Генерация запроса на получение сертификата (CSR)


CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR можно сгенерировать в процессе заказа SSL-сертификата или на стороне веб-сервера.

Генерация запроса на получение сертификата в разделе «Для клиентов»

Для генерации CSR в процессе заказа SSL-сертификата на соответствующем шаге мастера заказа укажите контактные данные на латинице. На следующем шаге CSR будет сгенерирован вместе с закрытым ключом, который необходимо будет установить на веб-сервер вместе с SSL-сертификатом.

Внимание: Надежно сохраните закрытый ключ в отдельном файле в безопасном месте, недоступном для третьих лиц. В случае утери закрытого ключа потребуется повторная генерация и перевыпуск сертификата.

Генерация запроса на получение сертификата на стороне веб-сервера

При генерации CSR на стороне сервера необходимо заполнить латинскими символами следующие поля:

  • Имя сервера (Common Name) — полностью определенное доменное имя, например, «www.nic.ru». Если Вы генерируете CSR для wildcard сертификата, то в поле CN должна быть указана запись вида *.domain.com. Символ звездочки (*) позволяет использовать сертификат для любого количества поддоменов одного уровня на неограниченном количестве серверов. При этом будут покрываться только поддомены того уровня, на котором стоит символ *.
  • Название страны (Country Name) — двухбуквенный код страны, для РФ — «RU»
  • Область (State or Province Name) — регион, например, «Moscow»
  • Город или населенный пункт (Locality Name)
  • Название организации или ФИО физического лица (Organization Name)

Рекомендации по заполнению полей при генерации CSR:

  • При заказе сертификата Thawte SSL123 или Geotrust Rapid Wildcard в поле Organization Name могут быть указаны данные Администратора домена из сервиса Whois, либо другого лица или компании, для которых выпускается сертификат.
  • При заказе других сертификатов в поле Organization Name необходимо указать название организации, на которую выпускается сертификат, без кавычек на латинице соответственно Свидетельству о регистрации юридического лица.

Инструкции:

Генерация CSR на хостинге RU-CENTER
Генерация CSR для Apache

Генерация запроса на получение сертификата для Microsoft IIS

При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.

Инструкции:

Генерация CSR для Microsoft IIS 5.x/6.x
Генерация CSR для Microsoft IIS 7.x


CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.

Внимание: Если вы используете распределенную инфраструктуру физических серверов для своего сайта и используете веб-сервер Microsoft IIS, то при генерации CSR и закрытого ключа необходимо обязательно указать, что CSR и закрытый ключ должны быть экспортируемыми, иначе вы не сможете установить сертификат на несколько серверов, и сертификат надо будет перевыпускать.

Проверка принадлежности домена


Для сертификатов, удостоверяющих домен (сертификаты с упрощенной проверкой), проверку принадлежности домена можно провести одним из следующих способов:

- Получение письма на адрес электронной почты в домене.

Письмо будет отправлено на один из адресов вида:

  • admin@[имя_домена]
  • administrator@[имя_домена]
  • hostmaster@[имя_домена]
  • postmaster@[имя_домена]
  • webmaster@[имя_домена]

При этом [имя_домена] должно соответствовать полю "Common Name" (CN), указанному в CSR.

Если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня.

Например, при заказе сертификата для домена "www.test.ru" с именем получателя "admin" можно указать e-mail:

  • admin@www.test.ru
  • admin@test.ru

- Размещение html-файла в корневой директории сайта.

Название файла и его содержимое будет выслано на контактный электронный адрес договора.

- Размещение записи в DNS-зоне CNAME.

Содержание записи будет выслано на контактный электронный адрес договора.

Запись типа CNAME (Canonical Name — каноническое имя) позволяет присваивать хосту мнемонические имена. Мнемонические имена, или псевдонимы, широко применяются для связывания с хостом какой-либо функции, либо просто для сокращения имени.

Запись CNAME, которую надо внести в DNS-зону, имеет вид:

dns_string CNAME sYYYYMMDDhhmmss. Domain

где dns_string — это переменная, которая генерируется программным обеспечением Удостоверяющего центра

YYYY - это год, когда был заказан сертификат, например 2016
MM - это месяц, когда был заказан сертификат, например 04
DD - день, когда был заказан сертификат, например 05
hh - часы
mm - минуты
ss - секунды