Що таке CSR і як її створити?

CSR (Certificate Signing Request) – це блок закодованого тексту, який організація або фізична особа надсилає до центру сертифікації (ЦС), коли подає заявку на отримання SSL-сертифікату. CSR містить інформацію, яку ЦС використовує для створення сертифіката, наприклад, відкритий ключ заявника та дані організації. Потім цей сертифікат використовується для захисту зв’язку на веб-сайтах шляхом увімкнення HTTPS.

У цій статті ми пояснимо, що таке CSR, чому він важливий, і надамо покрокові інструкції щодо його створення.

Що таке CSR (запит на підписання сертифіката)?

CSR – це файл, який містить відкритий ключ власника веб-сайту та важливу інформацію про веб-сайт і організацію, яка запитує SSL-сертифікат. Потім цей запит надсилається до центру сертифікації (ЦС), наприклад, Let’s Encrypt, DigiCert або Comodo, який перевіряє дані перед видачею сертифіката.

Типовий CSR включає в себе

• Відкритий ключ: Використовується в процесі шифрування.
• Загальне ім’я (CN): Повне доменне ім’я (FQDN), яке ви хочете захистити (наприклад, www.example.com).
• Назва організації: Назва компанії або фізичної особи, яка подає заявку на отримання SSL-сертифіката.
• Організаційний підрозділ: Відділ або підрозділ компанії (необов’язково).
• Населений пункт: Місто, в якому знаходиться організація.
• Штат/провінція: штат або провінція, де знаходиться організація.
• Країна: Дволітерний код країни (наприклад, US для США).

CSR не містить приватного ключа веб-сайту, який генерується і зберігається в безпеці на сервері.

Чому CSR важливий?

CSR є невід’ємною частиною процесу видачі SSL-сертифіката. Ось чому це важливо:

1. Запит на отримання SSL-сертифіката

Коли ви подаєте заявку на отримання SSL-сертифіката, вам потрібно надіслати CSR до центру сертифікації. Центр сертифікації використовує інформацію, що міститься в CSR, щоб випустити сертифікат, який відповідає домену, організації та серверу.

2. Безпека

CSR містить відкритий ключ, який використовується для шифрування даних між сервером і клієнтом (браузером). Закритий ключ, який генерується разом з відкритим ключем, зберігається на сервері і ніколи нікому не передається. Разом вони забезпечують безпечний зв’язок за допомогою SSL/TLS.

3. Перевірка

ЦС використовує інформацію в CSR для перевірки особи запитувача сертифіката. Залежно від типу SSL-сертифіката (наприклад, перевірка домену, перевірка організації або розширена перевірка), центр сертифікації може виконувати різні рівні перевірок перед видачею сертифіката.

Як створити CSR

Створення CSR передбачає генерацію пари відкритих і закритих ключів, а потім створення CSR з використанням цих ключів. Процес дещо відрізняється залежно від сервера, який ви використовуєте, але основні кроки однакові.

Крок 1: Згенеруйте приватний ключ

Першим кроком у створенні CSR є генерація приватного ключа. Закритий ключ буде використовуватися для шифрування і дешифрування даних на вашому веб-сайті, і його слід зберігати в безпеці.

Приклад з використанням OpenSSL (Linux, macOS або Windows з встановленим OpenSSL):

1. Відкрийте термінал або командний рядок.
2. Запустіть наступну команду, щоб згенерувати приватний ключ:
   openssl genrsa -out private.key 2048

   Вона згенерує 2048-бітний приватний ключ RSA і збереже його у файлі з назвою private.key.

Крок 2: Згенеруйте CSR

Після того, як ви отримали приватний ключ, наступним кроком буде створення CSR. CSR містить відкритий ключ (отриманий з приватного ключа) та інформацію про вашу організацію.

Приклад з використанням OpenSSL:

1. У терміналі запустіть наступну команду:
   openssl req -new -key private.key -out yourdomain.csr

   Вам буде запропоновано ввести інформацію для CSR. Ось що вам потрібно буде вказати:

   • Назва країни (2-літерний код): Дволітерний код вашої країни (наприклад, США, Великобританія).
   • Назва штату або провінції: Повна назва штату або провінції (не скорочуйте).
   • Назва населеного пункту: Місто або населений пункт, де знаходиться ваша організація.
   • Назва організації: Повна юридична назва вашої компанії або організації (або ваше ім’я, якщо ви фізична особа).
   • Назва організаційного підрозділу: Департамент або підрозділ (необов’язково).
   • Загальна назва: Повне доменне ім’я (FQDN), яке ви хочете захистити (наприклад, www.example.com або example.com).
   • Адреса електронної пошти: Ваша контактна електронна адреса (необов’язково).
2. Після введення необхідної інформації CSR буде збережено у файлі з назвою yourdomain.csr.

Крок 3: Надішліть CSR до центру сертифікації

Після створення CSR ви можете відправити його до центру сертифікації (ЦС) під час подачі заявки на отримання SSL-сертифіката. ЦС використає інформацію, що міститься в CSR, для видачі сертифіката.

Крок 4: Безпечне збереження приватного ключа

Закритий ключ, створений на кроці 1, має вирішальне значення для шифрування SSL. Обов’язково зберігайте його в безпеці і нікому не передавайте. Якщо приватний ключ буде втрачено або скомпрометовано, вам потрібно буде згенерувати новий ключ і запросити новий SSL-сертифікат.

Поширені інструменти та методи КСВ

Окрім використання OpenSSL, ви також можете створювати CSR за допомогою інших інструментів і методів, залежно від платформи, яку ви використовуєте:

1. За допомогою cPanel (панель управління хостингом)

Якщо ваш сайт розміщений у провайдера, який використовує cPanel, ви можете створити CSR безпосередньо в панелі керування:

1. Увійдіть до свого облікового запису cPanel.
2. Перейдіть до розділу Безпека і натисніть на SSL/TLS.
3. У розділі Запити на підписання сертифікатів (CSR) натисніть Створити, переглянути або видалити запити на підписання SSL-сертифікатів.
4. Заповніть форму CSR необхідною інформацією (подібно до тієї, що ви вводите в OpenSSL).
5. Натисніть кнопку Згенерувати. CSR буде відображено, і ви зможете скопіювати його, щоб надіслати до вашого центру сертифікації.

2. Використання IIS (Windows Server)

Якщо ви керуєте веб-сайтом на Windows Server за допомогою IIS, ви можете створити CSR за допомогою IIS Manager:

1. Відкрийте IIS Manager на вашому сервері.
2. Виберіть ваш сервер на панелі Підключення.
3. Двічі клацніть на Сертифікати сервера в розділі IIS.
4. На панелі Дії натисніть кнопку Створити запит на сертифікат.
5. Заповніть дані CSR і натисніть Далі.
6. Виберіть постачальника криптографічних послуг і довжину біта (зазвичай 2048).
7. Збережіть CSR у файл і надішліть його до центру сертифікації.

Висновок

Запит на підписання сертифіката (CSR) – це важлива частина процесу отримання SSL-сертифіката, яка дозволяє вам запросити сертифікат у центру сертифікації. Він містить важливу інформацію про вашу організацію та домен, який ви хочете захистити. Створивши CSR за допомогою таких інструментів, як OpenSSL, cPanel або IIS, ви можете отримати SSL-сертифікат, який захистить ваш веб-сайт і забезпечить безпечний зв’язок між сервером і його відвідувачами.

Не забувайте зберігати свій приватний ключ у безпеці та дотримуйтесь інструкцій центру сертифікації, щоб завершити встановлення SSL-сертифіката. Правильно налаштувавши SSL-сертифікат, ви гарантуєте, що ваш веб-сайт залишається безпечним і надійним для користувачів.