SSL-сертификаты стали обязательным требованием для любого действующего веб-сайта. SSL-сертификаты проверяются и выдаются центром сертификации (ЦС).
Эти сертификаты имеют две категории:
- Самоподписанные сертификаты: Подписываются организацией, создающей сертификат, а не доверенным центром сертификации. В основном используются для пробного использования и разработки, а также в интранет-среде.
- Сертификаты ЦС: Подписаны доверенным центром сертификации (Certificate Authority), таким как Verisign, DigiCert, GoDaddy, Thawte и т.д.
Первым шагом на пути к получению SSL-сертификата является создание CSR и отправка его в центр сертификации. CSR или запрос на подписание сертификата - это блок зашифрованного текста, отправляемый организацией в центр сертификации при подаче заявки на SSL-сертификат. Он содержит всю информацию, включая название организации, страну, город, адрес электронной почты и т.д., которая необходима для создания SSL-сертификата.
Для генерации CSR на Ubuntu OS вам потребуется инструмент OpenSSL. OpenSSL - это инструмент с открытым исходным кодом, широко используемый для генерации CSR. Чтобы проверить, установлен ли OpenSSL или нет, откройте Терминал, нажав Ctrl+Alt+T, а затем введите следующую команду:
1 | dpkg -l |grep openssl |
Если он уже установлен, это приведет к следующим результатам.
Установка OpenSSL
Если вы не видите вышеуказанных результатов, введите следующую команду для установки OpenSSL.
1 | apt install openssl |
Генерация CSR с помощью OpenSSL
Создание запроса на подпись сертификата (CSR) состоит из двух этапов. Сначала необходимо сгенерировать закрытый ключ, а затем сгенерировать CSR, используя этот закрытый ключ.
Шаг 1: Генерирование закрытого ключа
Введите следующую команду в терминале с правами sudo, чтобы сгенерировать закрытый ключ по алгоритму RSA с длиной ключа 2048 бит.
1 | sudo openssl genrsa -out domain.key 2048 |
Замените domain на ваше собственное доменное имя.
Вышеприведенная команда сгенерирует закрытый ключ с именем domain.key и поместит его в текущий каталог.
Шаг 2: Генерация CSR
После генерации закрытого ключа вам нужно будет сгенерировать CSR. Введите следующую команду для генерации CSR с использованием только что сгенерированного закрытого ключа.
1 | sudo openssl req -new -key domain.key -out domain.csr |
Вам будет предложено ввести несколько данных, таких как название страны, штат, название организации, адрес электронной почты и т.д. Убедитесь, что ввели правильную информацию, так как она будет проверена центром сертификации.
Эта команда создаст файл CSR с именем domain.csr и поместит его в текущий каталог.
Альтернативный метод генерации CSR
В качестве альтернативы существует одна команда, которая одновременно создает закрытый ключ и генерирует CSR. Синтаксис команды следующий:
1 | sudo openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr |
Замените домен в приведенной выше команде на свой собственный домен.
Введите несколько деталей, таких как название страны, штат, название организации, адрес электронной почты и т.д. и убедитесь, что ввели правильную информацию, так как она будет позже проверена центром сертификации.
Вышеприведенная команда создаст закрытый ключ и CSR с именами domain.key и domain.csr соответственно и поместит их в текущий каталог.
Просмотр и копирование содержимого закрытого ключа
Вы можете просматривать и хранить на своем сервере закрытые ключи, которые могут понадобиться вам в дальнейшем. Однако не передавайте их никому. Чтобы просмотреть содержимое файла закрытого ключа, перейдите в каталог, где хранится файл ключа. Затем выполните описанный ниже метод от имени sudo:
1 | sudo cat domain.key |
Чтобы скопировать содержимое файла закрытого ключа, выделите и скопируйте все содержимое, включая теги "BEGIN PRIVATE KEY" и "END PRIVATE KEY".
Просмотр и копирование содержимого файла CSR
Вам нужно будет отправить CSR-файл в центр подписания сертификатов, скопировав все содержимое CSR-файла в центр сертификации.
Чтобы просмотреть содержимое файла CSR, перейдите в каталог, где хранится файл CSR. Затем выполните приведенный ниже метод от имени sudo:
1 | sudo cat domain.csr |
Чтобы скопировать содержимое файла CSR, выделите и скопируйте все содержимое, включая теги "BEGIN CERTIFICATE REQUEST" и "END CERTIFICATE REQUEST".
Это все, что вам нужно знать о создании запроса на подписание сертификата (CSR). Теперь вы можете получить SSL-сертификат от центра подписания сертификатов, вставив содержимое CSR-файла в форму заказа при оформлении SSL-сертификата.