CSR (Certificate Signing Request) — файл с публичным ключом и данными организации, который вы отправляете CA для получения SSL-сертификата. Генерируется командой openssl, требует: приватный ключ, Common Name (CN = domain), SAN для multi-domain. Let's Encrypt не требует CSR — он использует ACME protocol.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
openssl versionopenssl genrsa -out privkey.pem 2048openssl req -new -key privkey.pem -out request.csrrequest.csr в CA (DigiCert, Sectigo, GeoTrust)| Сценарий | Конфиг / запись |
|---|---|
| Минимальный CSR (одна строка) | openssl req -new -newkey rsa:2048 -nodes -keyout privkey.pem -out request.csr -subj "/C=RU/ST=Moscow/O=ООО/CN=example.com" |
| CSR с Subject Alternative Names (SAN) | openssl req -new -key privkey.pem -out request.csr -config san.cnf (см. файл san.cnf ниже) |
| san.cnf для multi-domain | [req]
distinguished_name = req_dn
req_extensions = v3_req
[req_dn]
CN = example.com
[v3_req]
subjectAltName = DNS:example.com,DNS:www.example.com,DNS:api.example.com |
| Проверка CSR | openssl req -text -noout -in request.csr |
| Wildcard cert | CN = *.example.com + SAN = *.example.com, example.com |
-aes256) — nginx требует ввод при рестарте. Используйте -nodesЧтобы сгенерировать CSR (Certificate Signing Request), используйте команду openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr. Это создаст приватный ключ и запрос на сертификат с длиной ключа 2048 бит. Убедитесь, что вы указали правильные данные о владельце сертификата, такие как страна, штат и организация, чтобы избежать проблем при его получении.
Для генерации CSR вам потребуется установленный OpenSSL. Если у вас его нет, установите его с помощью пакетного менеджера вашей операционной системы. Например:
sudo apt-get install openssl для Ubuntubrew install openssl для macOSПосле установки проверьте, что OpenSSL работает, выполнив команду openssl version.
Выполните следующую команду в терминале:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csrЗдесь yourdomain.key — это имя файла, в котором будет храниться ваш приватный ключ, а yourdomain.csr — имя файла запроса на сертификат. При выполнении команды вам будет предложено ввести информацию о вашей компании. Убедитесь, что данные введены корректно:
После генерации CSR вы можете проверить его содержимое с помощью следующей команды:
openssl req -text -noout -verify -in yourdomain.csrУбедитесь, что информация соответствует вашим ожиданиям. Если все верно, вы можете отправить CSR вашему поставщику сертификатов для получения SSL-сертификата.
При генерации CSR важно следовать некоторым рекомендациям:
Пример использования CSR в процессе получения сертификата:
После генерации CSR и приватного ключа отправьте CSR вашему поставщику сертификатов (CA). Например, если вы используете Let's Encrypt, вы можете использовать автоматизированные инструменты, такие как Certbot, для упрощения процесса. Certbot может автоматически генерировать CSR и управлять сертификатами для вас.
В случае возникновения проблем с генерацией CSR, обратитесь к документации вашего CA или используйте форумы разработчиков для получения помощи. Убедитесь, что все шаги выполнены правильно, чтобы избежать задержек в процессе получения сертификата.
Чтобы сгенерировать CSR (Certificate Signing Request), используйте утилиту OpenSSL. Команда для создания CSR выглядит следующим образом: openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr. Эта команда создаст ключ RSA с длиной 2048 бит и сгенерирует CSR для домена mydomain. После выполнения команды вам будет предложено ввести информацию о вашем сертификате, такую как страна, область, город и организация.
Создание CSR — это важный шаг в процессе получения SSL-сертификата. CSR содержит информацию о вашем домене и вашей компании, и его необходимо предоставить центру сертификации для генерации SSL-сертификата. В этом разделе мы подробно рассмотрим процесс генерации CSR с помощью OpenSSL.
Если у вас еще не установлена утилита OpenSSL, вы можете установить ее с помощью менеджера пакетов. Например, для Ubuntu выполните команду:
sudo apt-get install opensslДля macOS используйте Homebrew:
brew install opensslПосле установки OpenSSL вы можете начать процесс генерации. Откройте терминал и выполните следующую команду:
openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csrЭта команда выполняет несколько действий:
-nodes).После выполнения команды вам будет предложено ввести следующие данные:
После генерации CSR вы можете проверить его содержимое с помощью следующей команды:
openssl req -in mydomain.csr -noout -textЭто выведет информацию о CSR, включая поля, которые вы заполнили ранее. Убедитесь, что все данные указаны правильно, так как любые ошибки могут привести к проблемам с сертификатом.
Теперь, когда у вас есть CSR, вы можете отправить его в выбранный вами центр сертификации для получения SSL-сертификата. Обычно это делается через веб-интерфейс или по электронной почте. Следуйте инструкциям вашего центра сертификации для завершения процесса.
При генерации CSR обратите внимание на следующие моменты:
Следуя этим шагам, вы сможете успешно сгенерировать CSR для получения SSL-сертификата и обеспечить безопасность вашего веб-сайта.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Нет. Let's Encrypt использует ACME protocol — certbot генерирует ключ и CSR автоматически. Достаточно запустить <code>certbot --nginx -d example.com</code>.
Subject Alternative Names — расширение X.509, позволяет один cert для нескольких доменов. Современные браузеры игнорируют CN в пользу SAN. Всегда включайте домен в SAN.
DV (Domain Validation) — только проверка владения доменом (Let's Encrypt). OV (Organization Validation) — + верификация юрлица. EV (Extended Validation) — + углубленная проверка, зеленый адресбар (deprecated в браузерах 2019+).
Да, при renewal можно использовать тот же CSR (тот же ключ). Но ротация ключа — best practice для безопасности.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.