Чтобы привязать SSL-сертификат к домену или субдомену, нужно сгенерировать CSR. CSR — это закодированная информация для центра сертификации, который будет выпускать сертификат. В CSR входит ваше имя или название компании, адрес и домен. SSL будет выдан на домен, который указан в CSR, поэтому проверьте, правильно ли вы его написали.
Для чего нужен онлайн CSR SSL-генератор:
1. Сгенерировать CSR запрос на выдачу SSL-сертификата (Code Signing Request, CSR).
2. Получить приватный 2048-bit ключ для установки на сервер.
Перед генерацией CSR-запроса посмотрите короткую инструкцию , чтобы не ошибиться.
Для тех, кто генерирует CSR-запрос на сертификат с поддержкой субдоменов (Wildcard SSL): в поле «Доменное имя» используйте формат: *.moydomen.com
Как сгенерировать CSR-запрос
Заполните поля на английском. Если что-то непонятно, задайте вопрос в нашем чате. Что указывать в полях генератора:
Название или имя:
Доменное имя (Common Name)
— домен или поддомен, на который будет установлен сертификат.
Организация (Organization)
— название компании или ФИО человека, на которого оформляется сертификат.
Отдел (Organization Unit)
— отдел, который покупает сертификат. Если вы не организация или у вас нет отдела, укажите IT
.
Адрес компании или человека, на которого оформляется сертификат:
Город (Locality)
— город. Пример: Kharkiv
.
Область/Штат (State)
— область. Пример: Kharkivska Oblast
.
Страна (Country)
— страна в виде кода из двух символов. UA для Украины, RU для России.
Email
— электронная почта административного контакта.
Об особенностях генерации CSR для разных типов SSL-сертификатов читайте в
Порядок подготовки CSR-запроса для получения SSL-сертификата. Внимание! Храните сформированные конфиденциальные данные с недоступном для посторонних лиц месте! Не забудьте сохранить копию приватного ключа *.key - в случае утери данного файла, Вам необходимо будет заказать новый сертификат. Данное руководство предназначено для работы с Apache + Mod SSL + OpenSSL, но может использоваться и в другом окружении.
Для Клиентов хостинга КОМТЕТ эти действия могут быть выполнены нашими сотрудниками по запросу. Вы так же можете воспользоваться .
Для формирования CSR-запроса для Вашего сайта используйте данную пошаговую инструкцию. В результате вы получите CSR-запрос, который потребуется для получения SSL-сертификата.
Пошаговая инструкция:
Шаг 1. OpenSSL
Установите OpenSSL , если данная программа отсутствует на Вашем сервере.
Шаг 2. Создание RSA-ключа для веб-сервера Apache
Перейдите в директорию для создания ключей:
cd /apacheserverroot/conf/ssl.key
(ssl.key - директория по умолчанию для ключей).
Если вы используете другой путь, то перейдите в директорию веб-сервера Apache для закрытых ключей.
Введите следующую команду для генерации зашифрованного приватного ключа. Вам будет предложено ввести пароль для доступа к файлу. Данный пароль также необходимо будет вводить каждый раз при запуске веб-сервера (чтобы избежать этого, оставьте пароль пустым).
Внимание: в случае утери пароля необходимо будет заказывать новый сертификат.
openssl genrsa -des3 -out domainname.key 2048
Вы можете создать приватный ключ и без использования шифрования, если Вы не желаете вводить пароль при каждом запуске веб-сервера:
openssl genrsa -out domainname.key 2048
Минимальный размер ключа для CSR-запроса равен 2048 бит.
Шаг 3. Получение CSR-файла
Введите следующую команду для создания CSR с приватным ключом RSA (на выходе будет получен PEM-формат):
openssl req -new -key domainname.key -out domainname.csr
Примечание: Если на Шаге 2 вы использовали ключ "-des3", то будет запрошен пароль для PEM-формата.
При создании CSR необходимо придерживаться следующих правил. Введите информацию, которая будет отображаться в сертификате. Нельзя использовать следующие символы: < > ~ ! @ # $ % ^ * / \ () ? . , &
DN - поле |
Пояснение |
Пример |
Common Name | Полное доменное имя для вашего веб-сервера. Оно должно в точности совпадать. | Если вы предполагаете использовать следующий URL: https://www.yourdomain.com,
то "Common Name" должно быть www.yourdomain.com Для WildCard-сертификатов указывайте со звездочкой. Пример: *.yourdomain.com |
Organization | Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. | YourCompany |
Organization Unit | Наименование отдела, подразделения (на английском языке). | Marketing |
City or Locality | Город, где официально зарегистрирована организация (на английском языке). | Moscow |
State or Province | Область, в которой официально зарегистрирована организация (на английском языке). | Moscow |
Country | Страна, в виде двухсимвольного ISO-кода. Для России: RU. | RU |
Не вводите дополнительные атрибуты и оставьте пароль пустым (нажмите Enter).
Для частных, физических лиц, в полях Организация и наименование подразделения указывайте в латинской транскрипции ФИО, например Ivanov I Ivan.
Примечание: для проверки содержимого CSR используйте следующую команду:
openssl req -noout -text -in domainname.csr
Шаг 4 .
Отправьте нам CSR-файл, как описано в Порядке получения SSL-сертификата .
Приватный ключ должен начинаться
-----BEGIN RSA PRIVATE KEY----- и заканчиваться -----END RSA PRIVATE KEY-----.
Для просмотра содержимого приватного ключа используйте следующую команду:
openssl rsa -noout -text -in domainname.key
Для других веб-серверов инструкцию по получению CSR можно найти .
CSR (Certificate Signing Request) — это зашифрованный запрос на выпуск сертификата, содержащий подробную информацию о домене и организации. Генерация CSR является необходимой процедурой подготовки к получению SSL-сертификата. Сгенерированный CSR включается в анкету на получение сертификата.
Как сгенерировать CSR?
При заказе сертификата вам будет предложено сгенерировать CSR автоматически. Форма автоматической генерации CSR доступна по .
Если же вы хотите генерировать CSR самостоятельно, выполните следующие действия.
Инструкция актуальна для linux-подобных операционных систем (CentOS, Debian, Ubuntu…). Все действия необходимо производить в командной строке (в терминале).
Если у вас заказан сервер VPS или хостинг сайтов, вы можете сгенерировать CSR прямо на нём, подключившись по SSH:
Сохраните в надежном месте файл private.key . Впоследствии он потребуется для установки сертификата на сервер. Никогда и никому не показывайте содержимое этого файла, иначе можете нарушить секретность информации, что может привести к неожиданным последствиям и санкциям со стороны сертифицирующей компании.
Повтор команды генерации не сделает точно такого же ключа — это будет другой ключ, и нужно будет снова генерировать для него CSR и перевыпускать сертификат.
Процесс генерации CSR отличается в зависимости от типа, версий и состава программного обеспечения, установленного на сервере.
Мы приводим инструкцию по генерации CSR для наиболее распространённого веб-сервера Apache . Если эта инструкция не подходит и используется другое серверное ПО, для генерации CSR обратитесь к администратору веб-сервера или в службу поддержки компании, предоставляющей хостинг для вашего сайта.
Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита OpenSSL. Эта утилита, как правило, входит в стандартную поставку веб-сервера Apache.
- В командной строке сервера введите команду: openssl req -newkey rsa:2048 -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
- Введите информацию для запроса на подпись сертификата. Эта информация будет отображена в сертификате.
Внимание:
- вся информация должна вводиться на английском языке
- запрещено использовать символы: < > ~ ! @ # $ % ^ * / \ () ?.,&
Параметр Означает Пример Country Name Двухбуквенный ISO-код страны
RU State or Province Name
Область или край, где официально зарегистрирована организация. Moscow Locality Name Город, где официально зарегистрирована организация. Moscow Organization Name
Точное наименование организации в соответствии с Уставом организации на английском языке. Не используйте сокращенное наименование организации. MyCompany Inc Organizational Unit Name
Название отдела или подразделения (на английском языке). IT Common Name Полное доменное имя для веб-сервера в формате FQDN - Fully Qualifed Domain Name. Внимание! Все сертификаты, кроме Wildcard Certificate, защищают только один хост — например, либо сам домен вида "mydomain.ru" , либо "www.mydomain.ru" , либо любой субдомен вида "secure.mydomain.ru" . Будьте внимательны, Вам необходимо указать именно то имя домена, на которое выписывается сертификат. www.mydomain.com Email Address
Заполнять не требуется A challenge password
Заполнять не требуется An optional company name Заполнять не требуется - Проверьте CSR на правильность:
openssl req -noout -text -in www.mydomain.com.csr
Если CSR сгенерирован правильно, то в результате выполнения этой команды должен быть выдан примерно такой текст:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=ru, ST=ddd, L=fff, O=ddd, OU=ss, CN=www.mydomain.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
[...]
В результате этих действий будет создан и сохранён в файле www.mydomain.com.csr запрос на сертификат (CSR). Также будет сгенерирован и сохранен в файл www.mydomain.com.key секретный ключ 2048 RSA.
Вы также можете воспользоваться клиентом OpenSSL для Windows , который позволит Вам проделать все необходимые действия по генерации секретного ключа и CSR непосредственно в среде Windows. Скачать клиент OpenSSL для Windows можно по следующей ссылке: http://www.slproweb.com/products/Win32OpenSSL.html . Этот клиент можно установить на локальный компьютер, и далее с его помощью Вы сможете выполнить все перечисленные выше команды и получить секретный ключ и CSR в файлах www.mydomain.com.csr и www.mydomain.com.key, которые будут сохранены на вашем компьютере.
После того, как вы сгенерировали CSR и получили сертификат , можно приступить к