Что такое CSR и как его создать?

Безопасность – один из важнейших принципов цифрового мира. Следование ему обеспечивает сохранность данных, исключает их перехват третьими лицами. Вся информация должна передаваться исключительно через защищенные соединения, в зашифрованном виде, для чего используются SSL-сертификаты. Перед их получением, однако, нужно создать специальный запрос, CSR. Что скрывается за этой аббревиатурой? Как правильно сгенерировать запрос?

Общее понятие

Аббревиатура CSR расшифровывается как “certificate signing request”, то есть запрос на оформление цифровой подписи для сертификата. В нем должны содержаться сведения о доменном имени, предприятии, планирующем использовать сертификат.

Протокол SSL гарантирует защищенность сеанса связи между клиентом и сервером, все данные зашифрованы, а потому даже их вероятный перехват окажется бессмысленным. Все ценные сведения, например, реквизиты банковских карт, пароли для входа в учетные записи, не будут доступны злоумышленникам.

Отсутствие SSL-сертификата резко снижает уровень доверия к сайту, более того, многие браузеры автоматически блокируют переход на них, предупреждая пользователя о небезопасности, незащищенности соединения, риске потери конфиденциальной информации.

Структура CSR

CSR состоит из следующих элементов:

Приватный ключ. Особый ключ, созданный вместе с CSR, основная функция которого – шифровка передаваемой информации.
Публичный ключ. Формируется на основе предыдущего, интегрируется в запрос.
Данные о предприятии. Имя физического лица, название организации-пользователя, региональная, государственная принадлежность.
Доменное имя.

Как подписать сертификат?

Чтобы поставить подпись под SSL-сертификатом, необходимо не просто создать запрос CSR, но отправить его на рассмотрение в сертификационный центр. Задача центра – провести проверку указанных данных, убедиться в их правильности и выпустить SSL. В первую очередь организация проводит проверку следующего:

Легитимность домена. Для этого анализируются DNS-записи или применяются иные методы.
Документы, предоставленные компанией или физическим лицом. Это делается не всегда, а только при оформлении высокоуровневых EV SSL.
Деятельность организации. Актуально для OV SSL.

Создание CSL-запроса: способы и инструкции

Простейший способ генерации CSR – обращение к провайдеру, предоставляющему услуги хостинга. Это избавляет от лишних трудностей, позволяет быстро получить сертификат, установить его и начать использовать.

Второй вариант – самостоятельный, при помощи OpenSSL. Эта методика универсальна, дает возможность держать процесс под абсолютным контролем, получить результат, на 100% соответствующий всем серверам и платформам. У OpenSSL есть альтернативы, однако, эта программа функциональна и эффективна, вдобавок распространяется на безвозмездной основе, исключает ненужные расходы.

Для того чтобы создать необходимый сертификат, нужно установить программу на сервер или ПК. Проще всего загрузить ее с официального сайта. Дальнейшие действия сложнее, а потому требуют более подробного разбора.

Создание приватного ключа

Делается это при помощи командной строки, через выполнение команды “openssl genrsa -out private.key 2048”. У каждой из частей данной команды есть строго определенное значение:

Genrsa – основная команда, запускающая генерацию;
-out private.key – обозначает имя файла, где планируется хранить ключ;
2048 – размер файла, выраженный в битах. 2048 – это минимально рекомендованное значение, обеспечивающее достаточный уровень безопасности. По возможности рекомендуется использовать более крупные файлы.

Подготовка запроса

После того как ключ создан, можно переходить к формированию запроса командой “openssl req -new -key private.key -out domain.csr”. Как и в предыдущем случае, у каждой составляющей команды есть свои задачи:

req –new – базовая часть, активирующая подготовку CSR;
-key private.key – обозначает путь к ключу, сделанному на предыдущем этапе;
-out domain.csr – файл, где планируется хранение CSR.

Указание информации

После выполнения команды, указанной ранее, программа выдаст список характеристик, которые следует подробно указать:

Страна. Государство, где проведена регистрация домена. Например, для Соединенных Штатов указывается аббревиатура “US”, а для Великобритании – “UK”.
State or Province. Регион, где зарегистрировано предприятие, прописано физическое лицо.
Locality Name. Населенный пункт, где зарегистрировано предприятие, прописано физическое лицо.
Organization Name. В этой графе нужно указать полное название предприятия, без сокращений, такое же, как в документах, либо ФИО физического лица.
Organization Unit. Название отдела в рамках предприятия, который будет пользоваться сертификатом.
Common Name. Доменное имя. Указывается полностью, без аббревиатур и сокращений.
E-mail. Контактная электронная почта, при помощи которой можно оперативно связаться с администратором для решения технических вопросов и проблем.

Что нужно учитывать?

Перед тем как создать запрос CSR, провести оформление SSL-сертификата, нужно принять во внимание несколько значимых моментов. Например, размер ключа. Минимально рекомендованное значение, позволяющее не переживать по поводу безопасности – 2048 бит. Если требуется максимальная надежность, рекомендуется увеличить ключ до 4096 бит.

Конечно, даже самый надежный ключ окажется бесполезным, если к нему получат доступ третьи лица. Передача в чужие руки, равно как и хранение на незащищенных носителях информации, недопустимы.

Нельзя забывать и об однократности использования CSR. При необходимости обновления, повторного издания сертификата, нужно сгенерировать новый ключ и CSR. Такой подход исключает риски, связанные с уязвимостью.