Для создания запроса на сертификат (CSR) необходимо использовать криптографический пакет с открытым исходным кодом OpenSSL. Он доступен для большинства UNIX-подобных операционных систем и доступен на нашем хостинге.
- Подключение к хостингу по SSH
- Создание закрытого (приватного) ключа
- Создание запроса на сертификат (CSR)
1. Подключение к хостингу по SSH
Все необходимые операции по созданию CSR выполняются на хостинге при подключении по SSH. Вам потребуется получить параметры для подключения в панели управления хостингом и настроить подключение с помощью SSH-клиента, например PuTTY.
2. Создание закрытого (приватного) ключа
Перед созданием CSR необходимо сгенерировать закрытый ключ длиной не менее 2048 бит. Закрытый ключ должен создаваться и храниться на сервере, для которого выпускается сертификат.
После подключения к хостингу по SSH выполните в командной строке следующие команды.
1. Перейдите в каталог для временных файлов /home/идентификатор/tmp. В этом каталоге будут сохранены созданные вами файлы
cd ~/tmp
2. Создайте закрытый ключ командой:
openssl genrsa -des3 -out private.key 2048
3. В ответ на запрос Enter pass phrase for private.key введите пароль для защиты закрытого ключа.
4. После запроса Verifying — Enter pass phrase for private.key — повторите ввод пароля.
Ваш закрытый ключ будет создан и сохранен в файле private.key. Просмотреть его можно, выполнив команду:
less private.key
Для выхода нажмите Q.
При утрате пароля или компрометации закрытого ключа сертификат необходимо перевыпустить. Обязательно сохраните копию закрытого ключа на своем компьютере.
3. Создание запроса на сертификат (CSR)
При создании CSR все данные вводятся латинскими символами.
1. В командной строке выполните команду:
openssl req -new -key private.key -out domain-name.csr
2. Введите пароль закрытого ключа в ответ на запрос Enter pass phrase for private.key.
3. Следующие поля заполняются латинскими символами:
- Country Name — двухсимвольный код страны согласно ISO-3166. «RU» для России.
- State or Province Name: название области или региона без сокращений;
- Locality Name: название города или населенного пункта;
- Organization Name: название организации в латинском эквиваленте;
- Organizational Unit Name: название подразделения, для которого заказывается сертификат (необязательное поле);
- Common Name: полностью определенное (FQDN) доменное имя;
- Email Address: контактный e-mail адрес (необязательное поле);
- A challenge password: не заполняется;
- An optional company name: альтернативное имя компании (не заполняется).
Запрос на сертификат будет сохранен в файле domain-name.csr в виде закодированного текста. Проверьте корректность введенных данных, выполнив следующую команду:
openssl req -noout -text -in domain-name.csr
При создании заказа на SSL-сертификат в личном кабинете на сайте www.nic.ru вам потребуется указать CSR. Для этого выполните просмотр полученного CSR-файла командой less и скопируйте его содержимое в форму заказа.
