Для генерации секретного ключа (key) и запроса на сертификат (CSR) используется утилита «OpenSSL». Эта утилита, как правило, входит в пакет OpenSSL и обычно устанавливается в директорию /usr/local/ssl/bin. Если вы использовали выборочную установку, соответсвенно подкорректируйте эти инструкции.

 

В командной строке введите следующее:

 

 

 

Данная команда генерирует секретный ключ RSA длиной 2048 бит и сохраняет его в файл www.mydomain.com.key.

 

Примечание: Для всех SSL-сертификатов длина ключа CSR-запроса должна быть 2048 бит..

 

Запрос пароля для секретного ключа: Введите и запомните надежный пароль, так как он нужен для защиты секретного ключа. Чтобы установить SSL необходим как секретный ключ, так и сертификат.

 

Примечание:  Если Вы не хотите защитить свой ключ паролем, то при генерации ключа не нужно включать опцию des3. Если секретный ключ не защищен паролем, Symantec рекомендует ограничить доступ к серверу таким образом, чтобы только авторизованные администраторы сервера имели доступ к файлу с секретным ключом или могли прочитать его.

В командной строке введите следующее:

 

openssl req -new -key <Имя файла секретного ключа>.key -out>.csr 

 

{$lang.wrid_kdb_dsc_cat4_art9_27} При использовании OpenSSL в Windows, необходимо указать путь доступа к openssl.cnf s, например так:
openssl req -new -key <Имя файла секретного ключа>.key -config "c:Apache Software FoundationApache2.2confopenssl.cnf" -out .csr 

 

 Данная команда будет запрашивать следующие данные сертификата X.509 :

 

 

Страна: Используйте двухбуквенный код страны без знаков препинания, например: US или CA

 

Штат или область: Напишите полное название штата, не сокращайте название штата или области, например: Калифорния

 

Населенный пункт или город:Поле «Населенный пункт или город» означает название населенного пункта, например: Берклей. Не используйте сокращения. Например, Сент Луис, а не С. Луис

 

Название компании Если в названии компании или подразделения имеются знаки &, @ или любые другие символы с использованием клавиши shift, то, чтобы зарегистрировать название компании, нужно эти символы записать буквами или пропустить. Например, Компания «XY & Z» будет зарегистрирована как Компания «XYZ» или Компания «XY и Z».

 

Подразделение: Данное поле не обязательно для заполнения, но оно может быть использовано для того, чтобы помочь идентифицировать сертификаты, зарегистрированные на организацию. Поле «Подразделение» подразумевает собой название отдела или подразделения, делающего запрос. Чтобы пропустить это поле, нажмите клавишу Enter на клавиатуре.

 

Общее имя: Общее имя представляет собой имя хоста и домена и выглядит следующим образом: "www.company.com" или "company.com".

 

Сертификаты Symantec могут использоваться только на веб серверах с использованием общего имени, указанного при регистрации. Например, сертификат для домена «domain.com» получит предупреждение при доступе к сайту с именем «www.domain.com» или «secure.domain.com», так как «www.domain.com»» и «secure.domain.com» отличаются от «domain.com».

 

Пожалуйста, не вводите email адрес, пароль вызова или дополнительное название компании при генерации CSR-запроса.

 

Пара секретного и открытого ключа теперь создана. Секретный ключ (www.domain.com.key) храниться на сервере и используется для дешифрования. Открытый ключ, в форме CSR-запроса (certrequest.csr), понадобиться для регистрации сертификата.

 

Чтобы скопировать и вставить информацию в регистрационную форму, откройте файл в текстовом редакторе, например, в Блокноте или Vi, и сохраните файл в фоомате .txt. Не используйте Microsoft Word, потому что он может добавить дополнительные скрытые символы, которые поменяют содержание CSR.

 

 

После того как CSR был создан, перейдите к Вкладке «Регистрация».

Symantec рекомендует создать резервную копию файла .key и сохранить соответствующий пароль. Также следовало бы сделать копию этого файла на дискету или любой другой съемный носитель. В случае когда резервная копия ключа не требуется, все же сделать одну копию необходимо на случай сбоя сервера.

{$lang.wrid_kdb_dsc_cat4_art9_55}

{$lang.wrid_kdb_dsc_cat4_art9_56}

{$lang.wrid_kdb_dsc_cat4_art9_57}