Что такое CSR и как его создать

CSR (от англ. Certificate Signing Request) – это специальный запрос, находящийся в зашифрованном виде и предназначенный для выпуска сертификата, который содержит всю необходимую информацию о домене и компании. Генерация такого запроса необходима для подготовки к получению SSL-сертификата, а сам CSR выглядит как обычный файл с требуемыми данными.

В сегодняшней статье мы рассмотрим, что представляет собой CSR-запрос и как его создать.

Как сгенерировать CSR

Существует два способа генерации CSR-кода – автоматически и вручную. Первый обычно предоставляется хостинг-провайдерами, например, на Timeweb мы можем заказать сертификат через административную панель в разделе «SSL-сертификаты»:

При работе с VDS мы также можешь получить CSR при покупке SSL-сертификата через соответствующий раздел личного кабинета:

Самостоятельная генерация CSR происходит через SSH-подключение к хостингу либо выделенному серверу. Для этого потребуется специальная программа Putty, распространяющаяся в бесплатном доступе.

Давайте рассмотрим, как происходит генерация Certificate Signing Request:

1. Первым делом скачаем и установим на компьютер утилиту Putty. Переходим на официальную страницу и выбираем версию программы.
2. Запускаем программу и останавливаемся на разделе «Session» – сюда нам потребуется ввести IP-адрес хостинга и запустить консольное окно для дальнейших действий.
3. Получить IP-адрес мы можем напрямую через личный кабинет, например, на Timeweb он доступен на главной странице панели управления. Тут же нам потребуется активировать SSH – для этого переводим ползунок в режим «Включено», а затем подтверждаем свой номер мобильного телефона. Без этого, к сожалению, подключиться по SSH не получится.
4. Возвращаемся в Putty и вводим туда скопированный IP-адрес, затем жмем «Open».
5. В результате мы попадаем в консольное окно – отсюда и будут производиться все манипуляции для генерации CSR. Прежде чем к ним перейти, получим доступ к нашему хостингу – для этого вводим логин и пароль от хостинга, которые, как правило, приходят на почту после регистрации. Также обратите внимание на то, что при вводе пароля ничего не отображается – это нормально, ввод символов происходит, однако мы их не видим.

Аналогичным образом происходит соединение с VDS.

После того как подключение будет выполнено, можно вводить специальные команды для генерации CSR.

Генерируем приватный ключ с помощью команды:

openssl genrsa -out private.key 4096

где private.key – файл, содержащий ключ, а 1024 (4096) – размер ключа. Для «SGC Certificate» он должен быть равен 1024, для остальных – 4096.

При успешном вводе увидим следующее:

Далее генерируем CSR с помощью команды:

openssl req -new -key private.key -out domain_name.csr -sha256

где private.key – созданный на предыдущем шаге ключ; domain_name.csr – файл, в котором будет содержаться CSR.

Параметры CSR

Когда мы введем вышеуказанную команду, перед нами отобразится список следующих параметров, который необходимо заполнить:

• Страна (Country Name). Здесь прописывается страна, в которой был зарегистрирован домен, например RU, US, UK. Прочие страны могут использоваться с помощью специального кода, отведенного государству.
• State or Province Name (full name) [Some-State]. Прописывается область, регион регистрации организации, например, Moscow.
• Населенный пункт (Locality Name). В данном поле указывается город, в котором зарегистрирована организация, например, Moscow.
• Organization Name. Указывается полное название организации или ФИО физического лица – полное название компании латиницей, например, KFC RUSSIA.
• Если вы заказываете SSL-сертификат с проверкой компании (OV) или с расширенной проверкой (EV), название компании должно соответствовать названию, указанному как в свидетельстве о регистрации юридического лица, так и в данных сервиса Whois.
• Отдел (Organizational Unit Name). Ответственный отдел, например, IT.
• Имя сервера (Common Name). Полное имя домена, например, www.timeweb.com.
• Email Address []. Email для связи с администратором. Допустимые значения: admin@домен, administrator@домен, hostmaster@домен, postmaster@домен, webmaster@домен.

После заполнения вышеперечисленных параметров отобразятся поля: «A challenge password []» и «An optional company name []». Заполнять их не нужно, можете просто дважды нажать на клавишу «Enter».

Готово! Процесс генерации CSR и приватного ключа завершен. Обратите внимание, что при повторном использовании вышерассмотренной инструкции будет сгенерирован новый ключ, а это значит, что для него потребуется создать новый CSR и переиздать сертификат.