CSR запрос для Apache

Вопрос: Как создать CSR запрос для Apache?

Ответ: Для оформления сертификата необходимо сгенерировать CSR запрос.

Шаг 1. Для создания запроса и последующей установке сертификата Вам необходим OpenSSL, если данной программы еще нет на Вашем сервере, то установите ее.

Шаг 2. Необходимо воздать приватный ключ - RSA ключ. Он необходим также для установки сертификата. Для создания RSA-ключа для веб-сервера Apache перейдем в соответствующую директорю:

cd /apacheserverroot/conf/ssl.key

   где ssl.key - директория для ключей по умолчанию.

Если Вы используете другой путь, то перейдите в нужную директорию, где храняться приватные ключи.

Шаг 3. Для создания файла Private Key введите следующую команду:

openssl genrsa -des3 -out yourdomain.key 2048

На данном шаге Вам будет предложен ввести пароль для доступа к ключу. Данный пароль нужно будет вводить каждый раз при запуске веб-сервера. Не забывайте пароль, т.к. при потере доступа к Private Key Вам придется заказывать новый сертификат.
Вы также можете использовать приватный ключ без шифрования, если не хотите вводить пароль при каждом запуске веб-сервера, но от этого может пострадать безопасность данных:

openssl genrsa -out yourdomain.key 2048

В качестве названия приватного ключа, мы рекомендум использовать имя Вашего домена. Это будет особенно удобно, если у Вас множество доменов с сертификатами.

Шаг 4. Для создания CSR запроса на основе RSA ключа введите команду:

openssl req -new -key yourdomain.key -out yourdomain.csr

Если в шаге 3 Вы выбрали создание ключевого файла с паролем, то Вам необходимо будет ввести его для создания CSR.

Шаг 5. При создании CSR запроса Вам будет необходимо заполнить следующие поля (только латиницей, нельзя использовать символы: < > ~ ! @ # $ % ^ * / \ ( ) ? . , &):

    Common Name
    Organization
    Organization Unit
    City or Locality
    State or Province
    Country

Common Name - это полное имя Вашего сайта без указания протокола. Например www.hostservice.ua или hostservice.ua. Практически все сертификаты (кроме серитфикатов с EV) по умолчанию защищают оба варинта написания домена.

Organization - Точное наименование организации в соответствии с Уставом организации на английском языке. Как правило это нужно для сертификатов с проверкой организации. Если Вы заказываете серитфикат с проверкой домена, то в качесте наименования организации можете указать имя домена.

Organization Unit - наименование отдела, подразделения. Достаточно указать, напимер IT.

City or Locality - город, где официально зарегистрирована организация/частное лицо.

State or Province - штат или облась, где зарегистрирована организация/частное лицо. Если такового нет, можно повторно указать город.

Country - страна, в виде двухсимвольного ISO-кода, например UA - Украина, US - США и т.п.

Также рекомендуем указать e-mail адрес, который непосредстевнно связан с доменом (находится на домене или является административным) и к которому Вы имеете доступ. На данный адрес в дальнейшем будет выслано письмо с ссылкой на подтрвеждение сертификата, по которой Вам необходимо будет перейти, чтобы активировать проверку домена и оформление сертификата.

Пароль оставьте пустым (нажмите Enter)
Для проверки содержимого CSR кода используйте команду:

openssl req -noout -text -in yourdomain.csr

Шаг 7. Скопируйте содержимое CSR запроса, включая теги BEGIN и END в поле в форме заказа на нашем сайте.

Не забудьте сохранить копию приватного ключа в надежном месте! В случае утери данного файла, Вам придется заказывать сертификат снова.

Для просмотра содержимого приватного ключа используйте команду:

openssl rsa -noout -text -in yourdomain.key

Приватный ключ должен начинаться c тега -----BEGIN RSA PRIVATE KEY----- и заканчиваться тегом -----END RSA PRIVATE KEY-----.