Что такое CSR (запрос на подписание сертификата) в SSL?

Последнее обновление by Dionisie Gitlan

Шифрование веб-сайтов сегодня является обязательным, и способ обеспечить его – установить SSL-сертификат на Вашем сервере. Но прежде чем получить сертификат от центра сертификации (ЦС), Вы должны сгенерировать код CSR (Certificate Signing Request) и отправить его в ЦС для проверки. В этом подробном руководстве рассказывается о том , что такое запрос на подписание сертификата и как его создать при подаче заявки на получение SSL-сертификата.

Оглавление

  1. Что такое CSR в SSL
  2. Что такое файл CSR?
  3. Какая информация включается в КСО?
  4. Как выглядит КСО?
  5. Где получить CSR для SSL?
  6. Как сгенерировать ключ CSR для сертификатов SSL?
  7. Что делать с файлом CSR?
  8. Где я могу найти CSR для моего SSL-сертификата?
  9. Как открыть и прочитать файл CSR?

Что такое CSR в SSL?

Запрос на подписание сертификата или CSR – это блок зашифрованного текста с контактной информацией (домен, название компании, страна и т.д.), который заявитель SSL должен отправить в центр сертификации (Certificate Authority, CA) для проверки. ЦС использует данные, содержащиеся в CSR, для проверки подлинности личности заявителя и выпуска SSL-сертификата.

Прежде чем мы начнем объяснять суть и особенности CSR-файла или CSR-сертификата, как называют его некоторые пользователи, давайте посмотрим, зачем он вообще нужен. Как Вы, возможно, уже знаете, SSL-сертификат – это небольшой цифровой файл, который шифрует обмен данными между двумя компьютерными приложениями по сети. Он использует криптографический протокол TLS для защиты конфиденциальных данных, передаваемых между браузерами и серверами.

Но это лишь одна сторона монеты SSL. Как Вы узнаете, что зашифрованный сайт принадлежит подлинной организации? Вы не сможете, пока сторонний орган не проверит и не подтвердит его. Именно здесь в дело вступают центры сертификации, которые проверяют подлинность и надежность домена и организации.

Когда Вы запрашиваете SSL-сертификат, центры сертификации просят Вас предоставить свои контактные данные в рамках процесса проверки и в соответствии с отраслевыми стандартами. Именно в этом и заключается суть КСО в SSL.

Что такое файл CSR?

Файл CSR – это закодированный текстовый документ с расширением .csr, который содержит конфиденциальные данные о Вашем сайте, домене и организации. Он также содержит Ваш открытый ключ и подпись, которые помогают браузерам проверить Вашу личность и установить безопасное соединение во время рукопожатия SSL.

Как называется файл CSR?

Многие пользователи интересуются, влияет ли имя файла CSR на генерацию CSR и установку SSL. Система, на которой Вы создаете запрос на подписание сертификата, обычно определяет имя. По умолчанию имя CSR – это домен, который Вы хотите защитить. Например, yourdomain. csr. Однако некоторые платформы могут потребовать, чтобы он носил имя сервера(servername.csr), в то время как другие клиенты позволяют Вам выбрать любое имя для файла.

Какая информация включается в КСО?

Теперь, когда Вы знаете, что такое запрос на подписание сертификата, давайте посмотрим, какие данные ЦС требуют от Вас предоставить в CSR. Используете ли Вы генератор запроса на подписание сертификата, панель хостинга или утилиту OpenSSL, информация, которую Вы должны ввести, одинакова. Вот типичная форма подачи заявки на CSR:

  • Общее имя: введите FQDN (полное доменное имя), которое Вы хотите защитить. Например, yourdomain.com. Если у Вас есть сертификат wildcard, добавьте звездочку перед именем Вашего домена. Например, *.yourdomain.com.
  • Название организации: укажите официальное название Вашей организации. Например, Your Company LLC. Если у Вас есть сертификат Domain Validation, введите вместо него NA.
  • Организационное подразделение: введите название отдела, подающего запрос. Обычно это ИТ или веб-администрирование. Если у Вас есть сертификат Domain Validation, введите вместо него NA.
  • Местность или город: укажите полное название города, в котором находится Ваша организация. Например, Сан-Франциско.
  • Штат или провинция: напишите полное название штата, в котором зарегистрирована Ваша организация. Например, Калифорния.
  • Название страны: укажите двухбуквенный код Вашей страны. Например, США.
  • Адрес электронной почты: укажите действительный адрес электронной почты.
  • Длина ключа: 2048 бит – это вариант по умолчанию.

После того, как Вы заполнили все данные, обычно целесообразно перепроверить их и избежать в будущем проблем, связанных с неточными данными.

Как выглядит КСО?

Когда Вы откроете файл CSR любым текстовым редактором на Ваш выбор, например, Блокнотом, Вы увидите случайную строку символов, вложенную между тегами —–BEGIN CERTIFICATE REQUEST—– и —–END CERTIFICATE REQUEST—–. Первая и последняя строки всегда будут одинаковыми, а содержимое внутри них будет уникальным для каждого CSR. Вот пример того, как выглядит КСО:

----- НАЧНИТЕ ЗАПРОС СЕРТИФИКАТА-----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----- ЗАПРОС НА ПОЛУЧЕНИЕ СЕРТИФИКАТА-----

CSR для SSL обычно использует кодировку Base-64, стандартный формат для отображения двоичных данных в тексте ASCII. ASCII расшифровывается как American Standard Code for Information Interchange – система кодирования символов, которая присваивает уникальный номер каждому символу в алфавите.

Где получить CSR для SSL?

Поскольку все коммерческие SSL-сертификаты требуют генерации CSR, Вы можете создать свой CSR-файл несколькими способами. Но прежде чем генерировать его, убедитесь, что Ваш сервер поддерживает выбранный метод. В некоторых системах Вы можете делать это только изнутри, в то время как другие платформы позволяют импортировать файлы CSR, созданные извне.

Как сгенерировать CSR для SSL извне?

Самый быстрый и простой способ получить CSR – это воспользоваться генератором запроса на подписание сертификата. Такой инструмент автоматически генерирует CSR и закрытый ключ для Вашего SSL-сертификата. Вы также получаете файлы резервных копий по электронной почте.

Как создать CSR для внутреннего SSL?

Почти все серверы позволяют Вам создать CSR вручную в системе, на которой Вы размещаете сайт. Когда Вы генерируете CSR внутри компании, Вам не нужно загружать файл на платформу, поскольку он уже находится в нужной директории.

Недостатком этого метода является то, что он требует дополнительных знаний и больше подходит для опытных системных администраторов. Мы написали руководства по генерации CSR для более чем 50 серверов и почтовых клиентов, поэтому даже если Вы новичок, они проведут Вас через весь процесс шаг за шагом.

Как сгенерировать ключ CSR для сертификатов SSL?

Вместе с сертификатом CSR Вы создадите файл закрытого ключа с расширением .key. Сервер или внешний инструмент генератора CSR создает оба файла одновременно. Никаких дополнительных действий не требуется, кроме указания длины ключа и пароля при появлении запроса.

Как и файл CSR, закрытый ключ будет находиться на сервере, на котором Вы его сгенерировали, и Вам придется загрузить его только в том случае, если Вы создаете CSR извне. Узнайте больше о форматах закрытых ключей и лучших методах их хранения.

Что делать с файлом CSR?

Когда файл CSR будет готов, следующим шагом будет отправка его содержимого в Центр сертификации. Но прежде чем приступить к этому шагу, откройте CSR в любом текстовом редакторе и убедитесь, что закодированный текст начинается и заканчивается тегами —–BEGIN CERTIFICATE REQUEST—– и —–END CERTIFICATE REQUEST—–.

Вот как отправить CSR в центр сертификации:

На странице заказа у поставщика SSL Вы заполните форму с информацией о себе и компании, а также добавите свой код CSR. Теперь, в зависимости от поставщика, Вам нужно либо загрузить файл CSR, либо вставить содержимое CSR в соответствующее поле. После того, как ЦС проверит и утвердит Ваш CSR, Вы получите файлы SSL-сертификата по электронной почте.

Где я могу найти CSR для моего SSL-сертификата?

Как мы уже говорили, CSR хранится на сервере, где он был создан. Таким образом, в разных системах будут определенные места по умолчанию для сертификата CSR.

Например, на официальном сервере Red Hat Linux Professional CSR находится в файле /etc/httpd/conf/ssl. каталог csr.

В Windows, если Вы введете имя файла, не указав его местоположение, Ваш CSR попадет в C:WindowsSystem32.

Как открыть и прочитать файл CSR?

Чтобы открыть файл CSR, воспользуйтесь любым текстовым редактором на Ваш выбор. Но, открыв его, Вы не узнаете закодированную информацию CSR. Только расшифровав его, Вы сможете проверить, соответствует ли содержащаяся в нем информация той, которую Вы ввели при генерации CSR.

Как декодировать файл CSR?

Самый простой способ декодировать файл CSR – это использовать декодер CSR. Такой инструмент преобразует закодированные данные в обычный текст, чтобы Вы могли видеть, что представляет собой каждое поле. Расшифровка CSR очень полезна, когда Вы не уверены в точности данных и хотите убедиться в их правильности.

В качестве альтернативы Вы можете расшифровать содержимое CSR с помощью OpenSSL.

Выполните приведенную ниже команду:

openssl req -in test.csr -text -noout

Вот как будет выглядеть часть вывода:

Запрос на получение сертификата:
Данные:
Версия: 1 (0x0)
Тема: C = США, O = Ваша компания, OU = подразделение Вашей организации, CN = yourdomain.com
Информация об открытом ключе субъекта:
Алгоритм открытого ключа: rsaEncryption
Открытый ключ RSA: (512 бит)
Модуль:
00:b3:33:s2:fb:f5:57:03:30:4c:51:a5:ce:e7:3b:
9a:b9:63:2f:70:44:a5:65:4b:93:1f:04:24:45:bf:
dc:9b:dd:58:e3:ad:05:9d:47:34:f9:5a:5e:5e:b5:

Заключительные мысли

“Что такое запрос на подписание сертификата?” – это один из самых распространенных вопросов, которые задают пользователи, когда имеют дело с SSL-сертификатами. Надеюсь, это руководство развеяло все заблуждения относительно файла CSR и его назначения. CSR – это незаменимая часть настройки и функционирования SSL-сертификата. Вы должны генерировать его каждый раз, когда заказываете новый SSL-сертификат или обновляете существующий.

Часто задаваемые вопросы

Для чего используется запрос на подписание сертификата?

CSR – это небольшой блок закодированного текста с Вашими контактными данными, необходимый ЦС для проверки Ваших полномочий перед выдачей SSL-сертификата.

Копировать ссылку

Что означает подписание сертификата?

Когда SSL-сертификат подписан, это означает, что Центр сертификации рассмотрел SSL-заявителя и решил, что информация, предоставленная в CSR (Certificate Signing Request), является правильной и легитимной.

Копировать ссылку

Как долго действует запрос на подписание сертификата?

В некоторых системах, таких как Aruba ClearPass, запрос на подписание сертификата действителен только 15 дней. Хотя это и экстремальный пример, Ваш SSL-сертификат, срок действия которого составляет один год, должен определять срок действия CSR. При обновлении SSL-сертификата Вам следует сгенерировать новый CSR-код, чтобы поддерживать информацию в актуальном состоянии и придерживаться лучших практик безопасности.

Копировать ссылку

Является ли запрос на подписание сертификата конфиденциальным?

Нет, CSR не является конфиденциальным, поскольку он не имеет никакой ценности, кроме как помочь ЦС подписать Ваш SSL-сертификат. И хотя он не содержит никаких ключей шифрования, Вам следует держать его при себе. Если Вы поделитесь ею с третьими лицами или в публичных местах, таких как форумы и веб-сайты, это привлечет ненужное внимание к Вашим конфиденциальным данным.

Копировать ссылку

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Сэкономьте 10% сейчас!
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.

Похожие посты
Что происходит, когда срок действия SSL-сертификата истекает?
Как обновить SSL-сертификат?
Каковы преимущества SSL-сертификатов?
Что такое SSL-сертификат и как он работает?
Типы SSL-сертификатов: Какой SSL-сертификат мне нужен?