Ufunguo wa kibinafsi baada ya kutoa ombi la comodo csr. CSR ni nini na jinsi ya kuifanya

Habari za mchana wasomaji wapendwa tovuti ya blogu, chapisho la leo halitakuwa kuhusu sasisho mpya za waundaji 10, katika chapisho la mwisho tulijadili kila kitu kwa undani. Leo nataka kuzungumza nawe kuhusu ombi la CSR ni nini na jinsi ya kuitengeneza majukwaa mbalimbali injini za wavuti, hebu tuzungumze juu ya wapi na katika hali gani hii itakuwa na manufaa kwako, nyenzo hii itakuwa muhimu sana kwa wasimamizi wa wavuti wa novice.

Ombi la CSR ni nini?

CSR(Ombi la Kusaini Cheti) ni ombi kupokea cheti, ambayo ni faili ya maandishi iliyo na habari iliyosimbwa kuhusu msimamizi wa kikoa na ufunguo wa umma. CSR inaweza kuzalishwa wakati wa mchakato wa kuagiza cheti cha SSL au kwa upande wa seva ya wavuti. au zaidi kilichorahisishwa. CSR ni Maombi ya Kusaini Cheti, kwa Kirusi, ombi la kupata cheti. Madhumuni ya Maombi ya Kusaini Cheti ni kuandaa faili maalum, ambayo itakuwa na taarifa muhimu kuhusu kikoa ambacho imepangwa kutoa cheti cha SSL na habari kuhusu shirika, kwa kawaida jambo zima litasimbwa. Pamoja na CSR itatolewa ufunguo wa kibinafsi(ufunguo wa faragha), ambao seva au huduma itaondoa msimbo wa trafiki kati yake na mteja; soma zaidi kuhusu vyeti vya SSL kwenye kiungo. Hivi ndivyo ombi la CSR linavyoonekana.
Tayari nimekupa mfano kutoka kwa kazi yangu, ambapo tulitumia ombi la CSR kutoa cheti kwa seva ya barua ya Zimbra, leo kazi yangu ni kukuonyesha njia zote ninazozijua za kuunda Ombi la Kusaini Cheti.

Unda ombi la csr

Na kwa hivyo tutatoa ombi la CSR kwa majukwaa yafuatayo:

  • Microsoft IIS 7 na hapo juu kwani sioni uhakika katika matoleo ya awali
  • Majukwaa ya Linux (Apache, ModSSL, Nginx)
  • Huduma za mtandaoni

Inazalisha ombi la CSR kwenye IIS 7

Kwenye tovuti za mwenyeji, seva ya wavuti sio ya kawaida, fungua kiweko cha usimamizi wa IIS. Chagua tovuti inayotakiwa na uchague ikoni ya "Vyeti vya Seva".

Katika dirisha linalofungua, katika eneo la kitendo, unahitaji kubofya "unda ombi la cheti"

Jaza sehemu:

  1. Jina kamili > kwa kawaida huandika anwani ya rasilimali
  2. Shirika
  3. Idara > inaweza kurukwa
  4. Jiji
  5. Mkoa
  6. Nchi au eneo > kwa Kilatini jina la nchi yako

Na tunaonyesha mahali ambapo ombi la CSR litahifadhiwa; kwa kweli, itakuwa faili ya maandishi ya kawaida.

Inazalisha ombi la csr Apache, ModSSL, Nginx

Kuunda ombi la CSR katika CentOS (Linux au MacOS) hufanywa kwa kutumia matumizi ya OpenSSL, ambaye hajui ni nini, basi kwa maneno machache, ni jukwaa la msalaba. suluhisho la programu, ambayo hukuruhusu kufanya kazi na teknolojia za SSL/TLS, hukuruhusu kudhibiti na kuingiliana nayo funguo za kriptografia. Katika toleo la CentOS 7, tayari iko chini ya kofia, lakini ikiwa bado huna OpenSSL iliyosanikishwa, basi hii inafanywa kwa amri ifuatayo:

yum install openssl

Kwenye Debian au Ubuntu, amri itaonekana kama hii.

apt-get install openssl

Sasa, ikiwa una OpenSS kwenye mfumo, unaweza kutoa ombi la CSR.

openssl req -new -newkey rsa:2048 -nodi -keyout private.key -out ca.csr

Utakuwa na faili mbili zinazozalishwa:

  • private.key > huu ni ufunguo wako wa faragha (faragha), huu ndio ufunguo zaidi Ufunguo wa siri, haiwezi kuripotiwa au kupitishwa kwa mtu yeyote. Hakikisha kufanya nakala ya chelezo faili hii inaweza kuja kwa manufaa.
  • ca.csr > hili ndilo ombi lenyewe la cheti, ambalo utaliwasilisha kwa mamlaka ya uthibitishaji ili kutoa na kusaini cheti chako.

Ningependa kutambua kuwa utapata faili zinazosababishwa kwenye saraka ambapo unaendesha amri ya OpenSSL.


Hebu sasa tuchunguze sehemu ambazo utahitaji kujaza; weka taarifa sahihi zaidi hapa, vinginevyo unaweza kuteseka kutokana na hili.

  1. Jina la Nchi (msimbo wa nchi wa herufi mbili) - Kwa kuwa ninaishi Urusi, ninaandika RU
  2. Jimbo au Mkoa (Wilaya, Mkoa) - Imejazwa kwa Kiingereza, katika kesi yangu Moscow
  3. Eneo (Jina kamili la jiji) - Moscow
  4. Shirika (Jina rasmi la shirika) - Pyatilistnik inc. Kumbuka: Wakati wa kuagiza cheti na mtu binafsi (hufaa kwa vyeti vya SSL vilivyo na uthibitishaji wa kikoa (Uthibitishaji wa DV-Domain), lazima uonyeshe katika sehemu hii. jina kamili mmiliki wa cheti, na katika uwanja wa Kitengo cha Shirika - jina la tovuti au chapa yako.
  5. Kitengo cha Shirika (uwanja wa hiari: idara/idara) - IT
  6. Jina la Kawaida (Jina la kikoa ambalo cheti cha SSL kimetolewa) - tovuti

Kwa hivyo, maudhui ya faili hizi, yaliyomo kwenye ca.csr, yanahitaji kuhamishiwa kwa mamlaka ya uthibitishaji ili kutoa cheti chako.

Wengi njia rahisi kwa wasimamizi wa wavuti wanaoanza, kwani hauitaji maarifa yoyote katika usimamizi wa seva. Unafungua tu fomu ya mtandaoni na ujaze sehemu, utapokea ombi la CSR kama pato. Nitakupa huduma mbili ninazotumia. Ya kwanza ni emaro-ssl, nilizungumza juu yake katika makala kuhusu kutoa cheti kwa miaka 3 kwa rubles 1800. Jaza sehemu na ubofye toa.
Ombi la Kuambatisha Cheti litaundwa kwa ajili yako, pamoja na ufunguo wa faragha.
Huduma ya pili ambayo hufanya ombi la CSR kwa cheti ni sslcertificate.ru, pia unajaza nyanja zote na ubofye kuzalisha CSR. Kama matokeo, unapokea pia ufunguo wa kibinafsi na ombi la cheti yenyewe. Watakuruhusu kuihifadhi na pia kuiiga kwa barua pepe. Tafadhali kumbuka upande wa kulia kuna kiungo kwa avkodare CSR, utapata decipher hii gibberish. Ingiza Maombi yako ya Kutia Sahihi Cheti kwenye sehemu maalum na ubofye simbue.
Matokeo yake, unapokea maelezo yote ya mawasiliano.

Utaratibu wa kuandaa ombi la CSR kupata cheti cha SSL. Makini! Weka data ya siri iliyotolewa mbali na kufikiwa watu wasioidhinishwa mahali! Usisahau kuweka nakala ya ufunguo wako wa faragha *.key - ikiwa utaipoteza faili hili Utahitaji kuagiza cheti kipya. Mwongozo huu umeundwa kufanya kazi na Apache + Mod SSL + OpenSSL, lakini unaweza kutumika katika mazingira mengine.

Kwa Wateja wanaopangisha COMTET, vitendo hivi vinaweza kufanywa na wafanyikazi wetu kwa ombi. Unaweza pia kutumia.

Ili kutoa ombi la CSR kwa tovuti yako, tumia maagizo haya ya hatua kwa hatua. Matokeo yake, utapokea ombi la CSR, ambalo linahitajika kupata cheti cha SSL.

Maagizo ya hatua kwa hatua:

Hatua ya 1: OpenSSL

Sakinisha OpenSSL, Kama programu hii haipo kwenye seva yako.

Hatua ya 2. Unda kitufe cha RSA cha Seva ya wavuti ya Apache

Nenda kwenye saraka ili kuunda funguo:

cd /apacheserverroot/conf/ssl.key
(ssl.key ndio saraka chaguo-msingi ya funguo).

Ikiwa unatumia njia tofauti, kisha nenda kwenye saraka ya seva ya wavuti ya Apache kwa funguo za kibinafsi.

Ingiza amri ifuatayo ili kuzalisha ufunguo wa faragha uliosimbwa. Utaulizwa kuingiza nenosiri ili kufikia faili. Nenosiri hili itahitaji pia kuingizwa kila wakati seva ya wavuti inapoanzishwa (ili kuepuka hili, acha nenosiri tupu).

Tahadhari: ukipoteza nenosiri lako, utahitaji kuagiza cheti kipya.

openssl genrsa -des3 -out domainname.key 2048

Unaweza kuunda ufunguo wa kibinafsi bila kutumia usimbaji fiche ikiwa hutaki kuingiza nenosiri kila wakati unapoanzisha seva ya wavuti:

openssl genrsa -out domainname.key 2048

Ukubwa wa chini wa ufunguo kwa ombi la CSR ni biti 2048.

Hatua ya 3: Pata faili ya CSR

Ingiza amri ifuatayo ili kutoa CSR na ufunguo wa faragha wa RSA (matokeo yatakuwa umbizo la PEM):

openssl req -new -key domainname.key -out domainname.csr

Kumbuka: Ikiwa ulitumia swichi ya "-des3" katika Hatua ya 2, utaulizwa nenosiri la umbizo la PEM.

Wakati wa kuunda CSR, lazima uzingatie sheria zifuatazo. Ingiza habari ambayo itaonekana kwenye cheti. Herufi zifuatazo haziwezi kutumika:< > ~ ! @ # $ % ^ * / \ () ? . , &

DN - shamba

Maelezo

Mfano
Jina la kawaida Kamilisha Jina la kikoa kwa seva yako ya wavuti. Lazima ifanane haswa. Ikiwa unakusudia kutumia URL ifuatayo: https://www.yourdomain.com, basi "Jina la Kawaida" linapaswa kuwa www.yourdomain.com.
Kwa vyeti vya WildCard, onyesha kwa nyota. Mfano: *.yourdomain.com
Shirika Jina halisi la shirika kwa mujibu wa Mkataba wa shirika tarehe Lugha ya Kiingereza. Usitumie jina la shirika lililofupishwa. Kampuni yako
Kitengo cha Shirika Jina la idara, kitengo (kwa Kiingereza). Masoko
Mji au Mtaa Jiji ambalo shirika limesajiliwa rasmi (kwa Kiingereza). Moscow
Jimbo au Mkoa Eneo ambalo shirika limesajiliwa rasmi (kwa Kiingereza). Moscow
Nchi Nchi, kama msimbo wa ISO wenye herufi mbili. Kwa Urusi: RU. RU

Usiingize sifa za ziada na uache nenosiri tupu (bonyeza Enter).

Kwa faragha watu binafsi, katika Sehemu za jina la Shirika na mgawanyiko, onyesha ndani Unukuzi wa Kilatini Jina kamili, kwa mfano Ivanov I Ivan.

Kumbuka: Kuangalia yaliyomo kwenye CSR, tumia amri ifuatayo:
openssl req -noout -text -in domainname.csr

Hatua ya 4.

Tutumie faili ya CSR kama ilivyofafanuliwa katika Jinsi ya Kupata Cheti cha SSL.

Ufunguo wa faragha lazima uanze na -----ANZA UFUNGUO WA FARAGHA wa RSA----- na umalizie kwa -----MALIZA UFUNGUO WA RSA PRIVATE-----. Kuangalia yaliyomo kwenye ufunguo wa kibinafsi, tumia amri ifuatayo:
openssl rsa -noout -text -in domainname.key

Kwa seva zingine za wavuti, maagizo ya kupata CSR yanaweza kupatikana.

CSR (Ombi la Kusaini Cheti) ni ombi lililosimbwa kwa njia fiche la kutoa cheti kilicho na maelezo ya kina kuhusu kikoa na shirika. Kizazi CSR ni utaratibu muhimu wa maandalizi ya kupata cheti cha SSL. Imetolewa CSR iliyojumuishwa katika fomu ya maombi ya kupata cheti.

Jinsi ya kubadili CSR?

Wakati wa kuagiza cheti, utaombwa kutoa CSR kiotomatiki. Fomu kizazi kiotomatiki CSR inapatikana kwa .

Ikiwa unataka kutengeneza CSR mwenyewe, fuata hatua hizi.

Maagizo yanafaa kwa Linux-kama mifumo ya uendeshaji(CentOS, Debian, Ubuntu...). Vitendo vyote lazima vifanyike ndani mstari wa amri(katika terminal).
Ikiwa umeagiza Seva ya VPS au mwenyeji wa tovuti, unaweza kutoa CSR moja kwa moja juu yake kwa kuunganisha kupitia SSH:

Hifadhi faili ya private.key mahali salama. Baadaye utahitaji kusakinisha cheti kwenye seva. Usionyeshe kamwe maudhui ya faili hii kwa mtu yeyote, vinginevyo unaweza kukiuka usiri wa taarifa, ambayo inaweza kusababisha matokeo yasiyotarajiwa na vikwazo kutoka kwa kampuni ya uthibitishaji.

Kurudia amri ya kizazi haitatoa ufunguo sawa - itakuwa ufunguo tofauti, na utahitaji kuitengeneza tena. CSR na kutoa cheti tena.

Ikiwa una nia ya nini CSR na jinsi ya kuzalisha CSR, tunakushauri kusoma makala hii. Ili kununua cheti cha SSL unahitaji kutoa ombi maalum la CSR (Ombi la Kusaini Cheti). Msimbo wa CSR una maandishi yaliyosimbwa na habari kuhusu kampuni yako na jina la kikoa ambalo unataka kusajili cheti.

Jinsi ya kubadili CSR?

Ikiwa unafanya kazi na ISPmanager soma "Kuunda ombi la CSR". Ikiwa unafanya kazi na Apache "Ombi la CSR la Apache." Ikiwa unatumia cPanel - "". Mwongozo huu ni wa kesi tu wakati unatumia njia nyingine na unahitaji maagizo ya jumla.

Ili kuunda ombi la CSR katika hali nyingi, lazima ueleze data ifuatayo (hizi zinaonyeshwa na barua za Kirumi)

  1. Nchi. Katika uwanja huu lazima uweke alama 2 - msimbo wa ISO (kwa mfano., US kwa USA, GB kwa Briteni nk). Unaweza kupata msimbo wa nchi yako katika orodha ya ISO 3166-1 (Alpha-2).
  2. Jimbo/Mkoa na Eneo/Jiji. Kujieleza, lakini kumbuka, kwamba unapaswa kuweka majina kamili ya zote mbili. Kwa mfano, Sherwood, Jimbo la Washington, Oregon ni sahihi, wakati Sherwood, Washington, Oregon sio.
  3. Shirika. Katika uwanja huu unahitaji kutaja kamili jina la kisheria la kampuni au mjasiriamali binafsi, ikiwa cheti kinatolewa kwake.
  4. Kitengo cha Shirika. Bainisha idara inayonunua cheti (kwa mfano, Idara ya IT).
  5. Jina la kawaida. Ingiza jina la kikoa ambacho unanunulia cheti. Kwa mfano, www.tovuti.

Muhimu

  • Ukubwa wa msimbo wa CSR lazima uwe 2048 bit. Viwango vingine vyote huenda visiungwe mkono.
  • Ikiwa utaenda kununua GeoTrust cheti, ingiza jina kamili la kikoa. Kwa mfano, cheti cha www.domain.com hakitafanya kazi na domain.com.
  • Ikiwa utaenda kununua Wildcard SSL cheti, weka "*" na "." kabla ya jina la kikoa, kwa mfano, *.site . Inamaanisha kuwa kabla ya jina la kikoa, kunaweza kuwa na mlolongo wowote wa alama ambazo hazina fullstop.

Baada ya kutoa ombi la CSR fungua faili na kihariri chochote cha maandishi na unakili maandishi pamoja na vitambulisho ANZA na MWISHO. Maandishi haya yanahitajika kwa utengenezaji wa cheti cha SSL.

Mchakato wa uzalishaji wa CSR hutofautiana kulingana na aina, matoleo na muundo programu imewekwa kwenye seva.

Tunatoa maagizo ya kutengeneza CSR kwa kawaida zaidi Seva ya wavuti ya Apache. Ikiwa maagizo haya hayatumiki na unatumia programu zingine za seva, wasiliana na msimamizi wa seva ya wavuti au timu ya usaidizi ya kampuni inayotoa upangishaji wa tovuti yako kutengeneza CSR.

Huduma ya OpenSSL inatumika kutengeneza ufunguo wa siri na ombi la cheti (CSR). Huduma hii kawaida hujumuishwa na seva ya wavuti ya Apache kama kawaida.

  1. Kwenye safu ya amri ya seva, ingiza amri: openssl req -newkey rsa:2048 -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
  2. Ingiza maelezo ya ombi la kusaini cheti. Taarifa hii itaonekana kwenye cheti.

    Tahadhari:

    • habari zote lazima ziingizwe kwa Kiingereza
    • Ni marufuku kutumia herufi zifuatazo:< > ~ ! @ # $ % ^ * / \ () ?.,&
    Kigezo Maana Mfano
    Jina la Nchi

    Msimbo wa nchi wa ISO wenye herufi mbili

    		 RU
    Jina la Jimbo au Mkoa
    		Eneo au eneo ambalo shirika limesajiliwa rasmi. Moscow
    Jina la eneo Jiji ambalo shirika limesajiliwa rasmi. Moscow
    Jina la Shirika
    		Jina kamili la shirika kwa mujibu wa Mkataba wa shirika kwa Kiingereza. Usitumie jina la shirika lililofupishwa. Kampuni ya MyCompany Inc
    Jina la kitengo cha shirika
    		Jina la idara au kitengo (kwa Kiingereza). IT
    Jina la kawaida Jina la kikoa lililohitimu kikamilifu kwa seva ya wavuti katika umbizo la FQDN - Imehitimu Kikamilifu Jina la Kikoa. Makini! Vyeti vyote, isipokuwa Cheti cha Wildcard, hulinda seva pangishi moja - kwa mfano, ama kikoa chenyewe "mydomain.ru", au "www.mydomain.ru", au kikoa chochote cha fomu "salama.mydomain.ru". Kuwa mwangalifu, lazima ueleze jina halisi la kikoa ambalo cheti hutolewa. www.mydomain.com
    Barua pepe
    		Hakuna kujaza inahitajika
    Nenosiri la changamoto
    		Hakuna kujaza inahitajika
    Jina la kampuni la hiari Hakuna kujaza inahitajika

  3. Angalia CSR kwa usahihi:
    openssl req -noout -text -katika www.mydomain.com.csr
    Ikiwa CSR imetolewa kwa usahihi, basi matokeo ya kutekeleza amri hii inapaswa kuwa kitu kama hiki:
    Ombi la Cheti:
    Data:
    Toleo: 0 (0x0)
    Mada: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mydomain.com
    Maelezo ya Ufunguo wa Umma wa Mada:
    Algorithm ya Ufunguo wa Umma: rsaEncryption
    Ufunguo wa Umma wa RSA: (2048 bit)
    Modulus (2048 bit):
    [...]

Kama matokeo ya vitendo hivi, ombi la cheti (CSR) litaundwa na kuhifadhiwa katika faili ya www.mydomain.com.csr. Ufunguo wa faragha wa 2048 RSA pia utatolewa na kuhifadhiwa kwenye faili www.mydomain.com.key.

Unaweza pia kutumia mteja OpenSSL kwa Windows, ambayo itawawezesha kufanya kila kitu vitendo muhimu kutengeneza ufunguo wa siri na CSR moja kwa moja ndani Mazingira ya Windows. Unaweza kupakua mteja wa OpenSSL kwa Windows kutoka kwa kiungo kifuatacho: http://www.slproweb.com/products/Win32OpenSSL.html. Kiteja hiki kinaweza kusakinishwa kompyuta ya ndani, na kisha kwa msaada wake unaweza kutekeleza amri zote hapo juu na kupata ufunguo wa siri na CSR katika faili www.mydomain.com.csr na www.mydomain.com.key, ambayo itahifadhiwa kwenye kompyuta yako.

Mara baada ya kuzalisha CSR na kupokea cheti, unaweza kuanza



MAKALA INAYOHUSIANA