SSL (англ. Secure Sockets Layer — уровень защищённых сокетов)

SSL это криптографический протокол использующий протокол TCP/IP, т.е. он (SSL) находится между транспортным протоколом TCP/IP и протоколами прикладного уровня HTTP, SMTP, преобразуя их сообщения в шифрованный вид. Для работы по протоколу SSL требуется, чтобы на сервере был установлен SSL-сертификат. Безопасность соединения обеспечивается с помощью аутентификации (сертификат привязан к одному конкретному домену) и шифрования (передаваемая информация может быть расшифрована только с помощью специального ключа). Каждый сертификат содержит в себе информацию о:

• доменное имя, на которое получен сертификат;
• юридическое лицо, владеющее сертификатом;
• местонахождение владельца сертификата (страна, город);
• реквизиты компании, удостоверяющей подлинность сертификата.

SSL-cертификат подтверждает, что домен принадлежит реальной компании и что его владелец вправе пользоваться секретным ключом на законных основаниях.

Выпуск SSL-сертификатов осуществляется Центрами сертификации. Существует большое количество Центров сертификации во всем мире, в том числе и в России. Однако, для того чтобы Ваш сертификат принимался во всем мире, желательно получить сертификат в большой международной организации. Наиболее известные мировые центры сертификации:

• Thawte Products
• GeoTrust
• VeriSign

В России интересы Центров сертификации представляют многие компании-регистраторы. Для примера далее рассматривается процесс получения SSL-сертификатов от Компании Thawte Products через российскую RU-CENTER.

Компания RU-CENTER предлагает получить SSL-сертификаты крупнейших международных Центров Сертификации. Для примера рассмотрен процесс получения сертификатов компании Thawte. Эта компания предлагает следующие виды SSL-сертификатов, наиболее востребованных в российских реалиях:

• SSL 123
• SSL Web Server
• SSL Wildcard

Процедура получения SSL-сертификата для юридического лица состоит из двух этапов:

• Предварительная подготовка - на данном этапе необходимо подготовить все обязательные документы, создать и опубликовать доменное имя, создать адрес электронной почты в соответствии с требованиями центра сертификации.
• Создание и отправка запроса

Перед подачей заявления на выпуск SSL-сертификата необходимо выполнить следующие условия:

• Электронную копию (скан) свидетельства о внесении записи о вашем юридическом лице в единый государственный реестр юридических лиц.
• Электронную копию (скан) свидетельства о постановке вашего юридического лица на учет в территориальном налоговом органе.
• Электронную копию (скан) документа, подтверждающего наличие контактного телефонного номера (копия счета телефонной компании или копия договора с телефонной компанией). Пожалуйста, выделите ручкой или маркером номер вашего телефона на странице. Данный документ требуется для осуществления проверочного звонка в организацию. Если предоставить такой документ затруднительно, рекомендуем вам зарегистрироваться в общедоступных базах данных. Существует еще один альтернативный вариант — можно загрузить нотариально заверенное заявление, подтверждающее право технического контакта подать заявку на сертификат SSL от лица организации.
• В случае если заказчик SSL-сертификата не является администратором домена, Удостоверяющий центр может потребовать предоставить письмо («domain release letter») в качестве доказательства того, что Администратор домена не возражает против выпуска сертификата на его доменное имя. Письмо предоставляется с подписью и печатью организации, являющейся администратором домена.

Для того чтобы иметь возможность получить SSL-сертификат, ваше доменное имя должно быть зарегистрировано и иметь запись в международном сервисе WHOIS. Для того чтобы узнать наличие записи о Вашем доменном имени, перейдите по ссылке whois. 

В открывшемся окне введите проверяемое доменное имя.

Для установки и корректного функционирования SSL-сертификата обязательно наличие выделенного IP-адреса. Если у вас несколько субдоменов на одном IP вы можете воспользоваться Wildcard SSL сертификатом.

По требованию Удостоверяющего центра при заказе SSL-сертификата необходимо указать адрес электронной почты (approver email), на который будет отправлен запрос на подтверждение выпуска сертификата.

E-mail получателя может принимать одно из следующих значений:

• admin@[имя_домена]
• administrator@[имя_домена]
• hostmaster@[имя_домена]
• root@[имя_домена]
• postmaster@[имя_домена]
• webmaster@[имя_домена]

где [имя_домена] должно соответствовать полю «Common Name» (CN), указанному в CSR.

В случае если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня.

Для заказа любого вида SSL-сертификата, например через компанию RU-CENTER, предварительно необходимо создать аккаунт на сайте RU-CENTER.

Заходим на страницу регистрации нового аккаунта .

• Проставляем галочку "Я ознакомлен и согласен со всеми условиями, на которых будут оказаны услуги."
• Выбираем признак "Анкета заполняется для резидента РФ" (да/нет)
• Выбираем форму собственности компании:

Заполнение анкеты:

1. Фамилия, имя, отчество (person-r): Заполняется в соответствии с паспортными данными по-русски.

   Пример

   Сидоров Сидор Сидорович

2. Имя и фамилия (person): Без точек, заполняется латинскими буквами.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois для международных и зарубежных доменов.

   Можно воспользоваться функцией "Создать автоматически по полю person-r" для автоматической транслитерации русского написания в латинское.

   Пример

   Sidor Sidorov

3. Паспортные данные (passport):* Серия, номер, кем выдан, дата выдачи, место регистрации с указанием города, улицы, номера дома и квартиры, если частный дом, должно быть указано "частный дом".

   Пример

   12 34 567890 выдан 123 отделением милиции г.Москвы, 30.01.1990 зарегистрирован по адресу: Москва, ул.Кошкина, д.15, кв.4

4. Дата рождения (birth-date): Указывается цифрами через точку в формате DD.MM.YYYY, где DD - число, MM - месяц, YYYY - год.

   Пример

   18.10.1965

5. Почтовый адрес (p-addr): Будет использоваться для рассылки возможных уведомлений и официальных документов.

   Важно!

   Повторная отправка возвращенных почтовым отделением документов, оформление заверенных копий и переоформление оригиналов документов осуществляется платно, согласно действующим тарифам.

   Пример

   Кому: Сидорову Сидору Сидоровичу Куда: Москва, ул.Кошкина, д.15, кв.4 Индекс: 123456

6. Телефон (phone): С обязательным указанием международного кода и кода города. Информация по каждому телефону должна быть представлена отдельной строкой. Для делегирования доменов.RU и.РФ необходимо указать номер телефона с функцией приема SMS.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   +7 495 1234567

7. Факс (fax-no): С обязательным указанием международного кода и кода города. Информация по каждому факсу должна быть представлена отдельной строкой.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   +7 495 1234567

8. Адрес электронной почты (e-mail): Используется для направления запросов RU-CENTER и информации административного характера, а также для отсылки уведомлений о запрошенных и оказанных услугах, о необходимости продления услуг. Для более надежной связи желательно указать групповой адрес рассылки. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   adm-group@my-internet-name.ru sidor@test.my-provider.ru

9. Адрес электронной почты для уведомлений технического характера (mnt-nfy): Используется для направления уведомлений RU-CENTER об изменениях параметров услуг и их настроек, об изменении данных в анкете и т.п. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

   Важно!

   Если поле не заполнено, уведомления технического характера по электронной почте не высылаются

   Пример

   noc@my-internet-name.ru

10. Административный пароль: административный пароль, который Вы будете использовать для доступа в раздел "Для клиентов" для заказа и настройки услуг
11. Подтверждение административного пароля:
12. Технический пароль: Технический пароль обладает ограниченными возможностями по сравнению с административным, он предназначен для специалиста, непосредственно осуществляющего настройку технических параметров услуги.

После заполнения всех необходимых полей нажать кнопку "Отправить анкету"

Будет выведено сообщение об успешном заполнении анкеты.

На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты.

Для продолжения работы нажать кнопку "Начать работу".

Заполнение анкеты:

1. Наименование организации в соответствии с учредительными документами (org): Включает организационно-правовую форму и название юридического лица. Заполняется латинскими буквами. Допускается использование аббревиатуры. Длина поля org не должна превышать 100 символов.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   JSC "New time"

2. Полное наименование организации в соответствии с учредительными документами (org-r): Включает организационно-правовую форму и полное (без сокращений!) наименование юридического лица в соответствии с учредительными документами. Используется при формировании счетов и счетов-фактур. Поле заполняется по-русски.

   Пример

   Закрытое Акционерное Общество "Новое время" Пример для структурного подразделения: Калужский филиал Закрытого Акционерного Общества "Новое время" (наименование филиала)

3. Наименование головной организации (parent-org-r): Заполняется только структурным подразделением (филиалом, представительством). Указывается полное наименование головной организации. Используется при формировании счетов-фактур. В остальных случаях заполнять поле и ставить прочерк не нужно.

   Пример

   Закрытое Акционерное Общество "Новое время" (название головной организации)

4. ИНН (code): Данные из этого поля будут использоваться при формировании счетов на оплату, а также для идентификации в базе данных Регистратора.

   Пример

   1234567891

5. КПП (kpp): Код причины постановки на учет налогоплательщика покупателя. Данные из этого поля будут использоваться при формировании счетов-фактур в поле "ИНН/КПП покупателя".

   Пример

   123456789

6. Юридический адрес организации (address-r): Место нахождения юридического лица в соответствии с учредительными документами. Данные из этого поля будут использоваться при формировании счетов и счетов-фактур.

   Пример

   123456, Москва, ул.Собачкина, д.13а Пример для структурного подразделения: 123456, Москва, ул.Собачкина, д.13а (место нахождения головной организации)

7. Почтовый адрес (p-addr): На этот адрес по почте будут высылаться оригиналы счетов и другие официальные документы. В поле нужно указать всю информацию, необходимую для надежной доставки письма до адресата.

   Важно!

   Обязательно: — указание почтового индекса и получателя (адресата), — наличие договора об оказании услуг почтовой связи с вашим почтовым отделением.

   Пример

   Кому: ЗАО "Новое Время", Отдел телекоммуникаций, Сидорову Сидору Сидоровичу Куда: Москва, ул.Собачкина, д.13а Индекс: 123456

8. Адрес грузополучателя (d-addr): Почтовый адрес без названия организации и указания лиц, получающих корреспонденцию. Данные из этого поля будут использоваться при формировании счетов-фактур в поле "Грузополучатель и его адрес".

   Пример

   Пример: 123456, Москва, ул.Собачкина, д.13а Пример для структурного подразделения: 248600, г. Калуга, ул. Театральная, д. 36 (почтовый адрес структурного подразделения)

9. Телефон (phone): С обязательным указанием международного кода и кода города. Информация по каждому телефону должна быть представлена отдельной строкой. Для делегирования доменов.RU и.РФ необходимо указать номер телефона с функцией приема SMS.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   +7 495 1234567 +7 495 1234568 +7 495 1234569

10. Факс (fax-no): С обязательным указанием международного кода и кода города. Информация по каждому факсу должна быть представлена отдельной строкой.

    Важно!

    Данная информация общедоступна при использовании сервиса Whois.

    Пример

    +7 495 1234560

11. Адрес электронной почты (e-mail): Используется для направления запросов RU-CENTER и информации административного характера, а также для отсылки уведомлений о запрошенных и оказанных услугах, о необходимости продления услуг. Для более надежной связи желательно указать групповой адрес рассылки. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

    Важно!

    Данная информация общедоступна при использовании сервиса Whois.

    Пример

    adm-group@my-internet-name.ru

12. Адрес электронной почты для уведомлений технического характера (mnt-nfy): Используется для направления уведомлений RU-CENTER об изменениях параметров услуг и их настроек, об изменении данных в анкете и т.п. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

    Важно!

    Если поле не заполнено, уведомления технического характера по электронной почте не высылаются

13. Административный пароль: административный пароль, который Вы будете использовать для доступа в раздел "Для клиентов" для заказа и настройки услуг

    Важно!

    Разрешается использовать только латинские буквы и цифры.

14. Технический пароль: обладает ограниченными возможностями по сравнению с административным, он предназначен для специалиста, непосредственно осуществляющего настройку технических параметров услуги.

После заполнения всех необходимых полей нажать кнопку "Отправить анкету"

Будет выведено сообщение об успешном заполнении анкеты.

На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты.

Для продолжения работы нажать кнопку "Начать работу".

Заполнение анкеты:

1. Фамилия, имя, отчество (person-r): Заполняется по-русски в соответствии с паспортными данными. Перед фамилией должна присутствовать аббревиатура ИП.

   Пример

   ИП Сидоров Сидор Сидорович

2. Имя и фамилия (person): Без точек, заполняется латинскими буквами. Можно воспользоваться функцией "Создать автоматически по полю person-r" для автоматической транслитерации русского написания в латинское.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois для международных и зарубежных доменов.

   Пример

   Sidor Sidorov

3. Паспортные данные (passport): Серия, номер, кем выдан, дата выдачи, место регистрации с указанием города, улицы, номера дома и квартиры, если частный дом, должно быть указано "частный дом".

   Пример

   12 34 567890 выдан 123 отделением милиции г.Москвы, 30.01.1990 зарегистрирован по адресу: Москва, ул.Кошкина, д.15, кв.4

4. Адрес прописки (address-r): Место регистрации индивидуального предпринимателя. Данные из этого поля будут использоваться при формировании счетов и счетов-фактур.

   Пример

   123456 Москва, ул.Собачкина, д.13а, кв.78

5. ИНН предпринимателя (code) : Данные из этого поля будут использоваться при формировании счетов на оплату, а также для идентификации в базе данных Регистратора.

   Пример

   123456789012

6. Дата рождения (birth-date): Указывается цифрами через точку в формате DD.MM.YYYY, где DD - число, MM - месяц, YYYY - год.

   Пример

   18.10.1965

7. Почтовый адрес (p-addr): На этот адрес по почте будут высылаться оригиналы счетов и другие официальные документы. В поле нужно указать всю информацию, необходимую для надежной доставки письма до адресата.

   Важно!

   Обязательно указание почтового индекса и получателя (адресата).

   Важно!

   Повторная отправка возвращенных почтовым отделением документов, оформление заверенных копий и переоформление оригиналов документов осуществляется платно, согласно действующим тарифам.

   Пример

   Кому: Сидорову Сидору Сидоровичу Куда: Москва, ул.Кошкина, д.15, кв.4 Индекс: 123456

8. Адрес грузополучателя (d-addr): Почтовый адрес без указания лиц, получающих корреспонденцию. Данные из этого поля будут использоваться при формировании счетов-фактур в поле "Грузополучатель и его адрес".

   Пример

   123456, Москва, ул.Собачкина, д.13а

9. Телефон (phone): С обязательным указанием международного кода и кода города. Информация по каждому телефону должна быть представлена отдельной строкой. Для делегирования доменов.RU и.РФ необходимо указать номер телефона с функцией приема SMS.

   Важно!

   Данная информация общедоступна при использовании сервиса Whois.

   Пример

   +7 495 1234567 +7 495 1234568 +7 495 1234569

10. Факс (fax-no): С обязательным указанием международного кода и кода города. Информация по каждому факсу должна быть представлена отдельной строкой.

    Важно!

    Данная информация общедоступна при использовании сервиса Whois.

    Пример

    +7 495 1234560

11. Адрес электронной почты (e-mail): Используется для направления запросов RU-CENTER и информации административного характера, а также для отсылки уведомлений о запрошенных и оказанных услугах, о необходимости продления услуг. Для более надежной связи желательно указать групповой адрес рассылки. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

    Важно!

    Данная информация общедоступна при использовании сервиса Whois.

    Пример

    adm-group@my-internet-name.ru sidor@test.my-provider.ru

12. Адрес электронной почты для уведомлений технического характера (mnt-nfy): Используется для направления уведомлений RU-CENTER об изменениях параметров услуг и их настроек, об изменении данных в анкете и т.п. Возможно указание нескольких электронных адресов, в этом случае информация по каждому адресу должна быть представлена отдельной строкой.

    Важно!

    Если поле не заполнено, уведомления технического характера по электронной почте не высылаются

    Пример

    noc@my-internet-name.ru

13. Административный пароль: административный пароль, который Вы будете использовать для доступа в раздел "Для клиентов" для заказа и настройки услуг

    Важно!

    Разрешается использовать только латинские буквы и цифры.

14. Технический пароль: обладает ограниченными возможностями по сравнению с административным, он предназначен для специалиста, непосредственно осуществляющего настройку технических параметров услуги.

После заполнения всех необходимых полей нажать кнопку "Отправить анкету"

Будет выведено сообщение об успешном заполнении анкеты.

На указанный почтовый ящик будет отправлено письмо с уведомлением об успешном заполнении анкеты.

Для продолжения работы нажать кнопку "Начать работу".

Для того чтобы заказать SSL-сертификат через компанию RU-CENTER необходимо, чтобы перед отправкой запроса на личном счету в личном кабинете вашей компании было достаточно средств для оплаты данной услуги. Текущий баланс можно проверить в личном кабинете (Оплата - Баланс личного счета):

Для того чтобы пополнить баланс необходимо в личном кабинете из верхнего меню выбрать пункт "Оплата" и в выпадающем списке выбрать "Пополнить личный счет":

Откроется страница внесения денежных средств:

Здесь нужно ввести сумму в рублях, на которую Вы планируете пополнить баланс и нажать кнопку "Пополнить". После этого откроется страница выбора способа пополнения, на которой можно выбрать нужный вариант.

• Банковские переводы (безналичный расчет) - здесь Вы можете сделать запрос о формировании нового счета на оплату указанной суммы.
• Через интернет и электронной наличностью (Яндекс.Деньги, MoneyMail, WebMoney и другие) - здесь для Вас будут выведены реквизиты выбранной платежной системы для оплаты (номер кошелька).
• Через терминалы и точки приема наличных - здесь будут выведены реквизиты для оплаты через платежные терминалы и точки приема платежей (номер заказа)
• При помощи мобильного телефона - будут выведены реквизиты для отправки платного SMS-сообщения.
• Электронные переводы - реквизиты платежной системы.

Рассмотрим процесс безналичного перевода:

1. Выбрать способом оплаты "Безналичный расчет":  
   
2. Откроется страница с информацией о выставленном счете:
   
3. Счет можно просмотреть и распечатать, нажав на одну из ссылок: HTML, RTF, PDF.
4. После оплаты счета денежные средства поступают на личный счет вашей компании.

Для заказа SSL-сертификата необходимо авторизоваться в личном кабинете на сайте nic.ru. Для этого в правом верхнем углу нажать "Вход" и в открывшейся странице ввести свои номер договора и пароль, полученные в процессе регистрации. При этом суффикс договора оставить "NIC-D". После ввода данных нажать кнопку "Вход" ниже. Откроется личный кабинет.

В разделе "Заказать услугу" выбрать пункт "SSL-сертификат".

Откроется окно выбора типа сертификата:

Подробная информация о типах SSL-сертификатов:

Выбрать необходимый сертификат и срок его действия, нажать "Продолжить". Откроется окно для ввода CSR-запроса. Подробно Создание CSR запроса

После того как Вы определились с видом желаемого сертификата, необходимо Создать CSR запрос и внести его в форму на странице:

Заполнение поля запроса производится прямым копированием текста запроса из буфера обмена.

После этого необходимо выбрать используемый Вами тип сервера из списка ниже. В случае если Вы планируете работу с Платформой "Мельница данных" - выберите пункт "Other" ("Другой"). Нажмите кнопку "Продолжить".

На следующей странице:

некоторые из реквизитов будут заполнены автоматически на основании данных введенных Вами ранее при создании запроса и при регистрации аккаунта. Проверьте эти данные и заполните все остальные поля достоверной информацией.

Все поля заполняются латинскими символами. Название организации в поле «Organization name» должно соответствовать данным указанным в CSR, в Whois домена и в свидетельстве о регистрации юридического лица. Длина названия организации не должна превышать 64 символов. В поля формы «Данные контактного лица» необходимо вводить корректную информацию, так как Удостоверяющий центр может воспользоваться ей для запроса дополнительных сведений.

Нажмите кнопку "Продолжить" после заполнения всех полей.

На следующей странице Вам будет предложено проверить все введенные данные. Если данные введены верно, нажмите кнопку "Отправить заказ". Данные будут отправлены.

Для генерации CSR-запроса существует несколько путей. Наиболее защищенным вариантом (рекомендуемым) является создание такого запроса с использованием OpenSource (свободно распространяемого) программного обеспечения OpenSSL Project (http://www.openssl.org/). На сайте проекта представлены открытые исходные коды программного обеспечения для обслуживания SSL-сертификатов. Коды находятся в свободном доступе на странице Исходные коды и могут быть скомпилированы под используемую конечным пользователем Платформу.

Для Платформы Microsoft Windows готовые скомпилированные файлы проекта можно найти на сайте партнера проекта Shining Light Productions . В открывшемся списке файлов на этой странице выбрать вариант используемой операционной системы Windows компьютера, на котором будет производиться генерация CSR-запроса.

• Win32 OpenSSL v1.0.0g - для 32 битных операционных систем
• Win64 OpenSSL v1.0.0g - для 64 битных операционных систем

После нажатия на выбранную ссылку начнется процесс скачивания файла программного обеспечения (около 16 Мб). По завершении скачивания, необходимо запустить с локального диска файл Win32OpenSSL-1_0_0g(1).exe (для 32-хбитных систем) или Win64OpenSSL-1_0_0g(1).exe (для 64-хбитных систем).

Процесс установки (на примере для 32-хбитных систем):

Предупреждение системы безопасности - нажать "RUN" ("Выполнить")

1-й экран установщика - нажать "Next" ("Далее")

Лицензионное соглашение - ознакомиться, выбрать пункт "I accept the agreement" и нажать "Next" ("Далее").

Выбор папки для установки - выбрать путь для установки программного обеспечения на жестком диске, нажать "Next" ("Далее").

Выбор папки установки в меню "Start" ("Пуск") - выбрать наименование папки, нажать "Next" ("Далее").

Выбор месторасположения дополнительных библиотек - установить библиотеки в папку установки программного обеспечения C:\OpenSSL\bin . Оставить без изменений, нажать "Next" ("Далее").

Проверка информации - проверить введенную ранее информацию, нажать "Install" ("Установить").

Начнется процесс установки программного обеспечения (около минуты). Далее появится окно:

Здесь разработчики предлагают внести посильный вклад в развитие проекта путем перечисления определенной суммы. Данное действие добровольное и, если Вы не хотите перечислять денежные средства разработчикам, просто уберите все галочки из этого окна и нажмите "Finish" ("Завершить"). Установка завершена.

Для создания CSR-запроса необходима следующая последовательность действий:

1. Запустить сеанс командной строки MS. Для этого выполнить "START - RUN" ("ПУСК - Выполнить..."). В открывшемся окне
   
   ввести "cdm", нажать кнопку "Ok". Откроется окно командной строки Windows
   
2. Установить в качестве рабочей директории папку C:\OpenSSL\bin , для этого в командной строке ввести команду cd c:\openssl\bin. После ввода нажать "Enter":
   
3. Задать путь к конфигурационному файлу:
   set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg. После ввода нажать "Enter":
   
4. Сгенерировать закрытый ключ шифрования. Для этого ввести в командной строке: openssl genrsa -des3 -out private.key 2048 - команда для формирования текста закрытого ключа. Параметр "2048" указывает минимальную длину закрытого ключа. "private.key" - имя файла, в который будет сохранен текст закрытого ключа. После ввода команды нажать "Enter". Начнется формирование закрытого ключа шифрования. На одном из этапов будет запрошен пароль для шифрования закрытого ключа:
   
   Здесь необходимо 2 раза ввести секретный пароль, с помощью которого Вы в дальнейшем сможете восстановить информацию закрытого ключа. После ввода нажмите "Enter". По окончании процесса в папке C:\OpenSSL\bin будет сформирован файл, содержащий закрытый ключ. Примерное содержимое файла:

   01-----BEGIN RSA PRIVATE KEY-----
   02Proc-Type: 4,ENCRYPTED
   03DEK-Info: DES-EDE3-CBC,BB1B386511FA8AA1
   0435KXOCPXp95tIc8HN9Z+/jWtv/1KDIQJPb2DKM90iqVbf2O8wfCAChG2/j3vwzoq
   05fKD57/O7g9MdmeREJSxBt3JaBau/NMPKsACtKtWDpPQMQ9DX8ZpScGQ+FyVehkBh
   06BKxXibuivdGBkgrHTgUBhT3FfRNZcP2Sq7HkaTFx55weUvTWjs099A6rf/SePMYU
   07NC1qv7Ft6xZK43ANem3gG4UUzzvTVJIamH4516fZBcW0QQn6Jw0LVa58vAdVdFfD
   08uVoyFEtU3eqDDGEw+20GMzCJbN2Lr3M/RUL4PQHp7jgHVxXGQE/HWfJlKeoUtqia
   09B7UZ6zxbNZksGS9dcElEpL506/Ba5J4gXV8G+PlPRMUCEXJ//K6f/+dMDuEMlzvX
   10tp6iX9spXwXx/kJQ3dNbWHIMkZYFUeFlA1XRW4OpRDhwktMzICT0K6DFxqcf1BQf
   11Wmn2WKlPVNMfmtIEb1rGj9Neow/ekEmnKTlQYb73Bms5DerOEYGZB3mDfSzASYTG
   12Pj32hdWGXQZHCtrDsc7vM5hn6rqFRm3+oEasakOaruWroCLk03mrbNb7QVGUDX3J
   13JZgwqkzI0QxBJg27qpccgsF4vf5BOdK73otetVy2lHLZsyOP5jG26g4YqwcoEVKC
   14aPzVzXhMXNIYzjnUxoB6E0ikTrH7kFhR776bLINNcAddvwTGNTio5wNdbEWalPuc
   158xFOwDLeuG1L0gvZvrHS94cc4c6CXb+/9BiITo6pMv5Pn2TLZHh23EI0cQHfKY8i
   16CNEAVnbg7nwFzCkLnmaKLFRIhGArUKAMbbF1IIZ3dVicdWhPWd72xFIrjOYKM0J6
   17uiyRqhTAlwzGg/93/dfryZhdlqRzm50PSTU2+dlTwKTugDtE8y3cT+5xQ66kbieZ
   18rQTyh6/Wl+pVhvWdqeY3TNfgE+d/w5mBttKYu8/tYMmGmGHaDtwTg76PX8Z2EkhN
   195dezGyhrVx126xXz6NEoeGoxBEQ6N68hxqVIHHGPZjkJT1c6sZRgUMQf29pA4C35
   20yQZj2WB4Xh+8qXOFoj5tg3r1JGGLoaz1rc71iGoquguugVWtqKtbE/lVo7Pt/tED
   21aa07vvhhv6Pi4r1fVTceKUGEXVOP/EqAsUVgkf2xtpuNVRjJ1DflBnFladDpckTs
   22LJ1g4CUCVTCVYoQg1WPNGsZoNb2HtolLBcK31HgIgcq8FEvi3byRH+grtcCZ20Sz
   23hMPiytuxVeaS0wgoZbwWqb5vu46Om+rPyQ9ePMy7YdN/9ujRloGq8rIjzp7u3/qh
   24-----END RSA PRIVATE KEY-----
       

   .
   

   Важно!

   Сохраните файл в надежном месте и не передавайте его никаким третьим лицам для сохранения конфиденциальности Вашего HTTPS-соединения.

5. На основании полученного ранее закрытого ключа создать CSR-запрос на SSL-сертификат. Для этого в командной строке ввести команду:

   openssl req -new -key private.key -out csr.csr
       

   с указанием файла, содержащего текст закрытого ключа, полученного на предыдущем шаге (private.key) и именем нового файла, который будет содержать в себе текст CSR-запроса (csr.csr). После ввода команды нажать "Enter". Будет запрошен пароль закрытого ключа. Введите пароль, который вводили на предыдущем шаге, нажмите "Enter". Далее будут заданы несколько вопросов о принадлежности домена, для которого запрашивается SSL-сертификат.
   • Country name (2 letter code) [AU] - Двухбуквенный код страны, в которой зарегистрирована организация. Для РФ необходимо указывать RU.
   • State or Province name - Область. Для Москвы можно указывать Moscow.
   • Locality Name(City) - Город, в котором зарегистрирована организация. Например, Moscow.
   • Organization Name - Название организации. Название в форме заявки должно быть абсолютно идентичным, как и в представленных документах. Так, например, если в свидетельстве указано Открытое Акционерное Общество «Бизнес», то в сертификате должно фигурировать OAO Biznes. Иные написания: ОАО Компания Бизнес, ОАО Компания Biznes, ОАО КБ и т.п. — не допускаются. Обратите внимание на корректность указания формы собственности. Форма собственности указывается исключительно латинскими буквами, либо в Европейской интерпретации.

     Пример

     OOO = Ltd или LLC OAO = OJSC, JSC или OAO (латинскими) ZAO = CJSC или JSC.

     Важно!

     название должно быть указано без кавычек и любых других специальных символов, которые можно набрать на клавиатуре, в английской раскладке (например ! @ # " и т.п.)

   • Organizational Unit Name - Подразделение в компании, которое ответственно за данный сертификат. Например, IT Department.
   • Common Name - Доменное имя, для которого необходим сертификат. Учтите, если сертификат необходим для сайта www.domain.tld, то это имя нужно указать полностью. Если сертификат необходим для сайта domain.tld, то именно это имя нужно указать. Для wildcard сертификатов необходимо указывать «звездочку» в левой части названия сайта, например, *.domain.tld Если домен не принадлежит компании, то необходимо предоставить скан-копию письма от владельца домена (DRL-письмо), подтверждающее его согласие на использование доменного имени для приобретения сертификата. Никаких печатей и подписей клиента на письме DRL быть не должно. Письмо подписывается исключительно владельцем домена. Никаких печатей и логотипов владельца быть не должно. Шаблон письма высылается на корпоративный контактный email клиента, указанный при регистрации на ssl.ru
   • E-mail adress - корпоративный контактный email клиента.
   • Далее идут необязательные параметры.
   Завершение ввода каждого из параметров необходимо завершать нажатием клавиши "Enter".
6. После завершения работы построителя запроса в папке C:\OpenSSL\bin будет создан файл с заданным Вами именем (здесь csr.csr ). Файл содержит готовый CSR-запрос, примерно следующего вида:
   

   01-----BEGIN CERTIFICATE REQUEST-----
   02MIIC6TCCAdECAQAwgYwxCzAJBgNVBAYTAlJVMQ8wDQYDVQQIDAZNb3Njb3cxDzAN
   03BgNVBAcMBk1vc2NvdzETMBEGA1UECgwKT0FPIENvbnNJRDELMAkGA1UECwwCSVQx
   04FjAUBgNVBAMMDXd3dy5jb25zaWQucnUxITAfBgkqhkiG9w0BCQEWEnZvc3Rlbnp1
   05a0BpbmJveC5ydTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALbs88zF
   06dpb1keTP10FI5Y9cozXL1Y/aXgfLGs4oCWVF1DE98aTitXpc06FgFhhZ2sDe6k1A
   07vUb0ic+Jji7CJ94npUZ+YpIpUBAYthJcKxNPjFum9MKm4EA5QCFkjmW4Qr+uz6K8
   08wWEC665QKeTYGm1FN9xdnYMkrVVfLKPgqMBLfH1t9yPSMUJ7zchdqWKT+pAhJys/
   09AMVqst5k6W6drMMCAwEAAaAXMBUGCSqGSIb3DQEJBzEIDAYyMzU3MTEwDQYJKoZI
   10hvcNAQEFBQADggEBAKUXW1ykVUM+k3No1IriZtOA9Ez23k6+A/UQihnfdV1U9BMA
   11TU7FXx4/EjQ8TdykxLuC10AYPZKYotXNGw3scCBWAirGYYs9Z1t8hrJAE4Ms6Ms9
   12v7sNcu+7fGrrJLGXlhbFZwNTfCPEUC+bECEYLfv5KHJr1o7CBbSx5J5NIXTgksul
   13O0G+9YJ5wcbOlMrL1LXLuO8KSKC7pNw37c00EzuWA0DQKzlvPNnH6U8N2ZaxEdqB
   14yVeg6nYg1vvQrDYHhrbMRcPjZqI/o6BvUuI1Eg48v0UJjvZ6qRR55b1kn9KnlSQ2
   15mwcBiq6wsOO5p4OyEQCQpOkiMwQVUG+D7jVzj8w=
   16-----END CERTIFICATE REQUEST-----
       

   
   Файл можно открыть для просмотра любым текстовым редактором.
7. Откройте файл, содержащий CSR-запрос и скопируйте всю информацию в буфер обмена операционной системы ("Ctrl + A" - выделить все, "Ctrl + C" - скопировать в буфер).

На этом этап создания CSR-закончен. Можно переходить к следующему шагу Отправка CSR-запроса

После отправки запроса вам придет запрос от компании RU-CENTER на предоставление дополнительных документов с инструкцией. По запросу предоставьте все необходимые материалы, собранные ранее на этапе предварительной подготовки. После получения ваших документов, специалист компании RU-CENTER, направит запрос с вашими данными в центр сертификации THAWTE. Производитель SSL-сертификатов производит обязательную проверку корректности CSR и предоставленных документов, а также осуществляет контрольный звонок в организацию, получающую сертификат. Обычно эта процедура занимает от 3 до 10 рабочих дней, в зависимости от типа заказанного сертификата. Если домен, на который оформляется сертификат, не принадлежит организации-заказчику, от владельца домена понадобится письменное разрешение (шаблон будет предоставлен при необходимости).

Сертификат выпускается, как правило, в течение трех суток после завершения процедуры проверки данных. После выпуска сертификат будет доступен для загрузки в вашем личном кабинете.

Для того чтобы получить SSL-сертификат необходимо в личном кабинете перейти "Услуги - SSL-сертификаты". В выведенном списке выберите ссылку получить сертификат. Откроется страница для скачивания SSL-сертификата.

Также, для дальнейшей работы потребуется корневой сертификат центра сертификации. В нашем случае - это сертификат компании Thawte. Скачать его можно на сайте Thawte . На открывшейся странице выделите весь текст, скопируйте его в блокнот и сохраните на жестком диске под именем SSL_CA_Bundle.pem .

1. Скачиваем инсталлятор openssl с сайта openssl.org (для Windows). Устанавливаем openssl, если при установке openssl на Windows он потребует Microsoft Redistributables Package, то предварительно, скачиваем и устанавливаем соответствующий пакет.  

   Например, на данный момент доступна версия openssl v1.0.1c и соответствующий ему Visual C++ 2008 Redistributables (x86/x64) по следующим ссылкам: openssl  и Redistributables

2. После установки openssl запускаем командную строку cmd и выполняем следующие команды, предварительно перейдя в каталог bin установленного openssl (по умолчанию c:\OpenSSL-Win32\bin):
   • Указываем путь к конфигурации openssl:
     set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg ;
   • Генерируем приватный ключ (в процессе генерации приватного ключа необходимо задать пароль):
     openssl genrsa -des3 -out c:\certificate\private.key 2048 ;
   • Генерируем запрос на сертификат:
     openssl req -new -key c:\certificate\private.key -out c:\certificate\csr.csr
     В процессе генерации запроса будут запрошены параметры для сертификата, которые необходимо вводить в латинской раскладке.
     Достаточными являются:
     - Country Name (2 letter code) [AU] - страна регистрации организации, для которой готовим сертификат (для Росcии - RU)
     - State or Province Name (full name) [Some-State] - область, регион регистрации организации (Москва - Moscow)
     - Locality Name (eg, city) [] - город регистрации организации (Москва - Moscow)
     - Organization Name (eg, company) [Internet Widgits Pty Ltd] - наименование организации
     - Common Name (e.g. server FQDN or YOUR name) [] - доменное имя, для которого генерируется сертификат (в данном случае может не совпадать с действительным доменным именем) (localhost, companyname.com)
   • Генерируем сам сертификат сроком на 365 дней (можно больше или меньше):
     openssl x509 -req -days 365 -in c:\certificate\csr.csr -signkey c:\certificate\private.key -out c:\certificate\certificate.pem

   В результате в каталоге c:\certificate будет создан приватный ключ (private.key) и сертификат (certificate.pem), который, в случае самостоятельно генерируемого сертификата, будет являться и сертификатом центра сертификации.

3. Для того чтобы браузер не выдавал предупреждения по поводу недостоверности сертификата, можно установить сертификат (certificate.pem) в систему (предварительно поменяв его расширение на.crt) или в браузер, если он использует собственное хранилище сертификатов. 

1. Скачиваем инсталлятор OpenSSL, как это указано в статье Самостоятельная генерация сертификата. В целом, процесс почти аналогичный.
2. После установки OpenSSL настраиваем все необходимое (файл конфигурации, переменная окружения и прочее) для использования engine библиотеки gost.dll как это описано в статье Использование SSL сертификатов c ГОСТ алгоритмами.
3. В командной строке выполняем:
   • Для генерации сертификата ГОСТ 2001:
     openssl req -x509 -newkey gost2001 -pkeyopt paramset:A -nodes -keyout c:\gost_private.key -out c:\gost_cert.crt
   • Для генерации сертификата ГОСТ 2012 с длиной ключа 256:
     openssl req -x509 -newkey gost2012_256 -pkeyopt paramset:A -nodes -keyout c:\gost_private.key -out c:\gost_cert.crt
   • Для генерации сертификата ГОСТ 2012 с длиной ключа 512:
     openssl req -x509 -newkey gost2012_512 -pkeyopt paramset:A -nodes -keyout c:\gost_private.key -out c:\gost_cert.crt

   В результате в каталоге в файле c:\gost_private.key будет сохранен сгенерированный приватный ключ, а в файле c:\gost_cert.crt публицный ключ, т.е. сам сертификат, который, в случае самостоятельно генерируемого сертификата, будет являться и сертификатом центра сертификации.

Для корректного использования сертификатов в текущем сервисе требуется, чтобы сертификаты были в формате PEM (закодированными в Base64 кодировке), аналогично формату, использующемуся в Apache.

Также необходимо, чтобы сертификаты хранились каждый в своем файле, т.е.

• Непосредственно сертификат домена
• Приватный ключ сертификата домена
• Сертификат(ы) центра сертификации. При этом несколько сертификатов центра сертификации (сам сертификат центра и его цепочки промежуточных сертификатов) необходимо включить в один файл, в котором они указываются последовательно, например:

  1-----BEGIN CERTIFICATE-----
  2...
  3-----END CERTIFICATE-----
  4-----BEGIN CERTIFICATE-----
  5...
  6-----END CERTIFICATE-----
  7...
      

Рассмотрим наиболее часто встречаемые форматы и способы конвертации каждого из них в PEM формат.

Формат PEM.

Это целевой формат, в который нужно сконвертировать свои сертификаты, в случае если они находятся в других форматах.
Данные сертификата закодированы в Base64 формате. При открытии файлов данного типа в текстовом редакторе можно увидеть строки "BEGIN CERTIFICATE" для сертификатов, и "BEGIN RSA PRIVATE KEY" или "BEGIN PRIVATE KEY" для приватных ключей.
Обычно файлы имеют раширение.pem,.crt,.cer или.key.

Формат DER.

Это бинарная форма PEM формата. При открытии файлов данного типа в текстовом редакторе, строки BEGIN и END отсутствуют.
Обычно файлы имеют расширение.der или.cer.

Конвертация из DER в PEM :

openssl x509 -inform der -in c:\cert.der -out c:\cert.pem 

Формат PKCS#7 или P7B.

Данные сертификата обычно закодированы в формате Base64, и он не может содержать приватных ключей. При открытии файлов данного типа в текстовом редакторе можно увидеть строки "BEGIN PKCS7" и "END PKCS7".
Обычно файлы имеют расширение.p7b или.p7c.

Конвертация из P7B в PEM :

openssl pkcs7 -print_certs -in c:\cert.p7b -out c:\cert.pem

Важно!

После вышеуказанной конвертации в выходном файле будут находится все сертификаты - как сертификат домена, так и сертификат(ы) центра. Для их использования в текущем сервисе необходимо их разделить на отдельные файлы.

В случае затруднения в разделении на отдельные файлы, возможно, будет проще сконвертировать полученный на предыдущем шаге PEM файл и имеющийся приватный ключ (в PEM формате) в PFX формат, который затем сконвертировать в PEM формат, с разделением на отдельные файлы:

Конвертация из PEM в PFX :

openssl pkcs12 -export -out c:\cert.pfx -inkey c:\cert.key.pem -in c:\cert.pem

Где:

• c:\cert.pem - это выходной файл, полученный после конвертации из P7B в PEM, и содержащий как сертификат домена, так и сертификат(ы) центра сертификации
• c:\cert.key.pem - это приватный ключ (в PEM формате)
• c:\cert.pfx - это итоговый выходной PFX файл, который в дальнейшем можно конвертировать в PEM с разделением на отдельные файлы (см. пункт конвертация из PFX в PEM)

Формат PKCS#12 или PFX.

Данные представлены в бинарной форме. Это файл контейнер который содержит все сертификаты - сертификат(ы) центра сертификации, сертификат домена и его приватный ключ.
Обычно файлы имеют расширение.pfx или.p12.

Конвертация из PFX в PEM :

• Экспорт сертификата(ов) центра сертификации:

  openssl pkcs12 -export -out c:\cert.pfx -inkey c:\cert.key.pem -in c:\cert.pem
      

• Экспорт сертификата домена:

  openssl pkcs12 -in c:\cert.pfx -out c:\cert.pem -nodes -nokeys -clcerts
      

• Экспорт приватного ключа:

  openssl pkcs12 -in c:\cert.pfx -out c:\cert.key.pem -nodes -nocerts
      

Назначение, удаление или изменение пароля приватного ключа :

openssl rsa -des3 -in c:\old_cert.key.pem -out c:\new_cert.key.pem -passin pass:old_password -passout pass:new_password

Для удаления пароля не указывайте параметр passout. В случае если исходный файл без пароля, то не указывайте параметр passin.