26.7. Формирование запроса к центру сертификации на получение сертификата

Как только вы создали ключ, вы можете сформировать запрос на получение сертификата, который затем нужно отправить в выбранный вами центр сертификации. Убедитесь в том, что вы находитесь в каталоге /usr/share/ssl/certs/, и введите следующую команду:

make certreq

На экране появится следующее сообщение и предложение ввести вашу секретную фразу (если только вы не отказались от её использования):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase:
	

Введите секретную фразу, выбранную при создании ключа, если она требуется. Затем на экране появятся дополнительные указания и вы должны будете ответить на несколько вопросов. Введённые вами данные включаются в запрос на получение сертификата. Эти вопросы и примеры ответов на них приведены ниже:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:admin@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Ответы по умолчанию приводятся в квадратных скобках ([]) сразу после вопроса. Например, в первой строке задаётся код страны, в которой будет использоваться сертификат, как показано ниже:

Country Name (2 letter code) [GB]:

Ответ по умолчанию размещён в скобках: GB. Примите предложенный вариант, нажав [Enter], или введите двухбуквенный код страны.

Вы должны определить остальные значения. Все они достаточно понятны, но вы должны принять учитывать следующее:

• Не следует сокращать название местности или штата. Вводите их полностью (например, St. Louis должно быть введено как Saint Louis).

• Если вы отправляете этот запрос (CSR) в центр сертификации (CA), будьте очень внимательны, заполняя все эти поля, но особенно важны Organization Name (Название организации) и Common Name (Имя сервера). Центр сертификации проверяет информацию, представленную в запросе (CSR), чтобы убедиться в том, что сервер с именем Common Name, закреплён именно за вашей организацией. Центр сертификации не принимает запросы CSR, в которых содержится неверная информация.

• Убедитесь в том, что в качестве значения Common Name введено реальное имя вашего безопасного сервера (правильное имя DNS), а не какой-либо из его псевдонимов.

• В качестве Email Address используйте почтовый адрес веб-мастера или системного администратора.

• Избегайте использования специальных символов, например @, #, &, ! и т.д. Некоторые центры сертификации не примут запрос сертификата, содержащий специальные символы. Поэтому, если название компании включает амперсанд (&), запишите его в виде «and» вместо «&».

• Не заполняйте дополнительные атрибуты (A challenge password(Пароль вызова) и An optional company name (Необязательное имя компании)). Если вы решили не заполнять эти поля, просто нажмите [Enter], чтобы согласиться с предложенным ответом, в каждом из этих запросов.

Когда вы заканаиваете ввод этих сведений, создаётся файл /etc/httpd/conf/ssl.csr/server.csr. Этот файл и есть ваш запрос сертификата, готовый к отправке в центр сертификации.

После того как вы определились с выбором CA, следуйте инструкциям, приведённым на сайте этого центра. Из них вы узнаете, как отправить запрос сертификата, произвести оплату и какие дополнительные документы требуются.

После того, как вы выполните все требования центра сертификации, они вышлют вам сертификат (обычно по электронной почте). Сохраните или скопируйте через буфер обмена полученный сертификат в файл /etc/httpd/conf/ssl.crt/server.crt. Обязательно сохраните копию этого файла.