Как выполнить запрос на получение SSL-сертификата (CSR) в Windows Server (IIS)?

14 октябрь 2021, Четверг
334
0
0 0
Чтобы начать использовать SSL-сертификат на веб-сервере, его необходимо сначала получить из центра сертификации (ЦС), но чтобы получить сертификат, предварительно необходимо сгенерировать запрос на получение сертификата - CSR (Certificate Signing Request). CSR - это файл, в котором хранится информация о компании и домене, а также открытый ключ будущего сертификата. При формировании CSR обычно (но не обязательно) создается пара ключей - открытый ключ (public key) и закрытый ключ (private key). При этом, открытый ключ передается в ЦС (CA, Certification authority) и включается в сертификат SSL. Закрытый ключ хранится на сервере и никуда не передается. Генерацию запроса на сертификат (открытый ключ и закрытый ключ) могут выполнить и внешние сервисы, в том числе ЦС, но в этом случае, высока вероятность компрометации закрытого ключа.  Далее этот файл передается в центр сертификации (ЦС). Центр сертификации, проверяет полученную заявку, выпускает на ее основе сертификат и публикует текущий статус проверки сертификата, чтобы каждый, кто пользуется сертификатом мог проверить его действительность. 
Выполнить запрос на сертификат, можно на любой операционной системе, поддерживающей IIS для Windows или OpenSSL для Linux-based. В рамках данной статьи рассмотрим пример для IIS на Windows Server 2019. Ранее, в статье: Как установить IIS на Windows Server 2019? был описан процесс установки IIS на Windows Server 2019.

1. Выполнить вход на сервер с правами администратора
2. Если автоматически не запустилась консоль Server Manager, то необходимо запустить ее вручную, либо испоьзуя пункт меню перейти в Windows Administrative Tools и запустить Internet Information Services (IIS) Manager
Internet Information Services (IIS) Manager
3. В левой колонке выбрать уровень сервера, и в правой ачасти окна перейти в Server Certificates  
4. В открывшемся окне нажимаем: Create Certificate Request
IIS Create Certificate Request5. Открывшемся окне Distinguished Name Properties указываем публичную информацию о компании (пример на скриншоте)
  • Common Name - доменное имя для сертификата.
  • Organization - организация (имя компании).
  • Organizational unit - подразделение (чаще всего IT).
  • City/locality - город .
  • State/province - регион.
6. В окне Cryptographic Service Provider Properties, в качестве провайдера криптографии выбираем Microsoft RSA SChannel  с длиной ключа 2048 бит.
Cryptographic Service Provider Properties7. и на моследнем шаге мастера, указываем куда сохранить файл запроса
8. Сохраненный файл далее должен будет передаться в центр сертификации, для генерации SSL сертификата. Может передаваться как сам файл, так и его содержимое. Зашифрованный запрос на получение сертификата выглядит примерно так:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

1 2
Комментарии:
Прокомментировать
При использовании материалов ссылка на сайт UserMan.ru обязательна.
Политика конфиденциальности
Пользовательское соглашение
UserMan.ru © 2017-2022
Мы в Соцсетях: VK