Какво е CSR и как да я създадете?

CSR (Certificate Signing Request – заявка за подписване на удостоверение) е блок от кодиран текст, който дадена организация или физическо лице подава към удостоверяващия орган (CA), когато кандидатства за SSL удостоверение. CSR съдържа информация, която CA използва за създаване на сертификата, като например публичния ключ на заявителя и данни за организацията. След това този сертификат се използва за защита на комуникациите в уебсайтовете чрез активиране на HTTPS.

В тази статия ще обясним какво представлява CSR, защо е важен и ще предоставим инструкции стъпка по стъпка как да го създадете.

Какво представлява CSR (заявка за подписване на сертификат)?

CSR е файл, който включва публичния ключ на собственика на уебсайта и важна информация за уебсайта и организацията, които искат SSL сертификат. След това тази заявка се подава до сертифициращ орган (CA), като Let’s Encrypt, DigiCert или Comodo, който потвърждава данните, преди да издаде сертификата.

Типичният CSR включва:

• Публичен ключ: Използва се в процеса на криптиране.
• Общо име (CN): Напълно квалифицираното име на домейн (FQDN), което искате да защитите (напр. www.example.com).
• Име на организацията: Името на компанията или физическото лице, което кандидатства за SSL сертификата.
• Организационна единица: Отделът или подразделението в рамките на компанията (по избор).
• Местоположение: Градът, в който се намира организацията.
• Щат/провинция: Щатът или провинцията, в която се намира организацията.
• Държава: Двубуквеният код на страната (например US за САЩ).

CSR не съдържа частния ключ на уебсайта, който се генерира и съхранява на сигурно място на сървъра.

Защо CSR е важен?

CSR е съществена част от процеса на издаване на SSL сертификат. Ето защо той е важен:

1. Заявяване на SSL сертификат

Когато подавате заявка за SSL сертификат, трябва да изпратите CSR на удостоверяващия орган. Удостоверяващият орган използва информацията в CSR, за да издаде сертификат, който съответства на домейна, организацията и сървъра.

2. Сигурност

CSR включва публичния ключ, който се използва за криптиране на данните между сървъра и клиента (браузъра). Частният ключ, който се генерира заедно с публичния ключ, се съхранява на сигурно място на сървъра и никога не се споделя с никого. Заедно те позволяват сигурна комуникация чрез SSL/TLS.

3. Удостоверяване

Удостоверяващият орган използва информацията в CSR, за да провери самоличността на заявителя на сертификата. В зависимост от вида на SSL сертификата (например Domain Validation (Утвърждаване на домейна), Organization Validation (Утвърждаване на организацията) или Extended Validation (Разширено потвърждаване)) CA може да извърши различни нива на проверки, преди да издаде сертификата.

Как да създадете CSR

Създаването на CSR включва генериране на двойка публичен и частен ключ и след това създаване на CSR с помощта на тези ключове. Процесът се различава леко в зависимост от сървъра, който използвате, но основните стъпки са едни и същи.

Стъпка 1: Генериране на частен ключ

Първата стъпка при създаването на CSR е генерирането на частен ключ. Частният ключ ще се използва за криптиране и декриптиране на данни на вашия уебсайт и трябва да се пази в безопасност.

Пример с използване на OpenSSL (Linux, macOS или Windows с инсталиран OpenSSL):

1. Отворете терминал или команден ред.
2. Изпълнете следната команда, за да генерирате частен ключ:
   openssl genrsa -out private.key 2048

   Това ще генерира 2048-битов частен ключ RSA и ще го запише във файл, наречен private.key.

Стъпка 2: Генериране на CSR

След като сте получили частния ключ, следващата стъпка е да създадете CSR. CSR съдържа публичния ключ (получен от частния ключ) и информация за вашата организация.

Пример с използване на OpenSSL:

1. В терминала изпълнете следната команда:
   openssl req -new -key private.key -out yourdomain.csr

   Ще бъдете подканени да въведете информация за CSR. Ето какво ще трябва да предоставите:

   • Име на държавата (двубуквен код): Двубуквеният код на вашата държава (напр. САЩ, Великобритания).
   • Име на щат или провинция: Пълното име на щата или провинцията (не съкращавайте).
   • Наименование на населеното място: Градът или населеното място, където се намира вашата организация.
   • Име на организацията: Пълното юридическо име на вашата компания или организация (или вашето име, ако сте физическо лице).
   • Име на организационната единица: Отделът или подразделението (по избор).
   • Общо наименование: Напълно квалифицираното име на домейн (FQDN), което искате да защитите (например www.example.com или example.com).
   • Имейл адрес: Вашият имейл адрес за връзка (по избор).
2. След като въведете необходимата информация, CSR ще бъде запазен във файл, наречен yourdomain.csr.

Стъпка 3: Изпращане на CSR на удостоверяващия орган

След като CSR е генериран, можете да го подадете на сертифициращия орган (CA), когато кандидатствате за SSL сертификат. Удостоверяващият орган ще използва информацията в CSR, за да издаде сертификата.

Стъпка 4: Запазете частния ключ по сигурен начин

Генерираният в стъпка 1 частен ключ е от решаващо значение за SSL криптирането. Уверете се, че го пазите на сигурно място и не го споделяйте с никого. Ако частният ключ бъде изгубен или компрометиран, ще трябва да генерирате нов ключ и да поискате нов SSL сертификат.

Общи инструменти и методи за CSR

Освен чрез OpenSSL, можете да създавате CSR и чрез други инструменти и методи, в зависимост от платформата, която използвате:

1. Използване на cPanel (контролен панел за уеб хостинг)

Ако уебсайтът ви е хостван при доставчик, който използва cPanel, можете да създадете CSR директно в контролния панел:

1. Влезте в профила си в контролния панел cPanel.
2. Отидете в раздела Security (Сигурност) и щракнете върху SSL/TLS.
3. Под Заявки за подписване на сертификат (CSR) щракнете върху Генериране, преглед или изтриване на заявки за подписване на SSL сертификат.
4. Попълнете формуляра CSR с необходимата информация (подобна на тази, която въвеждате в OpenSSL).
5. Щракнете върху Генериране. CSR ще се покаже и можете да го копирате, за да го изпратите на вашия CA.

2. Използване на IIS (Windows Server)

Ако управлявате уебсайт на Windows Server, използващ IIS, можете да създадете CSR, като използвате IIS Manager:

1. Отворете IIS Manager на вашия сървър.
2. Изберете вашия сървър от панела Connections (Свързвания).
3. Щракнете двукратно върху Server Certificates (Сървърни сертификати) в раздела IIS.
4. В панела Actions (Действия) щракнете върху Create Certificate Request (Създаване на заявка за сертификат).
5. Попълнете данните за CSR и щракнете върху Next (Напред).
6. Изберете доставчик на криптографски услуги и дължина на битовете (обикновено 2048).
7. Запазете CSR във файл и го изпратете на CA.

Заключение

Искането за подписване на сертификат (CSR) е важна част от процеса на издаване на SSL сертификат, която ви позволява да поискате сертификат от удостоверяващ орган. То съдържа важна информация за вашата организация и за домейна, който искате да защитите. Чрез генериране на CSR с помощта на инструменти като OpenSSL, cPanel или IIS можете да получите SSL сертификат, който ще защити вашия уебсайт и ще позволи сигурна комуникация между сървъра и неговите посетители.

Не забравяйте да пазите частния си ключ и да следвате инструкциите на CA, за да завършите инсталирането на SSL сертификата. С правилно конфигуриран SSL сертификат ще гарантирате, че уебсайтът ви ще остане сигурен и надежден за потребителите.