Как сделать запрос на сертификат

Как сделать запрос на сертификат

Добрый день уважаемые читатели блога Pyatilistnik.org, сегодняшний пост не будет про новое обновление windows 10 creators update, в прошлом посте мы и так все подробно разобрали. Сегодня мне хочется поговорить с вами о том, что такое CSR запрос и как его сгенерировать на различных платформах веб-движков, поговорим, где и в каких ситуациях вам это пригодится, данный материал будет очень полезен начинающим веб-мастерам.

Что такое CSR запрос

Создать csr запрос

И так генерация csr запроса у нас будет для таких платформ:

Генерация csr запроса на IIS 7

На хостингах не самый распространенный веб-сервер, открываете консоль управления IIS. Выбираете нужный сайт и выбираете значок «Сертификаты сервера»

В открывшемся окне, в области действия, вам необходимо нажать «создать запрос сертификата»

Далее вы должны выбрать длину ключа, ставим 2048 бит

И указываем место сохранения CSR запроса, по сути это будет обычный текстовый файл.

Генерация csr запроса Apache, ModSSL, Nginx

Создание csr запроса в CentOS (Linux или MacOS) осуществляется с помощью утилиты OpenSSL, кто не знает, что это такое, то в нескольких словах, это кроссплатформенное программное решение, которое позволяет работать с технологиями SSL/TLS, позволяет управлять и взаимодействовать с криптографическими ключами. В версии CentOS 7, она уже идет под капотом, но если у вас OpenSSL еще не установлен, то делается это вот такой командой:

В Debian или Ubuntu, команда будет выглядеть вот так.

Теперь при наличии OpenSS в системе, вы сможете произвести генерацию CSR запроса.

У вас будет сгенерированно два файла:

Хочу отметить, что полученные файлы вы обнаружите в каталоге, где выполняете команду OpenSSL.

Давайте теперь пробежимся по полям, которые вам нужно будет заполнить, вводите тут максимально корректную информацию, в противном случае можете от этого пострадать.

В итоге вот содержимое этих файлов, содержимое ca.csr, нужно передать удостоверяющему центру, для выпуска вашего сертификата.

Генерация csr запроса через онлайн сервисы

Источник

Как получить электронную подпись на сайте УЦ

ВАЖНО! Для получения электронной подписи (ЭП) в УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР» используйте бесплатный функционал модуля «Удостоверяющей центр» или программы «Подпись Про». Если данная возможность отсутствует, сформируйте запрос на сертификат и установите его через сайт Удостоверяющего центра.

Внимание! Если Вы установили контейнер закрытого ключа (ключа подписи) в реестр компьютера, перед переустановкой операционной системы обязательно выполните резервное копирование Ваших контейнеров на флеш-накопитель, иначе данные будут удалены с компьютера.

Формирование запроса на сертификат

До формирования запроса на сертификат выполните следующие действия:

Для создания Заявления откройте список заказов, выберите нужный заказ на получение ЭП и нажмите на ссылку «Заполнить заявление на получение подписи». Заполните форму заявления и нажмите кнопку «Сохранить».

Внимание! Дата отправки заявления на проверку в УЦ должна совпадать с датой подписания заявления и доверенности. Срок действия доверенности не менее года.

Примечание: если будут обнаружены ошибки, откроется протокол ошибок и предупреждений. Ошибки необходимо устранить. Предупреждения можно игнорировать.

Нажмите кнопку «Редактировать заявление», исправьте ошибки, затем нажмите кнопку «Сохранить». Заявление будет проверено.

После успешной проверки нажмите кнопку «Отправить заявление в УЦ». На вашу электронную почту будет выслано письмо об успешной регистрации пользователя, в котором указаны логин и пароль от Личного кабинета на сайте УЦ.

3. Сформируйте запрос на сертификат.

Для этого на компьютере должны быть установлены:

Рекомендуем использовать КриптоПро CSP версии не ниже 4.0, т.к. только начиная с версии 4.0 осуществляется поддержка стандарта электронной подписи ГОСТ Р 34.10-2012 – обязательного с 01.01.2019 г.

Чтобы сформировать запрос на сертификат:

1) Запустите браузер Internet Explorer.

2) В адресную строку вставьте ссылку из письма от Отдела продаж:

3) В открывшемся окне введите логин и пароль, которые были указаны в письме об успешной регистрации на сайте УЦ. Нажмите кнопку «Выполнить вход»:

Вход в личный кабинет

4) Далее появится окно подтверждения доступа в Интернет, нажмите кнопку «Да»:

Подтверждение доступа в Интернет

Примечание 1: если у вас не установлен «КриптоПро ЭЦП browser plug—in», откроется сообщение:

Чтобы установить плагин, нажмите на соответствующую ссылку. Прямая ссылка на скачивание плагина также указана в письме с темой «Вы зарегистрированы в УЦ».

Примечание 2: если плагин уже установлен, но сообщение о необходимости его установки открылось, значит, в окне браузера появилось всплывающее окно о разрешении включения надстройки (плагина). Подтвердите включение.

5) Выберите вид сертификата, который был указан в заявлении на регистрацию в УЦ. Нажмите кнопку «Создать »:

Запрос на сертификат

6) В окне «КриптоПро CSP» выберите носитель для хранения контейнера закрытого ключа (ключа подписи), и нажмите кнопку «ОК».

Внимание! Если вы хотите, чтобы контейнер закрытого ключа хранился:

Выбор носителя для хранения контейнера закрытого ключа

ВНИМАНИЕ! Если Вы установили контейнер закрытого ключа (ключа подписи) в реестр компьютера, перед переустановкой операционной системы обязательно выполните резервное копирование Ваших контейнеров на флеш-накопитель, иначе данные будут удалены с компьютера.

Выбор носителя для хранения контейнера закрытого ключа

7) В окне биологического датчика случайных чисел нажимайте клавиши или перемещайте указатель мыши над этим окном до тех пор, пока ключ не будет создан.

Создание закрытого ключа

8) Далее задайте пароль для создаваемого контейнера закрытого ключа и нажмите кнопку «ОК».

Если носителем для хранения контейнера закрытого ключа является:

токен (eToken, Рутокен) – в окне установки пароля введите пароль токена;

USB—накопитель или реестр компьютера – придумайте и введите пароль. Пароль в данном случае можно не устанавливать.

Внимание! Обязательно запомните пароль для создаваемого контейнера закрытого ключа. Данный пароль восстановлению не подлежит.

Установка пароля для контейнера закрытого ключа

Внимание! Контейнер закрытого ключа не подлежит восстановлению. Ни при каких обстоятельствах не удаляйте его самостоятельно. При потере контейнера закрытого ключа необходим платный перевыпуск сертификата.

Пароль для контейнера закрытого ключа задан, запрос на сертификат сформирован. Вы будете автоматически перенаправлены в Личный кабинет в раздел запросов на изготовление, где отобразится созданный запрос и его статус.

Запросы на сертификат

Созданный запрос отправлен в Удостоверяющий центр и ожидает одобрения Оператором УЦ.

Скачивание и установка сертификата

После одобрения запроса оператором УЦ Вы получите письмо о выпуске сертификата. Выпущенный сертификат необходимо скачать и установить.

Для этого зайдите в личный кабинет на сайте удостоверяющего центра и выполните следующие действия:

1. В левой части окна перейдите в раздел «Сертификаты» → «Действительные». Найдите выпущенный сертификат и в столбце «Файл» нажмите «Скачать».

Скачивание сертификата

В нижней части окна браузера появится окно выбора действий со скачиваемым файлом, нажмите «Сохранить».

Выбор действий со скачиваемым файлом

2. Чтобы установить сертификат, запустите программу «КриптоПро CSP». Для этого зайдите в меню «Пуск» → «Все программы» → «КРИПТО-ПРО» → «КриптоПро CSP».

Запуск «Крипто Про CSP»

2.1. В окне программы перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат».

2.2. В открывшемся окне нажмите на кнопку «Обзор», выберите сертификат, который необходимо установить. Нажмите «Далее».

2.3. В окне «Сертификат для установки» отображаются основные сведения, содержащиеся в устанавливаемом сертификате. Нажмите «Далее».

Просмотр сведений сертификата

2.4. В следующем окне укажите контейнер закрытого ключа, который соответствует устанавливаемому сертификату. Для этого нажмите кнопку «Обзор» и выберете нужный контейнер.

Для автоматического поиска контейнера, соответствующего устанавливаемому сертификату, установите галочку в поле «Найти контейнер автоматически». Нажмите «Далее».

если вы хотите работать без съемного носителя (дискеты, флеш-накопителя, Рутокен, eToken и подобных носителей), контейнер закрытого ключа должен находиться в реестре компьютера;

если Вы хотите работать со съемным носителем (дискетой, флеш-накопителем, Рутокен, eToken и подобным носителем), то контейнер закрытого ключа должен находиться на съемном носителе.

2.5. В окне «Хранилище сертификатов» проверьте, чтобы:

в поле «Имя хранилища сертификатов» указано – «Личное»;

в пункте «Установить сертификат в контейнер» установлена галочка.

2.6. В окне «Завершение работы мастера установки личного сертификата» убедитесь, что выбраны правильные параметры и нажмите кнопку «Готово».

Примечание: если был задан пароль для контейнера закрытого ключа, необходимо его ввести:

Ввод пароля для контейнера

Чтобы успешно построить путь сертификации, необходимо установить корневые сертификаты нашего и вышестоящих УЦ. Для этого:

1. Скачайте корневые сертификаты:

Корневой сертификат УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР»
(с 19.10.2016 по 19.10.2026)

Корневой сертификат УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР»
(с 06.04.2018 по 06.04.2027)

Корневой сертификат УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР»
(для ЭП, выпущенных по ГОСТ Р 34.10-2012 с 01.01.2019)
(с 26.09.2018 по 26.09.2033)

Корневой сертификат УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР»
(ГОСТ Р 34.10-2012, для ЭП с 15.10.2019)
(с 26.07.2019 по 26.07.2034)

2. Нажмите правой кнопкой мыши по одному из сертификатов и выберите «Установить сертификат»:

>»>
Установка сертификата

В открывшемся окне нажмите «Далее».

>»>
Мастер импорта сертификатов

2.1. Проверьте, чтобы был выбран пункт «Автоматически выбирать хранилище на основе типа сертификата». Нажмите «Далее».

>»>
Мастер импорта сертификатов

2.2. В следующем окне нажмите «Готово».

>»>
Мастер импорта сертификатов

Выполните аналогичные действия для других скачанных сертификатов.

3. Откройте меню «Пуск» → «Все программы», в папке «КРИПТО-ПРО» найдите и запустите «Сертификаты».

4. В открывшемся окне раскройте следующие ветки:

Сертификаты → Текущий пользователь → Промежуточные центры сертификации → Реестр → Сертификаты.

Найдите сертификаты «Головной удостоверяющий центр» и «Минкомсвязь России», зажав левую кнопку мыши, перетащите их в ветку «Доверенные корневые центры сертификации».

>»>
Перенос сертификата

На предупреждение о безопасности ответьте «Да».

>»>
Подтверждение установки сертификата

Внимание! Для обеспечения сохранности ЭП рекомендуем сделать резервную копию, т.е. выполнить копирование контейнера закрытого ключа, а также сертификата на съемный носитель или другой компьютер (подробнее читайте в статье).

Новая версия программы «Диплом-стандарт ФГОС СПО»

Источник

Генерация и использование SSL-сертификатов в Linux

В целях безопасности, в частности во избежание перехвата конфиденциальных, персональных или важных данных. Многие владельцы сайтов в сети защищают трафик с помощью SSL-сертификатов. Естественно, защите подлежит только тот трафик, который связан непосредственно с запросами и передачей данных с определённым адресом — адресом сайта. Системные администраторы, сотрудники техподдержки должны ориентироваться в вопросах, касающихся создания и внедрения SSL-сертификатов для хостов. Поскольку предоставляют соответствующие услуги. Для этих целей в системах Linux существует утилита openssl. Она является свободной реализацией методов защиты, протокола SSL, а также генерации сертификатов.

Как SSL-сертификат помогает защитить данные?

На самом деле схема защиты трафика основана на его шифровании открытым ключом и его расшифровке закрытым ключом. Понятие SSL-сертификата применимо в контексте подтверждения того факта, что открытый ключ действительно принадлежит именно тому домену, с которым происходит соединение. Таким образом, в данной схеме присутствуют две составляющие:

Обе эти составляющие и представляют собой то, что принято обозначать понятием SSL-сертификат. Подпись является гарантией, поскольку выдаётся авторитетным центрами сертификации. Это доступные всем онлайн-сервисы (достаточно воспользоваться любой поисковой системой), которым можно отправить свой ключ, заполнив соответствующую анкету. Далее сервис (центр сертификации) обрабатывает данные из анкеты и сам ключ и высылает уже подписанный ключ обратно его владельцу. Среди самых популярных на сегодняшний день центров сертификации являются такие как Comodo.
Важно заметить, что зашифрованный открытым ключом трафик возможно расшифровать только соответствующим ему закрытым ключом. В свою очередь подпись для открытого ключа от авторитетного цента говорит, что зашифрованный трафик пришёл от «своего» или подлинного узла и его можно принять в обработку, т. е. расшифровать закрытым ключом.

Общий порядок создания SSL-сертификата, ключи и подпись

Во время создания SSL-сертификата происходит последовательная обработка следующих видов ключей:

Для начала нужно создать закрытый ключ:

Теперь нужно создать запрос на подпись — CSR-файл, который будет включать только что сгенерированный ключ server.key:

При выполнении этой команды пользователю необходимо ввести информацию о домене и организации. Причём наименование домена следует вводить точно, например, если идентификатор URL сайта https://mycompany.com, то ввести нужно mycompany.com. Для URL-идентификатора www.mycompany.com уже необходим отдельный сертификат.
Теперь файл server.csr со сформированным запросом на подпись можно отправить в выбранный центр сертификации.

Подписание SSL-сертификатов

Получить подписанный сертификат, когда имеется закрытый ключ и запрос на подпись можно несколькими способами: воспользоваться услугой авторитетных центров сертификации, отправив им запрос (CSR-файл) и получив в ответ готовый сертификат *.crt. Либо можно сделать сертификат самоподписанным. Т. е. подписать его тем же ключом, который использовался при создании файла CSR. Для этого следует выполнить команду:

Здесь опция -days указывает количество дней, в течение которых выпускаемый сертификат server.crt будет действителен. В данном случае на протяжении одного года.
Также можно создать самоподписанный сертификат из имеющегося закрытого ключа без использования CSR-файла. Но в этом случае нужно вводить информацию CSR-запроса:

Параметр -x509 задаёт формат генерируемого сертификата. Он является самым распространённым и используется в большинстве случаев. Опция -new позволяет запрашивать информацию для запроса у пользователя.

Важно отметить, что сертификаты, подписанные авторитетными центрами сертификации известны веб-браузерам. Самоподписанные сертификаты необходимо импортировать в хранилище доверенных сертификатов веб-браузера вручную. Поскольку соединения с доменами, обслуживаемыми такими сертификатами по-умолчанию блокируются.

Использование SSL-сертификатов для домена

Для использования сертификата доменом, для которого он был создан, необходимо соответствующим образом настроить виртуальный хост этого домена. Для начала нужно сохранить файлы *.crt и *.key где-нибудь, где доступ к ним может получить только их владелец. Например в

/ssl/certs/ нужно поместить файл server.crt, в

/ssl/private/ — файл server.key. Далее, в конфигурационном файле виртуального хоста нужно определить следующие директивы:

Важно заметить, что для SSL-соединений домена должен быть отдельный конфигурационный файл (или просто отдельная конфигурация в одном файле) виртуального хоста для него. Это необходимо, поскольку обычные HTTP-соединения обрабатываются по порту 80, а HTTPS (SSL) — по 443. Это отдельные конфигурации одного виртуального хоста (хотя это не совсем верное определение). Также для Apache должен быть включен модуль SSL. Типичная конфигурация может выглядеть следующим образом:

Как подключить ssl сертификата в nginx читайте в этой статье.

Заключение

В заключение следует заметить, что генерация и подключение SSL-сертификатов к домену — далеко не самая сложная задача. Однако она требует очень внимательного выполнения отдельных её этапов, поскольку от ошибки зависит безопасность для домена.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник