Что такое файлы CSR и как их создавать? — CloudSavvy ИТ

Файл запроса на подпись сертификата (CSR) — это то, что вы создаете и передаете в центр сертификации, который, в свою очередь, подписывает и отправляет вам запрошенный сертификат SSL, который используется для включения HTTPS на вашем веб-сервере.

Из чего состоит файл CSR?

Файлы CSR содержат информацию о вашей организации и типе запрашиваемого сертификата. Обычно они генерируются автоматически с помощью такой утилиты, как OpenSSL. Если вы используете LetsEncrypt, создание файла CSR выполняется за вас с помощью certbot.

Файлы CSR содержат следующую информацию:

  • Общее имя (CN) — имя хоста вашего сервера. Это должен точно совпадают, иначе ваши пользователи увидят в браузере страницу с ошибкой о том, что сертификат не является надежным. Вы можете использовать подстановочные знаки (например, *.domain.com), чтобы запросить групповой сертификат, применяемый ко всем поддоменам. Такой подстановочный знак применяется к www, но если вы хотите защитить свой корневой домен и все поддомены, вам понадобятся два отдельных сертификата. Общее имя — единственное поле, которое технически необходимо, поэтому вы можете оставить все остальное пустым, если хотите. Тем не менее, хорошо заполнить остальные.
  • Организация (O) — полное юридическое название вашей компании, включая любые суффиксы, например LLC. Если вы запрашиваете сертификат EV или OV (которые совершенно бессмысленны), его необходимо будет проверить. Однако для обычного SSL вы можете указать что угодно, поскольку он не проверяется и даже не требуется.
  • Организационное подразделение (OU) — подразделение вашей компании, которое обрабатывает сертификат.
  • Страна (C) — двухбуквенный код страны, в которой вы находитесь.
  • Штат / округ / регион (S) — полное название штата, в котором вы находитесь.
  • Город / населенный пункт (L) — полное название города, в котором вы находитесь.
  • Адрес электронной почты — адрес электронной почты вашей организации.
  • Используемый открытый ключ RSA

Единственное, что влияет на обработку вашего CSR-файла, — это ваше обычное имя. Доменное имя необходимо будет подтвердить, чтобы вы не смогли зарегистрировать чужой домен; Позже в процессе вам будет предложено подтвердить, что вы являетесь владельцем домена, но CSR-файл на это не повлияет.

Фактический файл CSR находится в формате PEM и представляет собой большой фрагмент данных в кодировке base64:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Однако вы не захотите редактировать это вручную; вместо этого вы можете использовать такой инструмент, как OpenSSL, чтобы сгенерировать его на своем сервере.

Как создать файл CSR

Если ваш сервер работает под управлением Linux, скорее всего, у вас уже установлен OpenSSL, если вы установили Apache или Ubuntu. Если нет, вы можете установить его из диспетчера пакетов вашего дистрибутива:

sudo apt-get install openssl

Затем выполните следующую команду, чтобы запустить мастер создания CSR:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Это создаст новый закрытый ключ для использования в процессе и сохранит его в server.key, Затем вам будет предложено ввести вашу информацию; при желании вы можете оставить большую часть поля пустой, но убедитесь, что общее имя правильное.

Чтобы написать новый закрытый ключ, вам будет предложено ввести информацию, которая будет включена в ваш запрос на сертификат.

Ваш запрос на подпись будет сохранен в server.csr, Ваш открытый ключ включен в этот запрос, но вы захотите сохранить закрытый ключ для продления в будущем.

Затем вам необходимо предоставить своему центру сертификации файл CSR, чтобы продолжить процесс создания сертификата SSL. Если вы используете certbot, это обрабатывается автоматически, и вам вообще не придется беспокоиться о файлах CSR.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.