Что такое CSR - как сгенерировать и расшифровать?

Что такое CSR и для чего он нужен?

Безопасность обработки данных посетителей сайта есть важным моментом, ведь в первую очередь это репутация и доверие к ресурсу.  Решить это вопрос может переход домена с HTTP на HTTPS и выпуск SSL сертификат для него. 

Если вы планируете выпустить для своего сайта SSL сертификат первым шагом будет создание специального запроса  CSR. CSR расшифровывается с английского как запрос на подпись сертификата и является зашифрованным кодом данных с названием доменного имени и информации об его владельце.  Это все базовые данные которые нужны сертифицирующей организации для оформление выпуска сертификата.

 Дальше вся публичная информации о владельце сертификата кодируется в формате 1028 или 2056 бит.Вся цепочка сертификата состоит из CSR, закрытого и открытого ключа. 

Что содержит CSR?

Перед тем как перейдем к пункту как создать CSR перечислим данные,  которые нужно предоставить, чтобы оформить запрос. Важным моментом здесь есть корректность указанных данных. Если для сертификатов уровня  DV сертифицирующая компания просто проверит право на владение доменом пользователя, который подал этот запрос, то если идет речь об уровнях OV или EV проверка будет проходить каждого параметра дополнительно (например, через реестр юр.лиц), поэтому сразу удостоверьтесь в правильности введенной информации, чтобы избежать в дальнейшем проблем и затягивание процесса выдачи сертификата.

Пример, как выгядит сгенерированный CSR:

-----BEGIN CERTIFICATE REQUEST----
MIIC8jCCAdoCAQAwgawxFTATBgNVBAMMDGh5cGVyaG9zdC51YTELMAkGA1UEBhMC VUsxIDAeBgNVBAgMF9Ca0LjQtdCy0YHQutCw0Y8g0L7QsdC7MREwDwYDVQQHDAjQ mtC40LXQsjEbMBkGA1UECgwS0JPQuNC/0LXRgNGF0L7RgdGCMQ0wCwYDVQQLDATQ mNCiMSUwIwYJKoZIhvcNAQkBFhZleGFtcGxlQHByb3Rvbm1haWwuY29tMIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0xrRvFkJ5IMWAodFikxuEBl2PHCJ 2Lxqovpaa6vbyU5dcIXKqyumhKieWbfLqapkOwJBlbK4OklLKuflHKXMPduopkPe x56MaEH44kTYaseM1LPkxWCLTK2LDGc8eRqpl/GmvBc6uMWhJRH0kRsFgFghFgjx iXmhrX22/X7htmm+bw5fQajbJ3x5JX9pTC//GXbvEc53iU3Z4WeXSL50V7c7Fmwn Iaabnxhsp3d9ZefTxvLUU1NYcKh4K16VqRzuSrP4Tuo5JYqolRIdli0ZdVsLn6Fo oR7M0ksWKEmzRuwGDBawitq8NtJnOKyAvaaqQvKXmtby0yYLVgwKjpUdywIDAQAB oAAwDQYJKoZIhvcNAQELBQADggEBAJlgFZZCy9HJih1Pz5UNz/YGupLiQscPFCNm pgsI8nfcim+BxKiZFH7gqKSuu8NL7Kbou/yZvrygEMY9Ppt6a262TAPByTiUkz02 nnypAWibHvoVff1bPTQedfgMY6Bp8DhAlkelRTEst6YxuHawWxidZlYvwTxFXDjc rQRudC1UEIiWujvc7aIaWLhQ0wzlZ0JkfEWnAY7sGKyWLZhHzQYuyDzqKUg7GM0o Ua3vsNwh+WvkbZwtyAxX+jE4C0zJspdHfO7vk1WX9iCptWIB9MqRp32gqrkG0qKi a2yC+UJ5yIHGWra7sHZJTE7qFowWIiEETTq+gE3znBekz9HBOqM=
-----END CERTIFICATE REQUEST-----

 При создании CSR необходимо  заполнить следующие поля:

• Имя домена -  здесь нужно просто указать домен для которого будет выпускаться SSL, прописать нужно  в формате домен+доменная зона (например, https://hyperhost.ua/);
• Название организации - полное юридическое название вашей организации, включая корпоративный идентификатор (например, ТОВ ГиперХостинг). Для физ.лиц это пункт можно просто пропустить продублировал название домена. 
• Структурное подразделение -  название подразделения, который полномочен в оформлении  выдачи  сертификата в указанной организации (например, информационные технологии (ИТ) и безопасность в сети (БС). 
• Город -  указываем населенный пункт или город, в котором зарегистрирована ваша организация или же адрес проживания если вы являетесь физ.лицом;
• Регион/Штат - полное название области, штата или другой территориальной единицы;
• Страна - официальный двухбуквенный код страны (например, UA, FR, US);
• Почтовый адрес -  укажите электронный адрес для технических вопросов.

Как сделать CSR?

Создать CSR можно двумя методами:

• через специальные инструменты;
• вручную через командную строку.

Специальные инструменты упрощают генерацию CSR,  пользователю следует просто заполнить поля формы и система выдаст готовый  CSR и ключ. Примером такого инструмента есть разработка компании Гипер Хост CSR генератор. Поля инструмента уже содержат подсказки в виде готовых ответов, вам осталось лишь указать свои  и нажать на кнопку “Получить CSR”. 

Установки через командною строку возможна при наличие утилиты  OpenSSL, если она отсутствует в системе следует ее предварительно установить.  Для систем с Linux это можно сделать через свой менеджер пакетов, например на Debian/Ubuntu:

sudo apt install openssl

После можно приступить к генерации запроса CSR через команду:

openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr

Где:

• -newkey rsa:2048 - используется  для создания 2048-битного ключа RSA.
• -nodes -  параметр указывает, что ненужно означает зашифровать ключ.
• -keyout example.key - задаем название файла,  куда будет сохранен сформированный закрытый ключ.
• -out example.com.csr  - задаем название  файла, куда будет сохранен CSR.

  После выполнения этой команды в командной строке нужно аналогично будет заполнить поля с информацией о домене и владельце. 

В результате заполнения всех полей система генерирует  CSR и закрытый ключ и сохранит их в указанные файлы.