Waar SSL-sleutel csr genereren. CSR-verzoek, wat is het en hoe genereer je het?

Goedemiddag lieve lezers blogsite, het bericht van vandaag gaat niet over de nieuwe Windows 10 Creators-update, in het laatste bericht hebben we alles in detail besproken. Vandaag wil ik het met je hebben over wat is een CSR-verzoek en hoe u deze kunt genereren verschillende platforms webengines, laten we het hebben over waar en in welke situaties dit nuttig voor u zal zijn, dit materiaal zal erg handig zijn voor beginnende webmasters.

Wat is een MVO-verzoek?

MVO(certificaatondertekeningsverzoek) is verzoek om een ​​certificaat te ontvangen, dat vertegenwoordigt tekstbestand, met gecodeerde informatie over de domeinbeheerder en openbare sleutel. MVO kan worden gegenereerd tijdens het bestelproces van het SSL-certificaat of op de webserver. of eenvoudiger. CSR is Certificate Signing Reques, in het Russisch, een verzoek om een ​​certificaat te verkrijgen. Het doel van Ceis ter voorbereiding speciaal bestand, die zal bevatten noodzakelijke informatie over het domein waarvoor het de bedoeling is een SSL-certificaat uit te geven en informatie over de organisatie, uiteraard zal het geheel versleuteld zijn. Samen met de CSR zal worden gegenereerd privé sleutel(privésleutel), waarmee de server of dienst het verkeer tussen hem en de client zal decoderen. Lees meer over SSL-certificaten op de link. Zo ziet een MVO-verzoek eruit.
Ik heb u al een voorbeeld gegeven uit mijn werk, waarbij we een CSR-verzoek hebben gebruikt om een ​​certificaat uit te geven voor de Zimbra-mailserver. Vandaag is het mijn taak om u alle mij bekende methoden te laten zien voor het genereren vanen.

Maak een mvo-verzoek

En dus zullen we een CSR-verzoek genereren voor de volgende platforms:

  • Microsoft IIS 7 en hoger, omdat ik het nut ervan niet zie in eerdere versies
  • Linux-platforms (Apache, ModSSL, Nginx)
  • Onlinediensten

CSR-verzoek genereren op IIS 7

Op hostingsites is de webserver niet de meest voorkomende, open de IIS-beheerconsole. Selecteer de gewenste site en selecteer het pictogram "Servercertificaten".

In het venster dat wordt geopend, klikt u in het actiegebied op “maak een certificaataanvraag aan”

Vul de velden in:

  1. Volledige naam > schrijf meestal het bronadres
  2. Organisatie
  3. Afdeling > kan worden overgeslagen
  4. Stad
  5. Regio
  6. Land of regio > in het Latijn uw landaanduiding

En we geven de locatie aan waar het CSR-verzoek wordt opgeslagen; in feite zal het een regulier tekstbestand zijn.

CSR-verzoek genereren Apache, ModSSL, Nginx

Het maken van een CSR-verzoek in CentOS (Linux of MacOS) wordt uitgevoerd met behulp van het OpenSSL-hulpprogramma, wie niet weet wat het is, en in een paar woorden is het platformonafhankelijk software-oplossing, waarmee u met SSL/TLS-technologieën kunt werken, kunt beheren en ermee kunt communiceren cryptografische sleutels. In de CentOS 7-versie zit het al onder de motorkap, maar heb je OpenSSL nog niet geïnstalleerd, dan gebeurt dit met het volgende commando:

yum installeer openssl

Op Debian of Ubuntu ziet de opdracht er als volgt uit.

apt-get install openssl

Als u OpenSS in het systeem heeft, kunt u nu een CSR-verzoek genereren.

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out ca.csr

Er worden twee bestanden gegenereerd:

  • private.key > dit is uw privésleutel (privé), dit is het meeste geheime sleutel, het kan aan niemand worden gemeld of doorgegeven. Zeker doen reservekopie dit bestand kan van pas komen.
  • ca.csr > dit is de certificaataanvraag zelf, die u bij de certificeringsinstantie indient om uw certificaat uit te geven en te ondertekenen.

Ik zou willen opmerken dat u de resulterende bestanden zult vinden in de map waar u de OpenSSL-opdracht uitvoert.


Laten we nu de velden doornemen die u moet invullen; voer hier de meest correcte informatie in, anders kunt u er last van krijgen.

  1. Landnaam (landcode van twee letters) - Omdat ik in Rusland woon, schrijf ik RU
  2. Staat of provincie (district, regio) - Ingevuld in het Engels, in mijn geval Moskou
  3. Plaats (volledige stadsnaam) - Moskou
  4. Organisatie ( Officiële naam organisaties) - Pyatilistnik inc. Let op: Wanneer u een certificaat door een particulier bestelt (relevant voor SSL-certificaten met domeinverificatie (DV-Domain Validation), moet u in dit veld de volledige naam van de certificaateigenaar opgeven, en de naam van uw site of merk in de Organisatie-eenheid veld.
  5. Organisatie-eenheid (optioneel veld: afdeling/afdeling) - IT
  6. Common Name (Domeinnaam waarvoor het SSL-certificaat is uitgegeven) - website

Als gevolg hiervan moet de inhoud van deze bestanden, de inhoud van ca.csr, worden overgedragen aan de certificeringsinstantie om uw certificaat uit te geven.

Meest handige manier voor beginnende webmasters, omdat er absoluut geen kennis van serverbeheer vereist is. Je gaat gewoon open online-formulier en vul de velden in, u ontvangt een CSR-verzoek als output. Ik bied je twee diensten aan waar ik gebruik van maak. De eerste is emaro-ssl, ik heb erover gesproken in een artikel over de uitgifte van een certificaat voor 3 jaar voor 1800 roebel. Vul de velden in en klik op genereren.
Er wordt een voor u aangemaakt, evenals een privésleutel.
De tweede dienst die een CSR-aanvraag doet voor een certificaat is sslcertificate.ru, ook vult u alle velden in en klikt u op CSR genereren. Hierdoor ontvangt u ook de private sleutel en de certificaataanvraag zelf. Hiermee kunt u het opslaan en ook per e-mail dupliceren. Let op: rechts staat een link naar de CSR-decoder, hiermee kunt u deze abracadabra ontcijferen. Voer uw cein het speciale veld in en klik op decoderen.
Als gevolg hiervan ontvangt u alle contactgegevens.

De procedure voor het voorbereiden van een CSR-aanvraag voor het verkrijgen van een SSL-certificaat. Aandacht! Houd gegenereerde vertrouwelijke gegevens buiten bereik onbevoegde personen plaats! Vergeet niet een kopie van uw privésleutel *.key te bewaren, voor het geval u deze kwijtraakt dit bestand U dient een nieuw certificaat te bestellen. Deze handleiding is ontworpen om te werken met Apache + Mod SSL + OpenSSL, maar kan in andere omgevingen worden gebruikt.

Voor COMTET-hostingklanten kunnen deze acties op verzoek door onze medewerkers worden uitgevoerd. Je kunt ook gebruiken.

Gebruik deze stap-voor-stap instructies om een ​​MVO-verzoek voor uw website te genereren. Hierdoor ontvangt u een CSR-verzoek, dat nodig is voor het verkrijgen van een SSL-certificaat.

Stap voor stap instructies:

Stap 1: OpenSSL

Installeren OpenSSL, Als dit programma ontbreekt op uw server.

Stap 2. Maak een RSA-sleutel voor Apache-webserver

Ga naar de map om sleutels te maken:

cd /apacheserverroot/conf/ssl.key
(ssl.key is de standaardmap voor sleutels).

Als u een ander pad gebruikt, ga dan naar de map van de Apache-webserver voor privésleutels.

Voer de volgende opdracht in om een ​​gecodeerde privésleutel te genereren. U wordt gevraagd een wachtwoord in te voeren om toegang te krijgen tot het bestand. Dit wachtwoord moet ook elke keer dat de webserver wordt gestart, worden ingevoerd (laat het wachtwoord leeg om dit te voorkomen).

Let op: als u uw wachtwoord kwijtraakt, moet u een nieuw certificaat bestellen.

openssl genrsa -des3 -out domeinnaam.key 2048

U kunt een privésleutel aanmaken zonder gebruik te maken van encryptie als u niet elke keer dat u de webserver opstart een wachtwoord wilt invoeren:

openssl genrsa -out domeinnaam.key 2048

De minimale sleutelgrootte voor een CSR-verzoek is 2048 bits.

Stap 3: Haal het CSR-bestand op

Voer de volgende opdracht in om een ​​CSR te genereren met een RSA-privésleutel (de uitvoer is in PEM-formaat):

openssl req -new -key domeinnaam.key -out domeinnaam.csr

Opmerking: als u in stap 2 de schakeloptie "-des3" hebt gebruikt, wordt u om een ​​wachtwoord voor het PEM-formaat gevraagd.

Bij het aanmaken van een CSR dient u zich aan de volgende regels te houden. Voer de informatie in die op het certificaat zal verschijnen. De volgende tekens kunnen niet worden gebruikt:< > ~ ! @ # $ % ^ * / \ () ? . , &

DN-veld

Uitleg

Voorbeeld
Algemene naam De volledig gekwalificeerde domeinnaam voor uw webserver. Het moet precies overeenkomen. Als u van plan bent de volgende URL te gebruiken: https://www.uwdomein.com, dan moet de "Common Name" www.uwdomein.com zijn
Voor WildCard-certificaten dient u dit aan te geven met een asterisk. Voorbeeld: *.uwdomein.com
Organisatie De exacte naam van de organisatie conform het Charter van de organisatie op Engels. Gebruik geen verkorte organisatienaam. Uw bedrijf
Organisatie-eenheid Naam afdeling, divisie (in het Engels). Marketing
Stad of plaats Stad waar de organisatie officieel is geregistreerd (in het Engels). Moskou
Staat of provincie De regio waarin de organisatie officieel is geregistreerd (in het Engels). Moskou
Land Land, als een ISO-code van twee tekens. Voor Rusland: RU. RU

Voer geen extra attributen in en laat het wachtwoord leeg (druk op Enter).

Voor privé individuen, geef in de velden Organisatie- en divisienaam in aan Latijnse transcriptie Volledige naam, bijvoorbeeld Ivanov I Ivan.

Opmerking: gebruik de volgende opdracht om de inhoud van de CSR te controleren:
openssl req -noout -text -in domeinnaam.csr

Stap 4.

Stuur ons het CSR-bestand zoals beschreven in Een SSL-certificaat verkrijgen.

De privésleutel moet beginnen met -----BEGIN RSA PRIVATE KEY----- en eindigen met -----END RSA PRIVATE KEY-----. Om de inhoud van de privésleutel te bekijken, gebruikt u de volgende opdracht:
openssl rsa -noout -text -in domeinnaam.sleutel

Voor andere webservers zijn instructies voor het verkrijgen van een CSR te vinden.

Proces MVO generatie verschilt afhankelijk van type, uitvoering en samenstelling software op de server geïnstalleerd.

Voor de meest voorkomende geven wij instructies voor het genereren van MVO Apache-webserver. Als deze instructies niet van toepassing zijn en u andere serversoftware gebruikt, neem dan contact op met de webserverbeheerder of het ondersteuningsteam van het bedrijf dat de hosting voor uw site levert om een ​​CSR te genereren.

Het OpenSSL-hulpprogramma wordt gebruikt om de geheime sleutel en het certificaatverzoek (CSR) te genereren. Dit hulpprogramma wordt meestal standaard meegeleverd met de Apache-webserver.

  1. IN opdrachtregel server, voer het commando in: openssl req -newkey rsa:2048 -nodes -keyout www.mijndomein.com.key -out www.mijndomein.com.csr
  2. Voer informatie in voor het. Deze informatie verschijnt op het certificaat.

    Aandacht:

    • alle informatie moet in het Engels worden ingevoerd
    • Het is verboden de volgende tekens te gebruiken:< > ~ ! @ # $ % ^ * / \ () ?.,&
    Parameter Middelen Voorbeeld
    Landnaam

    ISO-landcode van twee letters

    		 RU
    Naam van staat of provincie
    		De regio of regio waar de organisatie officieel is geregistreerd. Moskou
    Plaatsnaam De stad waar de organisatie officieel is geregistreerd. Moskou
    Organisatienaam
    		De exacte naam van de organisatie conform het Charter van de organisatie in het Engels. Gebruik geen verkorte organisatienaam. MijnBedrijf Inc
    Naam van organisatie-eenheid
    		Naam van de afdeling of divisie (in het Engels). HET
    Algemene naam Volledig gekwalificeerde domeinnaam voor een webserver in FQDN-formaat - Volledig gekwalificeerd Domeinnaam. Aandacht! Alle certificaten, behalve het Wildcard-certificaat, beschermen slechts één host, bijvoorbeeld het domein zelf "mijndomein.ru", of "www.mijndomein.ru", of een subdomein van het formulier "beveilig.mijndomein.ru". Let op, u moet de exacte domeinnaam opgeven waarvoor het certificaat is uitgegeven. www.mijndomein.com
    E-mailadres
    		Geen vulling nodig
    Een uitdagingswachtwoord
    		Geen vulling nodig
    Een optionele bedrijfsnaam Geen vulling nodig

  3. Controleer de CSR op juistheid:
    openssl req -noout -text -in www.mijndomein.com.csr
    Als de CSR correct is gegenereerd, zou het resultaat van het uitvoeren van deze opdracht ongeveer als volgt moeten zijn:
    Certificaataanvraag:
    Gegevens:
    Versie: 0 (0x0)
    Onderwerp: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mijndomein.com
    Onderwerp openbare sleutelinformatie:
    Algoritme voor openbare sleutels: rsaEncryption
    RSA publieke sleutel: (2048 bit)
    Modulus (2048 bit):
    [...]

Als resultaat van deze acties wordt een certificaataanvraag (CSR) aangemaakt en opgeslagen in het bestand www.mijndomein.com.csr. Er wordt ook een persoonlijke RSA-sleutel 2048 gegenereerd en opgeslagen in het bestand www.mydomain.com.key.

U kunt ook de client gebruiken OpenSSL voor Windows, waarmee je alles kunt doen noodzakelijke acties om direct een geheime sleutel en CSR te genereren Windows-omgeving. U kunt de OpenSSL-client voor Windows downloaden via de volgende link: http://www.slproweb.com/products/Win32OpenSSL.html. Deze client kan worden geïnstalleerd lokale computer, en met zijn hulp kunt u alle bovenstaande opdrachten uitvoeren en de geheime sleutel en CSR ophalen in de bestanden www.mydomain.com.csr en www.mydomain.com.key, die op uw computer worden opgeslagen.

Nadat u de CSR heeft gegenereerd en het certificaat heeft ontvangen, kunt u beginnen

CSR (certificaatondertekeningsverzoek) is een gecodeerd certificaatuitgifteverzoek met daarin gedetailleerde informatie over het domein en de organisatie. Generatie MVO is een noodzakelijke voorbereidingsprocedure voor het verkrijgen van een SSL-certificaat. Gegenereerd MVO opgenomen in het aanvraagformulier voor het verkrijgen van een certificaat.

Hoe creëer je MVO?

Wanneer u een certificaat bestelt, wordt u gevraagd automatisch een CSR te genereren. Formulier automatische generatie MVO is beschikbaar op .

Als je zelf MVO wilt genereren, volg dan deze stappen.

De instructies zijn relevant voor Linux-achtig besturingssystemen(CentOS, Debian, Ubuntu...). Alle acties moeten worden uitgevoerd op de opdrachtregel (in de terminal).
Als je besteld hebt VPS-server of websitehosting, kunt u er rechtstreeks een CSR op genereren door verbinding te maken via SSH:

Bewaar het private.key-bestand op een veilige plaats. Deze heeft u vervolgens nodig om het certificaat op de server te installeren. Laat de inhoud van dit bestand nooit aan iemand zien, anders schendt u mogelijk de vertrouwelijkheid van informatie, wat kan leiden tot onverwachte gevolgen en sancties van het certificeringsbedrijf.

Het herhalen van het generatiecommando zal niet precies dezelfde sleutel opleveren - het zal een andere sleutel zijn en u zult er opnieuw voor moeten genereren MVO en geef het certificaat opnieuw uit.

Om een ​​SSL-certificaat aan een domein of subdomein te koppelen, moet u een CSR genereren. De CSR is gecodeerde informatie voor de certificeringsinstantie die het certificaat zal uitgeven. In de CSR staan ​​uw naam of bedrijfsnaam, adres en domein. De SSL wordt uitgegeven aan het domein dat vermeld staat in de CSR, dus controleer of u het correct hebt geschreven.

Waarom heeft u een online CSR SSL-generator nodig:

1. Genereer een CSR-verzoek voor het uitgeven van een SSL-certificaat (Code Signing Request, CSR).
2. Ontvang een privésleutel van 2048 bits voor installatie op de server.

Bekijk voordat u een CSR-verzoek genereert de korte instructies om geen fouten te maken.

Voor wie een CSR-aanvraag genereert voor een certificaat met ondersteuning voor subdomeinen (Wildcard SSL): in het veld " Domeinnaam» gebruik het formaat: *.moydomain.com

UA Oekraïne RU Rusland BY Wit-Rusland AF Afghanistan AX Alandeilanden AL Albanië DZ Algerije AS Amerikaans-Samoa AD Andorra AO Angola AI Anguilla AQ Antarctica AG Antigua en Barbuda AR Argentinië AM Armenië AW Aruba AU Australië AT Oostenrijk AZ Azerbeidzjan BS Bahama's BH Bahrein BD Bangladesh BB Barbados BE België BZ Belize BJ Benin BM Bermuda BT Bhutan BO Bolivia BA Bosnië en Herzegovina BW Botswana BV Bouvet Island BR Brazilië IO Brits Indische Oceaanterritorium BN Brunei Darussalam BG Bulgarije BF Burkina Faso BI Burundi KH Cambodja CM Kameroen CA Canada CV Kaapverdië KY Kaaimaneilanden CF Centraal-Afrikaanse Republiek TD Tsjaad CL Chili CN China CX Christmaseiland CC Cocoseilanden CO Colombia KM Comoren CG Congo CD Congo, Democratische Republiek CK Cookeilanden CR Costa Rica CI Ivoorkust HR Kroatië CU Cuba CW Curaçao CY Cyprus CZ Tsjechië DK Denemarken DJ Djibouti DM Dominica DO Dominicaanse Republiek EC Ecuador EG Egypte SV El Salvador GQ Equatoriaal-Guinea ER Eritrea EE Estland ET Ethiopië FK Falklandeilanden (Malvinas) FO Faeröer FJ Fiji FI Finland FR Frankrijk GF Frans-Guyana PF Frans-Polynesië TF Frans Zuidelijke Gebieden GA Gabon GM Gambia GE Georgië DE Duitsland GH Ghana GI Gibraltar GR Griekenland GL Groenland GD Grenada GP Guadeloupe GU Guam GT Guatemala GG Guernsey GN Guinee GW Guinee-Bissau GY Guyana HT Haïti HM Heardeiland en McDonaldeilanden VA Heilige Stoel (Vaticaanstad Staat) HN Honduras HK Hongkong HU Hongarije IS IJsland IN India ID Indonesië IR Iran, Islamitische Republiek IQ Irak IE Ierland IM Isle Of Man IL Israël IT Italië JM Jamaica JP Japan JE Jersey JO Jordanië KZ Kazachstan KE Kenia KI Kiribati KR Korea KW Koeweit KG Kirgizië LA Laos Mensen" s Democratische Republiek LV Letland LB Libanon LS Lesotho LR Liberia LY Libisch-Arabische Jamahiriya LI Liechtenstein LT Litouwen LU Luxemburg MO Macau MK Macedonië MG Madagaskar MW Malawi MY Maleisië MV Malediven ML Mali MT Malta MH Marshalleilanden MQ Martinique MR Mauritanië MU Mauritius YT Mayotte MX Mexico FM Micronesië, Federale Staten van MD Moldavië MC Monaco MN Mongolië ME Montenegro MS Montserrat MA Marokko MZ Mozambique MM Myanmar NA Namibië NR Nauru NP Nepal NL Nederland AN Nederlandse Antillen NC Nieuw-Caledonië NZ Nieuw-Zeeland NI Nicaragua NE Niger NG Nigeria NU Niue NF Norfolkeiland MP Noordelijke Marianen NO Noorwegen OM Oman PK Pakistan PW Palau PS Palestina, PA Panama PG Papoea-Nieuw-Guinea PY Paraguay PE Peru PH Filippijnen PN Pitcairn PL Polen PT Portugal PR Puerto Rico QA Qatar RE Reunion RO Roemenië RW Rwanda BL Saint Barthelemy SH Sint-Helena KN Saint Kitts en Nevis LC Saint Lucia MF Saint Martin PM Saint Pierre en Miquelon VC Saint Vincent en de Grenadines WS Samoa SM San Marino ST Sao Tomé en Principe SA Saoedi-Arabië SN Senegal RS Servië SC Seychellen SL Sierra Leone SG Singapore SK Slowakije SI Slovenië SB Salomonseilanden SO Somalië ZA Zuid-Afrika GS Zuid-Georgië en Sandwich Isl.

WF Wallis en Futuna EH Westelijke Sahara YE Jemen ZM Zambia ZW Zimbabwe [email protected] Om een ​​CSR te genereren voor een certificaat waarop wordt geïnstalleerd IIS-server, moet u een verzoek op de server zelf genereren. Hieronder vind je er 2
stap voor stap handleidingen
om CSR op IIS te genereren:

IIS-versie 5.6

Vul de velden in het Engels in. Mocht er iets onduidelijk zijn, stel dan een vraag in onze chat. Wat moet u aangeven in de generatorvelden:

Titel of naam:
Domeinnaam (algemene naam)— domein of subdomein waarop het certificaat wordt geïnstalleerd.
Organisatie— naam van het bedrijf of volledige naam van de persoon voor wie het certificaat wordt afgegeven.
Organisatie-eenheid— de afdeling die het certificaat koopt. Bent u geen organisatie of heeft u geen afdeling, geef dit dan aan HET.

Adres van het bedrijf of de persoon aan wie het certificaat wordt afgegeven:
Stad- stad. Voorbeeld: Charkov.
Regio/Staat- regio. Voorbeeld: Oblast Charkovska.
Land— land in de vorm van een code van twee tekens. UA voor Oekraïne, RU voor Rusland.
E-maile-mail administratief contact.

Over de kenmerken van MVO-generatie voor verschillende soorten Lees meer over SSL-certificaten in



GERELATEERDE ARTIKELEN