификата.

  openssl pkcs12 -export -out myserver.pfx -inkey <файл-частного-ключа> -in <файл-сертификата слияния>
  

При появлении запроса укажите пароль экспорта.Вы будете использовать этот пароль при загрузке сертификата TLS / SSL в службу приложений позже.

Если вы использовали IIS или Certreq.exe для создания запроса на сертификат, установите сертификат на локальный компьютер, а затем экспортируйте сертификат в PFX.

Загрузить сертификат в службу приложений

Теперь вы готовы загрузить сертификат в службу приложений.

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

В левой навигационной панели приложения выберите Настройки TLS / SSL > Сертификаты закрытого ключа (.pfx) > Загрузить сертификат .

В PFX Certificate File выберите свой PFX-файл. В поле Certificate password введите пароль, который вы создали при экспорте файла PFX. Когда закончите, нажмите Загрузить .

Когда операция завершится, вы увидите сертификат в списке Сертификаты закрытого ключа .

Важно

Чтобы защитить личный домен с помощью этого сертификата, вам все равно необходимо создать привязку сертификата. Следуйте инструкциям в разделе Создание привязки.

Загрузить публичный сертификат

Публичные сертификаты поддерживаются в формате .cer .

На портале Azure в меню слева выберите Службы приложений > <имя-приложения> .

На левой панели навигации по вашему приложению щелкните TLS / SSL settings > Public Certificates (.cer) > Загрузить сертификат открытого ключа .

В Имя введите имя сертификата. В файле сертификата CER выберите свой файл CER.

Щелкните Загрузить .

После загрузки сертификата скопируйте отпечаток сертификата и см. Раздел Сделайте сертификат доступным.

Управление сертификатами службы приложений

В этом разделе показано, как управлять сертификатом службы приложений, приобретенным при импорте сертификата службы приложений.

Свидетельство о смене ключа

Если вы считаете, что закрытый ключ вашего сертификата скомпрометирован, вы можете изменить ключ сертификата. Выберите сертификат на странице Сертификаты службы приложений, затем выберите Rekey and Sync на левой панели навигации.

Щелкните Rekey , чтобы начать процесс. Этот процесс может занять 1–10 минут.

При повторном вводе сертификата сертификат заменяется новым сертификатом, выданным центром сертификации.

После завершения операции смены ключей щелкните Sync . Операция синхронизации автоматически обновляет привязки имени хоста для сертификата в службе приложений, не вызывая простоя ваших приложений.

Примечание

Если вы не нажмете Sync , служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Свидетельство продлить

Чтобы включить автоматическое продление сертификата в любое время, выберите сертификат на странице «Сертификаты службы приложений», затем щелкните Параметры автоматического продления на левой панели навигации.По умолчанию сертификаты службы приложений имеют срок действия один год.

Выберите на и нажмите Сохранить . Сертификаты могут начать автоматически обновляться за 60 дней до истечения срока, если у вас включено автоматическое продление.

Чтобы обновить сертификат вручную, нажмите Обновление вручную . Вы можете запросить обновление сертификата вручную за 60 дней до истечения срока его действия.

После завершения операции обновления щелкните Sync .Операция синхронизации автоматически обновляет привязки имени хоста для сертификата в службе приложений, не вызывая простоя ваших приложений.

Примечание

Если вы не нажмете Sync , служба приложений автоматически синхронизирует ваш сертификат в течение 48 часов.

Экспортный сертификат

Поскольку сертификат службы приложений является секретом хранилища ключей, вы можете экспортировать его копию в формате PFX и использовать ее для других служб Azure или за пределами Azure.

Чтобы экспортировать сертификат службы приложений в виде файла PFX, выполните следующие команды в Cloud Shell.Вы также можете запустить его локально, если вы установили Azure CLI. Замените заполнители на имена, которые вы использовали при создании сертификата службы приложений.

  secretname = $ (az resource show \
    --resource-group <имя-группы> \
    - тип ресурса "Microsoft.CertificateRegistration / certificateOrders" \
    --name  \
    --query "properties.certificates.  .keyVaultSecretName" \
    - выход цв)

az keyvault секрет скачать \
    --file appservicecertificate.pfx \
    - имя-хранилища <имя-хранилища> \
    --name $ secretname \
    - кодирование base64
  

Загруженный файл appservicecertificate.pfx представляет собой необработанный файл PKCS12, содержащий как общедоступные, так и частные сертификаты. В каждом запросе используйте пустую строку для пароля импорта и парольной фразы PEM.

Удалить сертификат

Удаление сертификата службы приложений является окончательным и необратимым. Удаление ресурса сертификата службы приложений приводит к отзыву сертификата.Любая привязка в службе приложений к этому сертификату становится недействительной. Чтобы предотвратить случайное удаление, Azure блокирует сертификат. Чтобы удалить сертификат службы приложений, сначала необходимо снять блокировку удаления сертификата.

Выберите сертификат на странице «Сертификаты службы приложений», затем выберите Locks на левой панели навигации.

Найдите блокировку вашего сертификата с типом блокировки Удалите . Справа от него выберите Удалить .

Теперь вы можете удалить сертификат службы приложений. На левой панели навигации выберите Обзор > Удалить . В диалоговом окне подтверждения введите имя сертификата и выберите OK .

Автоматизация с помощью скриптов

Azure CLI

  #! / Bin / bash

fqdn = 
pfxPath = <заменить-на-путь-к-вашему-.PFX-файлу>
pfxPassword = <заменить-на-ваш = .PFX-пароль>
resourceGroup = myResourceGroup
webappname = mywebapp $ RANDOM

# Создайте группу ресурсов.az group create --location westeurope --name $ resourceGroup

# Создайте план службы приложений на базовом уровне (минимум, необходимый для пользовательских доменов).
az appservice plan create --name $ webappname --resource-group $ resourceGroup --sku B1

# Создать веб-приложение.
az webapp create --name $ webappname --resource-group $ resourceGroup \
--plan $ webappname

echo "Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net"
read -p "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https: // aka.ms / appservicecustomdns, чтобы настроить запись CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.

# Сопоставьте подготовленное пользовательское доменное имя с веб-приложением.
az webapp config hostname add --webapp-name $ webappname --resource-group $ resourceGroup \
--hostname $ fqdn

# Загрузите сертификат SSL и получите отпечаток.
thumbprint = $ (az webapp config ssl upload --certificate-file $ pfxPath \
--certificate-password $ pfxPassword --name $ webappname --resource-group $ resourceGroup \
--query thumbprint --output tsv)

# Связывает загруженный сертификат SSL с веб-приложением.az webapp config ssl bind --certificate-thumbprint $ thumbprint --ssl-type SNI \
--name $ webappname --resource-group $ resourceGroup

echo "Теперь вы можете перейти по адресу https: // $ fqdn"
  

PowerShell

  $ fqdn = "<Замените на свое собственное доменное имя>"
$ pfxPath = "<Замените на путь к вашему файлу .PFX>"
$ pfxPassword = "<Замените своим паролем .PFX>"
$ webappname = "mywebapp $ (Get-Random)"
$ location = "Западная Европа"

# Создайте группу ресурсов.
New-AzResourceGroup -Name $ webappname -Location $ location

# Создайте план службы приложений на уровне бесплатного пользования.New-AzAppServicePlan -Name $ webappname -Location $ location `
-ResourceGroupName $ webappname -Tier Free

# Создать веб-приложение.
New-AzWebApp -Name $ webappname -Location $ location -AppServicePlan $ webappname `
-ResourceGroupName $ webappname

Write-Host «Настройте запись CNAME, которая сопоставляет $ fqdn с $ webappname.azurewebsites.net»
Read-Host "Нажмите [Enter], когда будете готовы ..."

# Прежде чем продолжить, перейдите в пользовательский интерфейс конфигурации DNS для своего личного домена и следуйте инструкциям
# инструкции на https://aka.ms/appservicecustomdns по настройке записи CNAME для
# hostname "www" и укажите его в качестве доменного имени вашего веб-приложения по умолчанию.# Обновить план службы приложений до базового уровня (минимум, необходимый для пользовательских сертификатов SSL)
Set-AzAppServicePlan -Name $ webappname -ResourceGroupName $ webappname `
-Уровень базовый

# Добавить собственное доменное имя в веб-приложение.
Set-AzWebApp -Name $ webappname -ResourceGroupName $ webappname `
-HostNames @ ($ fqdn, "$ webappname.azurewebsites.net")

# Загрузить и привязать сертификат SSL к веб-приложению.
New-AzWebAppSSLBinding -WebAppName $ webappname -ResourceGroupName $ webappname -Name $ fqdn `
-CertificateFilePath $ pfxPath -CertificatePassword $ pfxPassword -SslState SniEnabled
  

Дополнительные ресурсы

Пример: сертификат SSL - создание ключа и CSR

Важно: этот пример предназначен для предоставления общего руководства ИТ-специалистам, имеющим опыт работы с требованиями и настройкой SSL.Процедура, описанная в этой статье, - лишь один из многих доступных методов, которые вы можете использовать для создания необходимых файлов. Описанный здесь процесс следует рассматривать как пример, а не как рекомендацию.


Когда вы настраиваете Tableau Server для использования шифрования Secure Sockets Layer (SSL), это помогает гарантировать, что доступ к серверу безопасен, и что данные, передаваемые между Tableau Server и Tableau Desktop, защищены.

Ищете Tableau Server в Linux? См. Пример: Сертификат SSL - Создание ключа и CSR (Ссылка открывается в новом окне).

Tableau Server использует Apache, который включает OpenSSL (ссылка открывается в новом окне). Вы можете использовать набор инструментов OpenSSL для создания файла ключа и запроса на подпись сертификата (CSR), которые затем можно использовать для получения подписанного сертификата SSL.

Шаги по созданию ключа и CSR

Чтобы настроить Tableau Server на использование SSL, у вас должен быть сертификат SSL. Чтобы получить сертификат SSL, выполните следующие действия:

  1. Установите переменную среды конфигурации OpenSSL (необязательно).
  2. Создайте ключевой файл.
  3. Создайте запрос на подпись сертификата (CSR).
  4. Отправьте CSR в центр сертификации (CA), чтобы получить сертификат SSL.
  5. Используйте ключ и сертификат, чтобы настроить Tableau Server на использование SSL.

Дополнительную информацию можно найти на странице часто задаваемых вопросов по SSL (ссылка открывается в новом окне) на веб-сайте Apache Software Foundation.

Настроить сертификат для нескольких доменных имен

Tableau Server позволяет использовать SSL для нескольких доменов. Чтобы настроить эту среду, вам необходимо изменить файл конфигурации OpenSSL, openssl.conf, и настроить сертификат альтернативного имени субъекта (SAN) на сервере Tableau.См. Для сертификатов SAN: измените файл конфигурации OpenSSL ниже.

Установите переменную среды конфигурации OpenSSL (необязательно)

Чтобы избежать использования аргумента -config при каждом использовании openssl.exe, вы можете использовать переменную среды OPENSSL_CONF , чтобы убедиться, что используется правильный файл конфигурации и все изменения конфигурации, внесенные в последующие процедуры в этой статье, дают ожидаемые результаты (например, вы должны установить переменную среды, чтобы добавить SAN к вашему сертификату).

Откройте командную строку от имени администратора и выполните следующую команду:

установить OPENSSL_CONF = c: \ Program Files \ Tableau \ Tableau Server \ packages \ apache. \ conf \ openssl.cnf

Примечание : При установке переменной среды конфигурации Open SSL не заключайте путь к файлу в кавычки.

Сгенерировать ключ

Создайте файл ключа, который вы будете использовать для создания запроса на подпись сертификата.

  1. Откройте командную строку от имени администратора и перейдите в каталог Apache для Tableau Server. Например, выполните следующую команду:

    CD C: \ Program Files \ Tableau \ Tableau Server \ packages \ apache.<код_версии> \ bin

  2. Выполните следующую команду, чтобы создать файл ключа:

    openssl.exe genrsa -out .key 4096

    Примечание: Эта команда использует длину ключа 4096 бит.Вы должны выбрать длину в битах не менее 2048 бит, потому что связь, зашифрованная с меньшей длиной в битах, менее безопасна. Если значение не указано, используется 512 бит.

Создайте запрос на подпись сертификата для отправки в центр сертификации

Используйте файл ключа, созданный в описанной выше процедуре, для создания запроса на подпись сертификата (CSR).Вы отправляете CSR в центр сертификации (CA) для получения подписанного сертификата.

Важно: Если вы хотите настроить сертификат SAN для использования SSL для нескольких доменов, сначала выполните шаги, указанные в разделе Для сертификатов SAN: измените файл конфигурации OpenSSL ниже, а затем вернитесь сюда, чтобы сгенерировать CSR.

  1. Выполните следующую команду, чтобы создать файл запроса на подпись сертификата (CSR):

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr

    Если вы не установили переменную среды конфигурации OpenSSL, OPENSSL_CONF , вы можете увидеть одно из следующих сообщений:

    • Сообщение об ошибке о невозможности загрузки информации о конфигурации. В этом случае повторите команду выше со следующим параметром: -config.. \ conf \ openssl.cnf .

    • Предупреждение о том, что каталог / usr / local / ssl не найден. Этот каталог не существует в Windows, и вы можете просто проигнорировать это сообщение. Файл успешно создан.

    Чтобы установить переменную среды конфигурации OpenSSL, см. Раздел Установка переменной среды конфигурации OpenSSL (необязательно) в этой статье.

  2. При появлении запроса введите необходимую информацию.

    Примечание: Для Common Name введите имя сервера Tableau. Имя сервера Tableau - это URL-адрес, который будет использоваться для доступа к серверу Tableau. Например, если вы зайдете на сервер Tableau, набрав tableau.example.com в адресной строке браузера, тогда tableau.example.com - это общепринятое имя. Если общее имя не соответствует имени сервера, при попытке браузера или Tableau Desktop подключиться к Tableau Server возникнут ошибки.

Отправьте CSR в центр сертификации, чтобы получить сертификат SSL

Отправьте CSR в коммерческий центр сертификации (CA) для запроса цифрового сертификата. Дополнительные сведения см. В статье Википедии Центр сертификации (ссылка открывается в новом окне) и в любых связанных статьях, которые помогут вам решить, какой ЦС использовать.

Используйте ключ и сертификат для настройки Tableau Server

Если у вас есть и ключ, и сертификат от CA, вы можете настроить Tableau Server для использования SSL. Инструкции см. В разделе Настройка внешнего SSL.

Для сертификатов SAN: измените файл конфигурации OpenSSL

.

В стандартной установке OpenSSL некоторые функции по умолчанию не включены.Чтобы использовать SSL с несколькими доменными именами, перед созданием CSR выполните следующие действия, чтобы изменить файл openssl.cnf .

  1. Откройте проводник Windows и перейдите в папку Apache conf для Tableau Server.

    Например: C: \ Program Files \ Tableau \ Tableau Server \ <код_версии> \ apache \ conf

  2. Открыть openssl.cnf в текстовом редакторе и найдите следующую строку: req_extensions = v3_req

    Эту строку можно закомментировать с помощью решетки (#) в начале строки.

    Если строка закомментирована, раскомментируйте ее, удалив # и пробел символа с начала строки.

  3. Перейти в раздел файла [v3_req] .Первые несколько строк содержат следующий текст:

    # Расширения для добавления к запросу сертификата
    basicConstraints = CA: FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    После строки keyUsage вставьте следующую строку:

    subjectAltName = @alt_names

    Если вы создаете самозаверяющий сертификат SAN, сделайте следующее, чтобы предоставить сертификату разрешение на подпись сертификата:

    1. Добавьте cRLSign и keyCertSign в строку keyUsage , чтобы она выглядела следующим образом: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. После строки keyUsage добавьте следующую строку: subjectAltName = @alt_names

  4. В разделе [alt_names] укажите имена доменов, которые вы хотите использовать с SSL.

    DNS.1 = [домен1]
    DNS.2 = [домен2]
    DNS.3 = [и т. Д.]

    На следующем изображении показаны выделенные результаты с текстом-заполнителем, который вы должны заменить своими доменными именами.

  5. Сохраните и закройте файл.

  6. Выполните действия, описанные в разделе «Создание запроса на подпись сертификата для отправки в центр сертификации» выше.

Работа с сертификатами | Центр обучения Postman

Центр обучения
  • Результаты поиска не найдены
DocsAdminDeveloperSign In
  • начало работы
  • Введение
  • Установка и обновление
  • Navigating Postman
  • Отправка первого запроса
  • Управление вашей учетной записью
  • Обнаружение шаблонов
  • Создание вашей первой коллекции
  • Создание рабочей области
  • Настройка приложения Postman
  • Импорт и экспорт данных
  • Устранение неполадок приложений
  • отправка запросов
  • Создание запросов
  • запросов на авторизацию
  • Группировка запросов в коллекциях
  • Использование переменных
  • Управление средами
  • Визуализация ответов
  • Указание примеров
  • Использование файлов cookie
  • Работа с сертификатами
  • Создание cl Код ient
  • Запросы на устранение неполадок
    • захват данных запроса
    • Захват HTTP-запросов
    • Использование прокси
    • Использование Postman Interceptor
    • Поддерживаемые платформы API
    • Запросы с помощью GraphQL
    • Создание запросов
    • Создание запросов скрипты
    • Скрипты в Postman
    • Написание скриптов предварительного запроса
    • Написание тестов
      • ссылок на скрипты
      • Примеры тестовых скриптов
      • Динамические переменные
      • Скрипты Postman
    • запущенные коллекции Использование коллекции
    • Планирование запусков с мониторами
    • Построение рабочих процессов запросов
    • Импорт файлов данных
      • Использование Newman CLI
      • Запуск коллекций в командной строке с Newman
      • Newman с Docker
      • CI с Postman API
      • 90 146 Интеграция с Travis CI
      • Интеграция с Jenkins
    • сотрудничество в почтальоне
    • Работа с вашей командой
    • Определение ролей
    • Запрос доступа
    • Совместное использование вашей работы
    • Ваша личная сеть API
    • Комментирование коллекций Управление версиями API
    • Использование управления версиями
      • Использование рабочих пространств
      • Создание рабочих пространств
      • Использование и управление рабочими пространствами
      • Просмотр активности рабочего пространства
      • Разрешение командных конфликтов
    • Проектирование и разработка вашего API
    • Управление и совместное использование API
    • Проверка API
      • фиктивные данные
      • Настройка фиктивных серверов
      • Мокинг с примерами
      • Мокинг с помощью API
      • Понимание соответствия примера
      • Мониторинг вашего API
      • Monito вызовите свои API-интерфейсы
      • Настройка монитора
      • Просмотр результатов монитора
      • API-интерфейсы мониторинга и веб-сайты
      • Настройка интеграции для получения предупреждений
      • Запуск мониторов Postman с использованием статических IP-адресов
      • Устранение неполадок мониторов
      • Часто задаваемые вопросы по мониторингу
    • Анализ с помощью отчетов
    • Публикация API
    • Документирование вашего API
    • Создание документов
    • Публикация документов
    • Просмотр документации
    • Использование пользовательских доменов
    • Шаблоны публикации
    • Публикация в сети API
    • в почтальоне
    • Использование кнопок Run в Postman
    • Создание кнопок Run в Postman
    • Кодирование с Run в Postman
  • администрирование
  • Управление вашей командой
  • Покупка Postman
  • Биллинг
  • Настройка команд ettings
  • Использование журналов аудита
  • Контрольный список для адаптации
  • Перенос данных между командами
    • Единый вход (SSO)
    • Введение в SSO
    • Настройка единого входа для группы
    • Вход в группу SSO
    • Microsoft AD FS
    • Пользовательский SAML в Azure AD
    • Пользовательский SAML в Duo
    • Пользовательский SAML в GSuite
    • Пользовательский SAML в Okta
    • Пользовательский SAML в Onelogin
    • Пользовательский SAML в Ping Identity
  • Переход на текущую версию Postman
  • Ресурсы разработчика
  • Разработка с помощью утилит Postman
  • Postman API
  • Echo API
  • Collection SDK
  • Postman Runtime library
  • Библиотека генератора кода
  • Postman Collection Интеграция

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *