Запрос на получение SSL-сертификата (CSR)

Порядок подготовки CSR-запроса для получения SSL-сертификата. Внимание! Храните сформированные конфиденциальные данные с недоступном для посторонних лиц месте! Не забудьте сохранить копию приватного ключа *.key - в случае утери данного файла, Вам необходимо будет заказать новый сертификат. Данное руководство предназначено для работы с Apache + Mod SSL + OpenSSL, но может использоваться и в другом окружении.

Для Клиентов хостинга ХОСТИНГ.КОМ все действия при заказе SSL-сертификата выполняются нашими сотрудниками. Можно воспользоваться сервисом для подготовки CSR-запроса.

Для формирования CSR-запроса для вашего сайта используйте данную пошаговую инструкцию. В результате вы получите CSR-запрос, который потребуется для получения SSL-сертификата.

Пошаговая инструкция:

Шаг 1. OpenSSL

Установите OpenSSL, если данная программа отсутствует на вашем сервере.

Шаг 2. Создание RSA-ключа для веб-сервера Apache

Перейдите в директорию для создания ключей:

cd /apacheserverroot/conf/ssl.key
(ssl.key - директория по умолчанию для ключей).

Если вы используете другой путь, то перейдите в директорию веб-сервера Apache для закрытых ключей.

Введите следующую команду для генерации зашифрованного приватного ключа. Вам будет предложено ввести пароль для доступа к файлу. Данный пароль также необходимо будет вводить каждый раз при запуске веб-сервера (чтобы избежать этого, оставьте пароль пустым).

Внимание: в случае утери пароля необходимо будет заказывать новый сертификат или перевыпускать его.

openssl genrsa -des3 -out domainname.key 2048

Вы можете создать приватный ключ и без использования шифрования, если вы не желаете вводить пароль при каждом запуске веб-сервера:

openssl genrsa -out domainname.key 2048

Примечание: Мы рекомендуем использовать для наименования приватного ключа доменное имя, для которого заказывается сертификат, например domainname.key.

Минимальный размер ключа для CSR-запроса равен 2048 бит.

Шаг 3. Получение CSR-файла

Введите следующую команду для создания CSR с приватным ключом RSA (на выходе будет получен PEM-формат):

openssl req -new -key domainname.key -out domainname.csr

Примечание: Если на Шаге 2 вы использовали ключ "-des3", то будет запрошен пароль для PEM-формата.

При создании CSR необходимо придерживаться следующих правил. Введите информацию, которая будет отображаться в сертификате. Нельзя использовать следующие символы: < > ~ ! @ # $ % ^ * / \ ( ) ? . , &

DN - поле

Пояснение

Пример

Common Name Полное доменное имя для вашего веб-сервера. Оно должно в точности совпадать. Если вы предполагаете использовать следующий URL: https://www.yourdomain.com, то "Common Name" должно быть www.yourdomain.com
Для WildCard-сертификатов указывайте со звездочкой. Пример: *.yourdomain.com
Organization Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. YourCompany
Organization Unit Наименование отдела, подразделения (на английском языке). Marketing
City or Locality Город, где официально зарегистрирована организация (на английском языке). Moscow
State or Province Область, в которой официально зарегистрирована организация (на английском языке). Moscow
Country Страна, в виде двухсимвольного ISO-кода. Для России: RU. RU

 

Не вводите дополнительные атрибуты и оставьте пароль пустым (нажмите Enter).

Для частных, физических лиц, в полях Организация и наименование подразделения указывайте в латинской транскрипции ФИО, например Ivanov I Ivan.

Примечание: для проверки содержимого CSR используйте следующую команду:
openssl req -noout -text -in domainname.csr

Шаг 4.

Отправьте нам CSR-файл, как описано в Порядке получения SSL-сертификата.

Приватный ключ должен начинаться -----BEGIN RSA PRIVATE KEY----- и заканчиваться -----END RSA PRIVATE KEY-----. Для просмотра содержимого приватного ключа используйте следующую команду:
openssl rsa -noout -text -in domainname.key

 

Для других веб-серверов инструкцию по получению CSR можно найти здесь.