Запрос на подпись сертификата (CSR) - это текстовый файл, который используется для предоставления атрибутов о желаемом сертификате, чтобы ваш центр сертификации мог генерировать и официально подписывать ваш сертификат, делая его «официальным», чтобы браузеры доверяли ему.
Они могут быть сгенерированы с помощью openssl req. Поиск Google namecheap "openssl req" находит документ под названием Создание CSR на Apache + OpenSSL / ModSSL / Nginx + Heroku .
Краткий ответ:
$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
При этом запрашивается информация о вашей организации и сервере, генерируется новый 2048-битный секретный ключ (server.key) и генерируется запрос на подпись сертификата (server.csr).
Не следуйте этим инструкциям вслепую, не понимая, что они на самом деле делают, , потому что позже вы испытаете разочарование, если пройдете этот процесс, не делая заметок и не понимая, почему вы это делаете.
openssl req задаст вам ряд вопросов, чтобы он мог создать CSR, чего ожидает ваш CA. Если то, что вы создаете, не совсем то, что они ожидают, оно будет отклонено. Некоторые ЦС немного гибки с некоторыми из этих полей, автоматически исправляя менее важные значения, если ваши ответы не на 100% правильные. Обычно, чем дешевле сертификат, тем менее строгий процесс проверки. Если вы покупаете сертификат на 300 долларов, вы можете ожидать более строгой проверки.
Созданы два файла: server.key и server.csr. Вы можете изменить эти имена при запуске команды, например, example.com.key и example.com.csr.
Сохраните эти файлы и обращайтесь с ними с соответствующей осторожностью.
Файл server.key - это секретный ключ, который будет связан с сертификатом, который вы получите от центра сертификации (CA). Слово «секрет» важно. Храните этот файл в секрете и в безопасности. Вам понадобится на вашем веб-сервере при установке сертификата, который не будет работать без него. Никогда не разделяй это. Если он когда-либо скомпрометирован, то ваш сертификат скомпрометирован, и вы должны вернуться к эмитенту и отозвать его и переиздать.
Файл server.csr не является секретным или конфиденциальным. Это CSR, который вы отправите в CA. Сохраните его на потом, потому что в следующем году вам понадобится его, чтобы вы могли использовать его для обновления своего сертификата. Если вы потеряете его, вы можете восстановить его, но это небольшая проблема. Если этот файл скомпрометирован, это не имеет значения, потому что в этом файле нет ничего чувствительного. Он используется только для запроса сертификата. Вам не понадобится этот файл на вашем веб-сервере при установке сертификата.