Goedemiddag lieve lezers blogsite, het bericht van vandaag gaat niet over de nieuwe Windows 10 Creators-update, in het laatste bericht hebben we alles in detail besproken. Vandaag wil ik het met je hebben over wat is een CSR-verzoek en hoe u deze kunt genereren verschillende platforms webengines, laten we het hebben over waar en in welke situaties dit nuttig voor u zal zijn, dit materiaal zal erg handig zijn voor beginnende webmasters.
Wat is een MVO-verzoek?
MVO(certificaatondertekeningsverzoek) is verzoek om een certificaat te ontvangen, dat vertegenwoordigt tekstbestand, met gecodeerde informatie over de domeinbeheerder en openbare sleutel. MVO kan worden gegenereerd tijdens het bestelproces van het SSL-certificaat of op de webserver. of eenvoudiger. CSR is Certificate Signing Reques, in het Russisch, een verzoek om een certificaat te verkrijgen. Het doel van Ceis ter voorbereiding speciaal bestand, die zal bevatten noodzakelijke informatie over het domein waarvoor het de bedoeling is een SSL-certificaat uit te geven en informatie over de organisatie, uiteraard zal het geheel versleuteld zijn. Samen met de CSR zal worden gegenereerd privé sleutel(privésleutel), waarmee de server of dienst het verkeer tussen hem en de client zal decoderen. Lees meer over SSL-certificaten op de link. Zo ziet een MVO-verzoek eruit.
Ik heb u al een voorbeeld gegeven uit mijn werk, waarbij we een CSR-verzoek hebben gebruikt om een certificaat uit te geven voor de Zimbra-mailserver. Vandaag is het mijn taak om u alle mij bekende methoden te laten zien voor het genereren vanen.
Maak een mvo-verzoek
En dus zullen we een CSR-verzoek genereren voor de volgende platforms:
- Microsoft IIS 7 en hoger, omdat ik het nut ervan niet zie in eerdere versies
- Linux-platforms (Apache, ModSSL, Nginx)
- Onlinediensten
CSR-verzoek genereren op IIS 7
Op hostingsites is de webserver niet de meest voorkomende, open de IIS-beheerconsole. Selecteer de gewenste site en selecteer het pictogram "Servercertificaten".
In het venster dat wordt geopend, klikt u in het actiegebied op “maak een certificaataanvraag aan”
Vul de velden in:
- Volledige naam > schrijf meestal het bronadres
- Organisatie
- Afdeling > kan worden overgeslagen
- Stad
- Regio
- Land of regio > in het Latijn uw landaanduiding
En we geven de locatie aan waar het CSR-verzoek wordt opgeslagen; in feite zal het een regulier tekstbestand zijn.
CSR-verzoek genereren Apache, ModSSL, Nginx
Het maken van een CSR-verzoek in CentOS (Linux of MacOS) wordt uitgevoerd met behulp van het OpenSSL-hulpprogramma, wie niet weet wat het is, en in een paar woorden is het platformonafhankelijk software-oplossing, waarmee u met SSL/TLS-technologieën kunt werken, kunt beheren en ermee kunt communiceren cryptografische sleutels. In de CentOS 7-versie zit het al onder de motorkap, maar heb je OpenSSL nog niet geïnstalleerd, dan gebeurt dit met het volgende commando:
yum installeer openssl
Op Debian of Ubuntu ziet de opdracht er als volgt uit.
apt-get install openssl
Als u OpenSS in het systeem heeft, kunt u nu een CSR-verzoek genereren.
openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out ca.csr
Er worden twee bestanden gegenereerd:
- private.key > dit is uw privésleutel (privé), dit is het meeste geheime sleutel, het kan aan niemand worden gemeld of doorgegeven. Zeker doen reservekopie dit bestand kan van pas komen.
- ca.csr > dit is de certificaataanvraag zelf, die u bij de certificeringsinstantie indient om uw certificaat uit te geven en te ondertekenen.
Ik zou willen opmerken dat u de resulterende bestanden zult vinden in de map waar u de OpenSSL-opdracht uitvoert.
Laten we nu de velden doornemen die u moet invullen; voer hier de meest correcte informatie in, anders kunt u er last van krijgen.
- Landnaam (landcode van twee letters) - Omdat ik in Rusland woon, schrijf ik RU
- Staat of provincie (district, regio) - Ingevuld in het Engels, in mijn geval Moskou
- Plaats (volledige stadsnaam) - Moskou
- Organisatie ( Officiële naam organisaties) - Pyatilistnik inc. Let op: Wanneer u een certificaat door een particulier bestelt (relevant voor SSL-certificaten met domeinverificatie (DV-Domain Validation), moet u in dit veld de volledige naam van de certificaateigenaar opgeven, en de naam van uw site of merk in de Organisatie-eenheid veld.
- Organisatie-eenheid (optioneel veld: afdeling/afdeling) - IT
- Common Name (Domeinnaam waarvoor het SSL-certificaat is uitgegeven) - website
Als gevolg hiervan moet de inhoud van deze bestanden, de inhoud van ca.csr, worden overgedragen aan de certificeringsinstantie om uw certificaat uit te geven.
Meest handige manier voor beginnende webmasters, omdat er absoluut geen kennis van serverbeheer vereist is. Je gaat gewoon open online-formulier en vul de velden in, u ontvangt een CSR-verzoek als output. Ik bied je twee diensten aan waar ik gebruik van maak. De eerste is emaro-ssl, ik heb erover gesproken in een artikel over de uitgifte van een certificaat voor 3 jaar voor 1800 roebel. Vul de velden in en klik op genereren.
Er wordt een voor u aangemaakt, evenals een privésleutel.
De tweede dienst die een CSR-aanvraag doet voor een certificaat is sslcertificate.ru, ook vult u alle velden in en klikt u op CSR genereren. Hierdoor ontvangt u ook de private sleutel en de certificaataanvraag zelf. Hiermee kunt u het opslaan en ook per e-mail dupliceren. Let op: rechts staat een link naar de CSR-decoder, hiermee kunt u deze abracadabra ontcijferen. Voer uw cein het speciale veld in en klik op decoderen.
Als gevolg hiervan ontvangt u alle contactgegevens.
De procedure voor het voorbereiden van een CSR-aanvraag voor het verkrijgen van een SSL-certificaat. Aandacht! Houd gegenereerde vertrouwelijke gegevens buiten bereik onbevoegde personen plaats! Vergeet niet een kopie van uw privésleutel *.key te bewaren, voor het geval u deze kwijtraakt dit bestand U dient een nieuw certificaat te bestellen. Deze handleiding is ontworpen om te werken met Apache + Mod SSL + OpenSSL, maar kan in andere omgevingen worden gebruikt.
Voor COMTET-hostingklanten kunnen deze acties op verzoek door onze medewerkers worden uitgevoerd. Je kunt ook gebruiken.
Gebruik deze stap-voor-stap instructies om een MVO-verzoek voor uw website te genereren. Hierdoor ontvangt u een CSR-verzoek, dat nodig is voor het verkrijgen van een SSL-certificaat.
Stap voor stap instructies:
Stap 1: OpenSSL
Installeren OpenSSL, Als dit programma ontbreekt op uw server.
Stap 2. Maak een RSA-sleutel voor Apache-webserver
Ga naar de map om sleutels te maken:
cd /apacheserverroot/conf/ssl.key
(ssl.key is de standaardmap voor sleutels).
Als u een ander pad gebruikt, ga dan naar de map van de Apache-webserver voor privésleutels.
Voer de volgende opdracht in om een gecodeerde privésleutel te genereren. U wordt gevraagd een wachtwoord in te voeren om toegang te krijgen tot het bestand. Dit wachtwoord moet ook elke keer dat de webserver wordt gestart, worden ingevoerd (laat het wachtwoord leeg om dit te voorkomen).
Let op: als u uw wachtwoord kwijtraakt, moet u een nieuw certificaat bestellen.
openssl genrsa -des3 -out domeinnaam.key 2048
U kunt een privésleutel aanmaken zonder gebruik te maken van encryptie als u niet elke keer dat u de webserver opstart een wachtwoord wilt invoeren:
openssl genrsa -out domeinnaam.key 2048
De minimale sleutelgrootte voor een CSR-verzoek is 2048 bits.
Stap 3: Haal het CSR-bestand op
Voer de volgende opdracht in om een CSR te genereren met een RSA-privésleutel (de uitvoer is in PEM-formaat):
openssl req -new -key domeinnaam.key -out domeinnaam.csr
Opmerking: als u in stap 2 de schakeloptie "-des3" hebt gebruikt, wordt u om een wachtwoord voor het PEM-formaat gevraagd.
Bij het aanmaken van een CSR dient u zich aan de volgende regels te houden. Voer de informatie in die op het certificaat zal verschijnen. De volgende tekens kunnen niet worden gebruikt:< > ~ ! @ # $ % ^ * / \ () ? . , &
DN-veld |
Uitleg |
Voorbeeld |
Algemene naam | De volledig gekwalificeerde domeinnaam voor uw webserver. Het moet precies overeenkomen. | Als u van plan bent de volgende URL te gebruiken: https://www.uwdomein.com, dan moet de "Common Name" www.uwdomein.com zijn Voor WildCard-certificaten dient u dit aan te geven met een asterisk. Voorbeeld: *.uwdomein.com |
Organisatie | De exacte naam van de organisatie conform het Charter van de organisatie op Engels. Gebruik geen verkorte organisatienaam. | Uw bedrijf |
Organisatie-eenheid | Naam afdeling, divisie (in het Engels). | Marketing |
Stad of plaats | Stad waar de organisatie officieel is geregistreerd (in het Engels). | Moskou |
Staat of provincie | De regio waarin de organisatie officieel is geregistreerd (in het Engels). | Moskou |
Land | Land, als een ISO-code van twee tekens. Voor Rusland: RU. | RU |
Voer geen extra attributen in en laat het wachtwoord leeg (druk op Enter).
Voor privé individuen, geef in de velden Organisatie- en divisienaam in aan Latijnse transcriptie Volledige naam, bijvoorbeeld Ivanov I Ivan.
Opmerking: gebruik de volgende opdracht om de inhoud van de CSR te controleren:
openssl req -noout -text -in domeinnaam.csr
Stap 4.
Stuur ons het CSR-bestand zoals beschreven in Een SSL-certificaat verkrijgen.
De privésleutel moet beginnen met -----BEGIN RSA PRIVATE KEY----- en eindigen met -----END RSA PRIVATE KEY-----. Om de inhoud van de privésleutel te bekijken, gebruikt u de volgende opdracht:
openssl rsa -noout -text -in domeinnaam.sleutel
Voor andere webservers zijn instructies voor het verkrijgen van een CSR te vinden.
Proces MVO generatie verschilt afhankelijk van type, uitvoering en samenstelling software op de server geïnstalleerd.
Voor de meest voorkomende geven wij instructies voor het genereren van MVO Apache-webserver. Als deze instructies niet van toepassing zijn en u andere serversoftware gebruikt, neem dan contact op met de webserverbeheerder of het ondersteuningsteam van het bedrijf dat de hosting voor uw site levert om een CSR te genereren.
Het OpenSSL-hulpprogramma wordt gebruikt om de geheime sleutel en het certificaatverzoek (CSR) te genereren. Dit hulpprogramma wordt meestal standaard meegeleverd met de Apache-webserver.
- IN opdrachtregel server, voer het commando in: openssl req -newkey rsa:2048 -nodes -keyout www.mijndomein.com.key -out www.mijndomein.com.csr
- Voer informatie in voor het. Deze informatie verschijnt op het certificaat.
Aandacht:
- alle informatie moet in het Engels worden ingevoerd
- Het is verboden de volgende tekens te gebruiken:< > ~ ! @ # $ % ^ * / \ () ?.,&
Parameter Middelen Voorbeeld Landnaam ISO-landcode van twee letters
RU Naam van staat of provincie
De regio of regio waar de organisatie officieel is geregistreerd. Moskou Plaatsnaam De stad waar de organisatie officieel is geregistreerd. Moskou Organisatienaam
De exacte naam van de organisatie conform het Charter van de organisatie in het Engels. Gebruik geen verkorte organisatienaam. MijnBedrijf Inc Naam van organisatie-eenheid
Naam van de afdeling of divisie (in het Engels). HET Algemene naam Volledig gekwalificeerde domeinnaam voor een webserver in FQDN-formaat - Volledig gekwalificeerd Domeinnaam. Aandacht! Alle certificaten, behalve het Wildcard-certificaat, beschermen slechts één host, bijvoorbeeld het domein zelf "mijndomein.ru", of "www.mijndomein.ru", of een subdomein van het formulier "beveilig.mijndomein.ru". Let op, u moet de exacte domeinnaam opgeven waarvoor het certificaat is uitgegeven. www.mijndomein.com E-mailadres
Geen vulling nodig Een uitdagingswachtwoord
Geen vulling nodig Een optionele bedrijfsnaam Geen vulling nodig - Controleer de CSR op juistheid:
openssl req -noout -text -in www.mijndomein.com.csr
Als de CSR correct is gegenereerd, zou het resultaat van het uitvoeren van deze opdracht ongeveer als volgt moeten zijn:
Certificaataanvraag:
Gegevens:
Versie: 0 (0x0)
Onderwerp: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mijndomein.com
Onderwerp openbare sleutelinformatie:
Algoritme voor openbare sleutels: rsaEncryption
RSA publieke sleutel: (2048 bit)
Modulus (2048 bit):
[...]
Als resultaat van deze acties wordt een certificaataanvraag (CSR) aangemaakt en opgeslagen in het bestand www.mijndomein.com.csr. Er wordt ook een persoonlijke RSA-sleutel 2048 gegenereerd en opgeslagen in het bestand www.mydomain.com.key.
U kunt ook de client gebruiken OpenSSL voor Windows, waarmee je alles kunt doen noodzakelijke acties om direct een geheime sleutel en CSR te genereren Windows-omgeving. U kunt de OpenSSL-client voor Windows downloaden via de volgende link: http://www.slproweb.com/products/Win32OpenSSL.html. Deze client kan worden geïnstalleerd lokale computer, en met zijn hulp kunt u alle bovenstaande opdrachten uitvoeren en de geheime sleutel en CSR ophalen in de bestanden www.mydomain.com.csr en www.mydomain.com.key, die op uw computer worden opgeslagen.
Nadat u de CSR heeft gegenereerd en het certificaat heeft ontvangen, kunt u beginnen
CSR (certificaatondertekeningsverzoek) is een gecodeerd certificaatuitgifteverzoek met daarin gedetailleerde informatie over het domein en de organisatie. Generatie MVO is een noodzakelijke voorbereidingsprocedure voor het verkrijgen van een SSL-certificaat. Gegenereerd MVO opgenomen in het aanvraagformulier voor het verkrijgen van een certificaat.
Hoe creëer je MVO?
Wanneer u een certificaat bestelt, wordt u gevraagd automatisch een CSR te genereren. Formulier automatische generatie MVO is beschikbaar op .
Als je zelf MVO wilt genereren, volg dan deze stappen.
De instructies zijn relevant voor Linux-achtig besturingssystemen(CentOS, Debian, Ubuntu...). Alle acties moeten worden uitgevoerd op de opdrachtregel (in de terminal).
Als je besteld hebt VPS-server of websitehosting, kunt u er rechtstreeks een CSR op genereren door verbinding te maken via SSH:
Bewaar het private.key-bestand op een veilige plaats. Deze heeft u vervolgens nodig om het certificaat op de server te installeren. Laat de inhoud van dit bestand nooit aan iemand zien, anders schendt u mogelijk de vertrouwelijkheid van informatie, wat kan leiden tot onverwachte gevolgen en sancties van het certificeringsbedrijf.
Het herhalen van het generatiecommando zal niet precies dezelfde sleutel opleveren - het zal een andere sleutel zijn en u zult er opnieuw voor moeten genereren MVO en geef het certificaat opnieuw uit.
Om een SSL-certificaat aan een domein of subdomein te koppelen, moet u een CSR genereren. De CSR is gecodeerde informatie voor de certificeringsinstantie die het certificaat zal uitgeven. In de CSR staan uw naam of bedrijfsnaam, adres en domein. De SSL wordt uitgegeven aan het domein dat vermeld staat in de CSR, dus controleer of u het correct hebt geschreven.
Waarom heeft u een online CSR SSL-generator nodig:
1. Genereer een CSR-verzoek voor het uitgeven van een SSL-certificaat (Code Signing Request, CSR).
2. Ontvang een privésleutel van 2048 bits voor installatie op de server.
Bekijk voordat u een CSR-verzoek genereert de korte instructies om geen fouten te maken.
Voor wie een CSR-aanvraag genereert voor een certificaat met ondersteuning voor subdomeinen (Wildcard SSL): in het veld " Domeinnaam» gebruik het formaat: *.moydomain.com
IIS-versie 5.6
Vul de velden in het Engels in. Mocht er iets onduidelijk zijn, stel dan een vraag in onze chat. Wat moet u aangeven in de generatorvelden:
Titel of naam:
Domeinnaam (algemene naam)— domein of subdomein waarop het certificaat wordt geïnstalleerd.
Organisatie— naam van het bedrijf of volledige naam van de persoon voor wie het certificaat wordt afgegeven.
Organisatie-eenheid— de afdeling die het certificaat koopt. Bent u geen organisatie of heeft u geen afdeling, geef dit dan aan HET.
Adres van het bedrijf of de persoon aan wie het certificaat wordt afgegeven:
Stad- stad. Voorbeeld: Charkov.
Regio/Staat- regio. Voorbeeld: Oblast Charkovska.
Land— land in de vorm van een code van twee tekens. UA voor Oekraïne, RU voor Rusland.
E-mail — e-mail administratief contact.
Over de kenmerken van MVO-generatie voor verschillende soorten Lees meer over SSL-certificaten in