CSR nima va uni qanday yaratish kerak?

KSS nima va uni qanday yaratish kerak?

Xavfsizlik raqamli dunyoning eng muhim tamoyillaridan biridir. Unga rioya qilish ma'lumotlarning xavfsizligini ta'minlaydi, uchinchi shaxslar tomonidan ushlanishini istisno qiladi. Barcha ma'lumotlar faqat xavfsiz ulanishlar orqali, shifrlangan shaklda uzatilishi kerak, ular uchun SSL sertifikatlari qo'llaniladi. Biroq, ularni qabul qilishdan oldin, siz maxsus so'rov, CSR yaratishingiz kerak. Ushbu qisqartma ortida nima yashiringan? Qanday qilib so'rovni to'g'ri yaratish kerak?

Umumiy tushuncha

CSR qisqartmasi "sertifikatni imzolash so'rovi" degan ma'noni anglatadi, ya'ni sertifikat uchun raqamli imzo so'rovi. U domen nomi, sertifikatdan foydalanishni rejalashtirayotgan korxona haqidagi ma'lumotlarni o'z ichiga olishi kerak.

SSL protokoli mijoz va server o'rtasidagi aloqa seansining xavfsizligini kafolatlaydi, barcha ma'lumotlar shifrlangan va shuning uchun hatto ularni ushlash ham ma'nosiz bo'ladi. Barcha qimmatli ma'lumotlar, masalan, bank kartasi tafsilotlari, hisob qaydnomalariga kirish uchun parollar buzg'unchilar uchun mavjud bo'lmaydi.

SSL sertifikatining yo'qligi saytga bo'lgan ishonch darajasini keskin pasaytiradi, bundan tashqari, ko'plab brauzerlar ularga o'tishni avtomatik ravishda bloklaydi, foydalanuvchini ishonchsizlik, ulanishning ishonchsizligi, maxfiy ma'lumotlarni yo'qotish xavfi haqida ogohlantiradi.

KSS tuzilishi

CSR quyidagi elementlardan iborat:

Shaxsiy kalit. CSR bilan birgalikda yaratilgan maxsus kalit, uning asosiy vazifasi uzatilgan axborotni shifrlashdir.
Ochiq kalit. Oldingi so'rov asosida tuzilgan, so'rovga birlashtirilgan.
Korxona haqidagi ma'lumotlar. Jismoniy shaxsning nomi, foydalanuvchi tashkilotining nomi, hududiy, davlatga mansubligi.
Domen nomi.

Sertifikatni qanday imzolash kerak?

SSL sertifikatini imzolash uchun siz nafaqat CSR so'rovini yaratishingiz, balki uni sertifikatlashtirish markaziga ko'rib chiqish uchun yuborishingiz kerak. Markazning vazifasi ko'rsatilgan ma'lumotlarni tekshirish, ularning to'g'riligiga ishonch hosil qilish va SSLni berishdir. Avvalo, tashkilot quyidagilarni tekshiradi:

Domenning qonuniyligi. Buning uchun DNS yozuvlari tahlil qilinadi yoki boshqa usullardan foydalaniladi.
Kompaniya yoki jismoniy shaxs tomonidan taqdim etilgan hujjatlar. Bu har doim ham bajarilmaydi, lekin faqat yuqori darajadagi EV SSL uchun ariza topshirilganda amalga oshiriladi.
Tashkilot faoliyati. OV SSL uchun tegishli.

CSL so'rovini yaratish: usullar va ko'rsatmalar

KSS yaratishning eng oddiy usuli hosting xizmatlarini taqdim etuvchi provayderga murojaat qilishdir. Bu keraksiz qiyinchiliklarni bartaraf qiladi, tezda sertifikat olish, uni o'rnatish va undan foydalanishni boshlash imkonini beradi.

Ikkinchi variant mustaqil, OpenSSL yordamida. Ushbu usul universal bo'lib, jarayonni mutlaq nazorat ostida ushlab turishga, barcha serverlar va platformalarga 100% mos keladigan natijaga erishishga imkon beradi. OpenSSL-ning muqobil variantlari bor, ammo bu dastur funktsional va samarali, qo'shimcha ravishda keraksiz xarajatlarni bartaraf etib, bepul tarqatiladi.

Kerakli sertifikatni yaratish uchun dasturni server yoki shaxsiy kompyuterga o'rnatishingiz kerak. Eng oson yo'li - uni rasmiy veb-saytdan yuklab olish. Keyingi harakatlar yanada murakkab va shuning uchun batafsil tahlilni talab qiladi.

Shaxsiy kalit yaratish

Bu buyruq qatori yordamida, “openssl genrsa -out private.key 2048” buyrug'ini bajarish orqali amalga oshiriladi. Ushbu buyruqning har bir qismi qat'iy belgilangan ma'noga ega:

Genrsa - avlodni boshlaydigan asosiy buyruq;
-out private.key - kalitni saqlashni rejalashtirgan fayl nomini bildiradi;
2048 – fayl hajmi, bitlarda ifodalangan. 2048 - tavsiya etilgan minimal qiymat, etarli darajadagi xavfsizlikni ta'minlaydi. Iloji bo'lsa, kattaroq fayllardan foydalanish tavsiya etiladi.

So'rov tayyorlanmoqda

Kalit yaratilgandan so'ng, "openssl req -new -key private.key -out domain.csr" buyrug'i yordamida so'rovni shakllantirishga o'tishingiz mumkin. Oldingi holatda bo'lgani kabi, buyruqning har bir komponenti o'z vazifalariga ega:

req –new – CSRni tayyorlashni faollashtiruvchi asosiy qism;
-key private.key - oldingi bosqichda qilingan kalitga yo'lni ko'rsatadi;
-out domain.csr – siz CSR saqlashni rejalashtirgan fayl.

Ma'lumotni ko'rsatish

Ilgari ko'rsatilgan buyruqni bajargandan so'ng, dastur batafsil ko'rsatilishi kerak bo'lgan xususiyatlar ro'yxatini chiqaradi:

Mamlakat. Domen ro'yxatdan o'tgan davlat. Masalan, Qo'shma Shtatlar uchun "US" qisqartmasi, Buyuk Britaniya uchun esa "Buyuk Britaniya" ko'rsatilgan.
Shtat yoki viloyat. Korxona ro'yxatdan o'tgan hudud, jismoniy shaxs ro'yxatga olingan.
Mahalla nomi. Korxona ro'yxatga olingan joy, jismoniy shaxs ro'yxatga olingan.
Tashkilot nomi. Ushbu ustunda siz hujjatlardagi kabi qisqartmalarsiz korxonaning to'liq nomini yoki jismoniy shaxsning to'liq ismini ko'rsatishingiz kerak.
Tashkiliy birlik. Sertifikatdan foydalanadigan korxona ichidagi bo'limning nomi.
Umumiy ism. Domen nomi. Qisqartmalarsiz va qisqartmalarsiz toʻliq koʻrsating.
Elektron pochta. Texnik muammolar va muammolarni hal qilish uchun administrator bilan tezda bog'lanishingiz mumkin bo'lgan elektron pochta manziliga murojaat qiling.

Nimaga e'tibor berish kerak?

CSR so'rovini yaratish yoki SSL sertifikatini ro'yxatdan o'tkazishdan oldin siz bir nechta muhim fikrlarni hisobga olishingiz kerak. Masalan, kalit o'lchami. Xavfsizlik haqida tashvishlanmaslik imkonini beruvchi minimal tavsiya etilgan qiymat 2048 bit. Agar maksimal ishonchlilik talab etilsa, kalitni 4096 bitgacha oshirish tavsiya etiladi.

Albatta, agar uchinchi shaxslar unga kirish huquqiga ega bo'lsa, hatto eng ishonchli kalit ham foydasiz bo'ladi. Uni noto'g'ri qo'llarga o'tkazish, shuningdek, himoyalanmagan saqlash vositalarida saqlash qabul qilinishi mumkin emas.

KSSdan bir martalik foydalanish haqida unutmasligimiz kerak. Agar sertifikatni yangilash yoki qayta rasmiylashtirish zarur bo'lsa, yangi kalit va CSR yaratilishi kerak. Ushbu yondashuv zaiflik bilan bog'liq xavflarni yo'q qiladi.