Код CSR
Начиная с 1 июня 2023 года, улучшенные меры безопасности требуют, чтобы закрытые ключи для стандартных сертификатов подписи кода хранились исключительно на сертифицированном по стандартам FIPS 140 Level 2, Common Criteria EAL 4+ или эквивалентном оборудовании. Это изменение соответствует строгим стандартам защиты сертификатов подписи кода EV. Как следствие, центры сертификации (ЦС) перестали поддерживать процессы генерации ключей, создания CSR и установки через браузер. Вместо этого, выбрав при запросе сертификата метод “токен+отправка”, Вы попросите ЦС создать CSR. Те, кто предпочитает установку HSM, должны обратиться к инструкциям, приведенным ниже, или к руководству соответствующего провайдера.
- YubiKey 5 FIPS Генерация и аттестация CSR.
- Luna Network Attached HSM v7.x: Руководство по CSR и аттестации.
Узнайте больше о способах доставки сертификата подписи кода.
Копировать ссылку
CSR должен содержать следующую обязательную зашифрованную информацию: Вашу страну, штат, город/деревню, название компании, отдел Вашей компании, а также доменное имя или IP-адрес, для которого Вы хотите выпустить SSL-сертификат.
Он также может содержать эту необязательную информацию: адрес электронной почты, на который будет отправлен Ваш код CSR и Закрытый ключ после того, как они будут сгенерированы.
Чтобы избежать ошибок, пожалуйста, убедитесь, что:
- Вы НЕ должны вводить “http://” или “https://” вместе с Вашим доменным именем в качестве общего имени при генерации CSR. Пожалуйста, введите только “www.domain.com” или “domain.com” в качестве общего имени. Также убедитесь, что у Вас нет лишних пробелов до или после Вашего доменного имени.
- При генерации кода CSR Вам был предоставлен код CSR и закрытый ключ. Убедитесь, что Вы ввели только код CSR в форму конфигурации SSL. НЕ вводите закрытый ключ, а сохраните его в безопасном месте на своем компьютере или в электронной почте, поскольку он понадобится Вам при установке SSL-сертификата на Ваш сайт/сервер.
- CSR, который Вы вводите в форму конфигурации SSL, должен содержать следующие две строки:“—–BEGIN CERTIFICATE REQUEST—–“ заголовок и“—–END CERTIFICATE REQUEST—–“ нижний колонтитул.
- Для Wildcard SSL-сертификатов – При генерации CSR-кода для Wildcard SSL-сертификата Вы должны включить звездочку и точку (*.) перед Вашим доменным именем. Другими словами, Вы должны заполнить *.yourdomain.com как общее имя в Вашем CSR.
- Для многодоменных Wildcard SSL-сертификатов – Любой многодоменный Wildcard SSL-сертификат должен начинаться с домена без Wildcard. Это означает, что Вам необходимо сгенерировать CSR для одного домена – example.com – без знака звездочки “*.”. Пожалуйста, прочитайте больше в этом FAQ.
- Для SSL-сертификатов с IP-адресом – для Sectigo InstantSSL Premium общим именем должен быть Ваш IP-адрес. Для SSL-сертификата GoGetSSL Public IP SAN Вам будет предложено сгенерировать CSR без общего имени. Вот как это сделать.
- Ваш CSR не настроен для следующих стран:
- AF – AF – Афганистан
- BY – BLR – Республика Беларусь
- CU – CUB – Куба
- ER – ERI – Эритрея
- GN – GIN – Гвинея
- IR – IRN – Иран, Исламская Республика
- KP – PRK – Корея, Народно-Демократическая Республика
- LR – LBR – Либерия
- RU – RUS – Российская Федерация
- SS – SSD – Южный Судан
- SY – SYR – Сирийская Арабская Республика
- ZW – ZWE – Зимбабве
Копировать ссылку
Это один из самых частых вопросов, которые мы получаем. К сожалению, мы не можем выслать Вам Закрытый ключ, поскольку он является закрытым, и мы не храним его ни в одной из наших систем или баз данных. Закрытый ключ всегда остается конфиденциальным, и он должен быть только у Вас. Если бы мы имели или хранили Ваш закрытый ключ, это поставило бы под угрозу “безопасность” Вашего SSL-сертификата.
Если Вы использовали Генератор CSR на нашем сайте для генерации кода CSR, то и CSR, и Закрытый ключ были показаны Вам в процессе генерации CSR. Они также были отправлены на Ваш адрес электронной почты в том случае, если Вы указали свой адрес электронной почты в Генераторе CSR. Сообщение, которое было отправлено на Ваш адрес электронной почты, пришло с сайта [email protected] и имеет следующую тему: “Ваш CSR-код и Закрытый ключ”.
Если Вы сгенерировали свой CSR на своем сервере, то и код CSR, и закрытый ключ были предоставлены Вам Вашим сервером. Вы должны были скопировать их и хранить в надежном месте. В некоторых случаях некоторые серверы могут показывать код CSR и закрытый ключ и одновременно хранить оба этих кода для Вас на сервере. В других случаях сервер предоставляет Вам только код CSR, а закрытый ключ прячет на сервере.
При этом, пожалуйста, ищите Закрытый ключ в адресе Вашей электронной почты или на Вашем сервере. Если Вы не можете найти его, то Вам придется сгенерировать новый CSR-код на Вашем сервере или на Генераторе CSR на нашем сайте. Код CSR будет сопровождаться закрытым ключом.
После того, как новый CSR-код (и закрытый ключ) будут сгенерированы, Вам нужно будет перейти на страницу подробностей SSL-сертификата в Вашем аккаунте SSL Dragon и нажать на кнопку “Перевыпустить сертификат” в левой боковой панели страницы. Вам придется снова пройти проверку домена, и как только Вы это сделаете, SSL-сертификат будет выдан Вам заново на основе нового кода CSR, который Вы ввели. Кроме того, перевыпущенный SSL-сертификат будет работать в паре с закрытым ключом, который был получен вместе с новым кодом CSR.
Если Вы не можете найти Кнопка “Перевыпустить сертификат” на странице сведений о SSL-сертификате в Вашем аккаунте SSL Dragon, затем отправьте нам Отправьте новый код CSR через Тикет поддержки в Вашем аккаунте SSL Dragon или непосредственно по адресу [email protected] и мы заново сгенерируем для Вас SSL-сертификат, используя новый код CSR. Пожалуйста, не присылайте нам Ваш закрытый ключ, так как он является конфиденциальным. Храните его в надежном месте в своей электронной почте или на компьютере, так как он понадобится Вам при установке SSL-сертификата.
Копировать ссылку
Вне зависимости от того, случайно или намеренно Вы ввели неверную информацию в процессе генерации CSR, CSR и закрытый ключ все равно будут выданы Вам немедленно. Однако, как только Вы используете CSR-код для подачи заявки на SSL-сертификат, Вам могут выдать SSL-сертификат, а могут и не выдать. Центр сертификации может по своему усмотрению одобрить или отклонить выпуск Вашего SSL-сертификата, если Вы ввели неверную информацию о себе и своей компании.
Если Вы обнаружили, что CSR неверен, а Вы уже настроили SSL, пожалуйста, откройте нам тикет и предоставьте правильный CSR.
Если Вы поняли, что ввели неверную информацию в CSR при его генерации, Вам просто нужно отложить, проигнорировать или удалить существующий CSR и Закрытый ключ. После этого Вам следует сгенерировать новый CSR-код (который автоматически сгенерирует и новый Закрытый ключ), используя правильную информацию о себе и своей компании. Используйте новый CSR при подаче заявки на SSL-сертификат, а затем новый закрытый ключ при установке SSL-сертификата на Ваш сайт и сервер.
Копировать ссылку
Иногда выданный Вам SSL-сертификат не соответствует закрытому ключу, который Вы пытаетесь использовать при установке этого SSL-сертификата на свой сервер. Это обычная ошибка, возникающая у пользователей.
Если система говорит, что есть несоответствие, то Вам необходимо дважды проверить CSR и Закрытый ключ, которые Вы сгенерировали и которые пришли вместе. Вам нужно убедиться, что Вы использовали именно этот CSR при настройке SSL-сертификата. Когда SSL-сертификат выпущен, Вам необходимо использовать закрытый ключ, который сопряжен с конкретным CSR.
Мы видим, как клиенты совершают ошибку, когда они генерируют один CSR и закрытый ключ, а затем настраивают SSL-сертификат с помощью другого CSR, сгенерированного сервером. В этом случае сервер генерирует пары CSR с собственным закрытым ключом, которого у Вас, скорее всего, нет.
Закрытый ключ, который у Вас есть, работает только с CSR, с которым он поставляется. Кроме того, имеющийся у Вас закрытый ключ работает только с SSL-сертификатом, который был настроен с помощью CSR, сопряженного с этим закрытым ключом.
Решение
Чтобы решить эту проблему, Вам необходимо переконфигурировать (перевыпустить) Ваш SSL-сертификат, используя код CSR, для которого у Вас есть закрытый ключ, с которым он сопряжен. Вы можете использовать код CSR, который предоставляет Ваш сервер, или сгенерировать новый CSR и закрытый ключ.
Копировать ссылку
Сразу же генерируется CSR. Он будет сгенерирован для Вас, как только Вы заполните форму Генератора CSR.
Копировать ссылку
Да, Вы можете посмотреть, какую информацию содержит Ваш CSR, выполнив процесс, противоположный шифрованию. Вы можете воспользоваться нашим инструментом CSR Decoder, чтобы узнать, какая информация содержится в Вашем CSR. Вы можете сделать это на нашей странице CSR Decoder.
Копировать ссылку
Если Вы сгенерировали свой код CSR в Генераторе CSR на нашем сайте, то и CSR, и Закрытый ключ были показаны Вам при генерации CSR. Они также были отправлены на Ваш адрес электронной почты, который Вы указали в форме CSR, заполненной на нашем сайте. Сообщение, которое было отправлено на Ваш адрес электронной почты, пришло с сайта [email protected] и имело следующую тему: “Ваш CSR-код и Закрытый ключ”.
Если Вы сгенерировали свой CSR на своем сервере, то и код CSR, и закрытый ключ были предоставлены Вам Вашим сервером. Вы должны были скопировать оба документа на свой компьютер или по электронной почте и хранить их в надежном месте. В некоторых случаях некоторые серверы могут показывать код CSR и закрытый ключ и одновременно хранить оба этих кода для Вас на сервере. В других случаях сервер предоставляет Вам только код CSR, а закрытый ключ прячет на сервере.
Кроме того, Ваш код CSR будет показан Вам снова, когда будет выпущен Ваш SSL-сертификат. Как только SSL-сертификат будет выпущен и отображен в Вашем аккаунте SSL Dragon, он также покажет Вам код CSR, который Вы использовали при настройке SSL-сертификата.
Копировать ссылку
CSR означает “Запрос на подписание сертификата“. Код CSR представляет собой зашифрованное текстовое сообщение, которое человек или компания отправляет в центр сертификации в рамках подачи заявки на получение SSL-сертификата. Код CSR содержит информацию о Вас и Вашей компании, которая будет включена в SSL-сертификат, который будет Вам выдан.
Копировать ссылку
Вам нужен CSR, чтобы подать заявку на получение SSL-сертификата. Позже, когда Вам будет выдан SSL-сертификат, Вы также будете использовать CSR-код для активации TLS (Transport Layer Security).
Копировать ссылку