CSR запрос, что это такое и как его сгенерировать

Добрый день уважаемые читатели блога Pyatilistnik.org, сегодняшний пост не будет про новое обновление windows 10 creators update, в прошлом посте мы и так все подробно разобрали. Сегодня мне хочется поговорить с вами о том, что такое CSR запрос и как его сгенерировать на различных платформах веб-движков, поговорим, где и в каких ситуациях вам это пригодится, данный материал будет очень полезен начинающим веб-мастерам.

Что такое CSR запрос

CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ. CSR можно сгенерировать в процессе заказа SSL-сертификата или на стороне веб-сервера. или более упрощенно. CSR - это Certificate Signing Reques, если по-русски, то запрос на получение сертификата. Задачей Certificate Signing Reques является подготовить специальный файл, в составе которого будет содержаться необходимая информация о домене, на который планируется выпустить SSL сертификат и информация об организации, естественно все это дело будет зашифровано. Вместе с CSR будет сгенерирован закрытый ключ (private key), которым сервер или сервис будет расшифровывать трафик между ним и клиентом, более подробно про SSL сертификаты читайте по ссылке. Вот так вот выглядит CSR запрос. Я вам приводил уже пример из своей работы, где мы применяли CSR запрос для выпуска сертификата почтового сервера Zimbra, сегодня моей задачей показать вам все известные мне методы по генерации Certificate Signing Reques.

Создать csr запрос

И так генерация csr запроса у нас будет для таких платформ:

• Microsoft IIS 7 и выше, так как я не вижу смысла в предыдущих версиях
• Linux платформы (Apache, ModSSL, Nginx)
• Online сервисы

Генерация csr запроса на IIS 7

На хостингах не самый распространенный веб-сервер, открываете консоль управления IIS. Выбираете нужный сайт и выбираете значок "Сертификаты сервера"

В открывшемся окне, в области действия, вам необходимо нажать "создать запрос сертификата"

Заполняете поля:

1. Полное имя > обычно пишут адрес ресурса
2. Организация
3. Подразделение > можно пропустить
4. Город
5. Область
6. Страна или регион > на латинице ваше обозначение страны

Далее вы должны выбрать длину ключа, ставим 2048 бит

И указываем место сохранения CSR запроса, по сути это будет обычный текстовый файл.

Генерация csr запроса Apache, ModSSL, Nginx

Создание csr запроса в CentOS (Linux или MacOS) осуществляется с помощью утилиты OpenSSL, кто не знает, что это такое, то в нескольких словах, это кроссплатформенное программное решение, которое позволяет работать с технологиями SSL/TLS, позволяет управлять и взаимодействовать с криптографическими ключами. В версии CentOS 7, она уже идет под капотом, но если у вас OpenSSL еще не установлен, то делается это вот такой командой:

В Debian или Ubuntu, команда будет выглядеть вот так.

Теперь при наличии OpenSS в системе, вы сможете произвести генерацию CSR запроса.

У вас будет сгенерированно два файла:

• private.key > это ваш закрытый ключ (приватный), это самый секретный ключ, сообщать и передавать его никому нельзя. Обязательно сделайте резервную копию этого файла, может пригодиться.
• ca.csr > это сам запрос на сертификат, который вы передадите в удостоверяющий центр, для выпуска и подписания вашего сертификата.

Хочу отметить, что полученные файлы вы обнаружите в каталоге, где выполняете команду OpenSSL.

Давайте теперь пробежимся по полям, которые вам нужно будет заполнить, вводите тут максимально корректную информацию, в противном случае можете от этого пострадать.

1. Country Name (двухбуквенный код страны)  - Так как я живу в России, то пишу RU
2. State or Province (Район, Область)  -  Заполняется на английском, в моем случае Moscow
3. Locality (Полное название города)  -  Moscow
4. Organization (Официальное наименование организации)  - Pyatilistnik inc. Примечение: При заказе сертификата физическим лицом (актуально для SSL-сертификатов с проверкой домена (DV-Domain Validation), в этом поле необходимо указать полное имя владельца сертификата, а в поле Organizational Unit - название вашей площадки или бренда.
5. Organizational Unit (необязательное поле: отдел/департамент)  -  IT
6. Common Name (Имя домена, на который оформляется SSL-сертификат)  - pyatilistnik.org

В итоге вот содержимое этих файлов, содержимое ca.csr, нужно передать удостоверяющему центру, для выпуска вашего сертификата.

Генерация csr запроса через онлайн сервисы

Самый удобный способ для начинающих веб-мастеров, так как не требует абсолютно никаких знаний в администрировании серверов. Вы просто открываете онлайн форму и заполняете поля, на выходе вы получите CSR запрос. Я вам предложу два сервиса, которыми пользуюсь. Первый это emaro-ssl, о нем я рассказывал в статье про выпуск сертификата на 3 года за 1800 рублей. Заполняем поля и нажимаем сгенерировать. Вам будет создан Certificate Signing Reques запрос, а так же закрытый ключ. Второй сервис делающий csr запрос на сертификат это sslcertificate.ru, вы также заполняете все поля и жмете сгенерировать CSR.

Вы итоге вы так же получаете закрытый ключ и сам запрос на сертификат. Его вам позволят сохранить и так же продублируют на почту. Обратите внимание справа есть ссылка на декодер CSR, он позволяет расшифровать эту абракадабру. В специальное поле вбиваем ваш Certificate Signing Reques и жмем декодировать. В итоге вы получаете всю контактную информацию.