Что такое корневой сертификат (СА)

безопасностьSSLхостингдомен
07 мая 2025обн. 05 июн. 2026

6 мин. чтения

Что такое корневой сертификат (СА)

Термин «корневой сертификат» хорошо знаком тем, кто занимается продвижением веб-ресурсов. Это объясняется легко – попадают в топ-10 поисковых систем преимущественно «доверенные» сайты, с подключенным SSL-сертификатом (протокол HTTPS). Без него тот же Google Chrome ставит в адресной строке метку с открытым замком, а то и вовсе блокирует вход на страницу.

Основные тезисы статьи

  • Корневой сертификат CA находится в основе цепочки доверия SSL и подтверждает, что центр сертификации легитимен.
  • Благодаря ему браузер может проверить, кому выдан сертификат сайта, безопасно ли соединение и стоит ли доверять HTTPS-странице.
  • В статье объясняется, как устроена цепочка сертификатов, где посмотреть корневой сертификат, зачем он нужен для защиты от фишинга и перехвата данных, а также почему самостоятельный выпуск CA не заменяет доверенный сертификат для публичного сайта.

Что представляет собой корневой сертификат (CA)

Защищенное соединение гарантирует шифрование информации, передаваемой между сервером и клиентом. Кроме того, оно подтверждает подлинность ресурса, обеспечивая тем самым защиту от фишинга с целью кражи персональных данных (от ФИО до номера банковской карты вместе с секретным CVC-кодом). Шифрование «обесценивает» перехват, который возможен как локально, на уровне роутера в квартире, так и на удаленном сервере.

Что такое корневой сертификат

Корневой сертификат (CA) представляет собой часть ключа SSL, которым центр сертификации подписывает выпускаемые сертификаты. Наличие CA гарантирует, что выдавшая его организация верифицирована и легальна.

Именные сертификаты, выдаваемые центрами вроде Comodo или Symantec, ценятся больше.

Ценность сертификата очень важна, потому что распространенные браузеры умеют идентифицировать лицо, выпускающее CA, и проверять его легитимность. Если у сайта нет «поручителя», он будет считаться недостоверным, даже несмотря на полную безопасность для конечного пользователя. Такое иногда происходит с бесплатными сертификатами типа Let’s Encrypt (генерируются автоматически после регистрации домена в панели управления хостингом).

Корневой сертификат зависит от остальных «частей» SSL – промежуточной и индивидуальной. Они выдаются одновременно и вносятся в соответствующие поля при ручной настройке безопасности. Фактически создается цепочка взаимной проверки, когда корневой сертификат подтверждает иные части ключа. Если ответ на запрос верен, браузер помечает веб-ресурс как защищенный (замочек в адресной строке) и открывает его без каких-либо предупреждений. Здесь может пригодиться материал «Что такое SSL-сертификат и чем он опасен».

Где взять корневой сертификат

SSL-сертификат (вместе с CA) выдается удостоверяющими центрами. К наиболее популярным центрам сертификации относятся Let’s Encrypt, Comodo, Symantec, Digicert, GeoTrust. Купить сертификат можно на сайте одного из центров или воспользоваться панелью управления хостинг-провайдера.

SSL Timeweb

Полезно отдельно посмотреть, для чего и где применяется SSL-сертификат. А чтобы лучше понимать техническую часть настройки, дополнительно разберите Comodo Positive SSL и Let’s Encrypt: плюсы и минусы.

Разновидности сертификатов (на примере провайдера Timeweb):

  1. SSL Timeweb Pro – простейший вариант защиты, устанавливаемый автоматически.
  2. Sectigo Positive SSL – базовый уровень безопасности (минимально рекомендуемый).
  3. Sectigo InstantSSL – проводится расширенная проверка организации со стороны центра.
  4. Sectigo Positive SSL Wildcard – действие распространяется на все поддомены.
  5. Sectigo EV SSL – подходит для банков, финансовых организаций, интернет-магазинов.

Сертификаты из трех последних пунктов высылаются в виде ZIP-архива или текстового сообщения с указанием всех «частей» SSL, в том числе корневого. То же происходит при продлении услуги (после оплаты) – за 30 дней до завершения периода ранее купленного сертификата обычно становится доступной функция продления. 

Если нужно перейти от теории к настройке, пригодится материал «Как исправить ошибки безопасности SSL в браузере».

Можно ли создать корневой сертификат самостоятельно?

Рядовому пользователю выпустить корневой сертификат нереально. Все существующие варианты для этого применяются только на период локального тестирования веб-ресурса, когда нет разницы, как воспринимает браузер такой CA. Чтобы создать легитимный ключ безопасности, понадобится самому стать «центром сертификации». Это хлопотное и затратное дело, поэтому проще обратиться к одной из существующих организаций.

Создать корневой сертификат

Технология создания простейшего CA в ОС Windows:

  1. Открыть панель управления.
  2. Зайти в раздел «Администрирование».
  3. Выбрать пункт «Диспетчер служб IIS».
  4. Перейти в раздел «Сертификаты сервера».
  5. Найти пункт «Создать самозаверенный сертификат».
  6. В открывшемся окне ввести название сертификата.
  7. Привязать созданный SSL к серверу.

Последнее выполняется выбором нужного доменного имени в подразделе «Подключения» раздела «Сертификаты сервера». В столбце «Действия» нужно нажать на «Привязки…», в открывшемся окне «Добавление привязки сайта» ввести сведения о привязке и нажать «ОК». После создания сертификата остается экспортировать приватный ключ и задать пароль на выполнение изменений.

07 мая 2025обн. 05 июн. 2026