Генерация CSR для домена
Процесс генерации CSR отличается в зависимости от типа, версий и состава программного обеспечения, установленного на сервере.
Мы приводим инструкцию по генерации CSR для наиболее распространённого веб-сервера Apache. Если эта инструкция не подходит и используется другое серверное ПО, для генерации CSR обратитесь к администратору веб-сервера или в службу поддержки компании, предоставляющей хостинг для вашего сайта.
Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита OpenSSL. Эта утилита, как правило, входит в стандартную поставку веб-сервера Apache.
- В командной строке сервера введите команду:
openssl req -newkey rsa:2048 -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
- Введите информацию для запроса на подпись сертификата. Эта информация будет отображена в сертификате.
Внимание:
- вся информация должна вводиться на английском языке
- запрещено использовать символы: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
Параметр | Означает | Пример |
Country Name |
Двухбуквенный ISO-код страны
|
RU |
State or Province Name |
Область или край, где официально зарегистрирована организация. |
Moscow |
Locality Name |
Город, где официально зарегистрирована организация. |
Moscow |
Organization Name |
Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. |
MyCompany Inc |
Organizational Unit Name |
Название отдела или подразделения (на английском языке). |
IT |
Common Name |
Полное доменное имя для веб-сервера в формате FQDN - Fully Qualifed Domain Name. Внимание! Все сертификаты, кроме Wildcard Certificate, защищают только один хост — например, либо сам домен вида "mydomain.ru", либо "www.mydomain.ru", либо любой субдомен вида "secure.mydomain.ru". Будьте внимательны, Вам необходимо указать именно то имя домена, на которое выписывается сертификат. |
www.mydomain.com |
Email Address |
Заполнять не требуется |
|
A challenge password |
Заполнять не требуется |
|
An optional company name |
Заполнять не требуется |
|
- Проверьте CSR на правильность:
openssl req -noout -text -in www.mydomain.com.csr
Если CSR сгенерирован правильно, то в результате выполнения этой команды должен быть выдан примерно такой текст:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mydomain.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
[...]
В результате этих действий будет создан и сохранён в файле www.mydomain.com.csr запрос на сертификат (CSR). Также будет сгенерирован и сохранен в файл www.mydomain.com.key секретный ключ 2048 RSA.
Вы также можете воспользоваться клиентом OpenSSL для Windows, который позволит Вам проделать все необходимые действия по генерации секретного ключа и CSR непосредственно в среде Windows. Скачать клиент OpenSSL для Windows можно по следующей ссылке: http://www.slproweb.com/products/Win32OpenSSL.html. Этот клиент можно установить на локальный компьютер, и далее с его помощью Вы сможете выполнить все перечисленные выше команды и получить секретный ключ и CSR в файлах www.mydomain.com.csr и www.mydomain.com.key, которые будут сохранены на вашем компьютере.
После того, как вы сгенерировали CSR и получили сертификат, можно приступить к установке SSL-сертификата на сервер.