Подготовить данные для выпуска SSL-Сертификата

1. Обеспечить e-mail для подтверждения заказа, он должен быть в домене для которого выпускается сертификат и иметь определенный вид.

2. Сгенерировать CSR запрос на выпуск SSL сертификата

3. Подготовить данные для подтверждения организации (только для OV и EV сертификатов)

E-mail для подтверждения заказа

При заказе SSL-сертификата необходимо указать адрес электронной почты в домене, для которого выписывается SSL-сертификат. На этот адрес будет отправлен запрос на подтверждение выпуска сертификата. E-mail получателя может принимать одно из следующих значений

admin@[domen]
administrator@[domen]
hostmaster@[domen]
root@[domen]
postmaster@[domen]
webmaster@[domen]

В случае, если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня

Если с подготовкой e-mail возникли сложности, то пройти проверку можно, разместив html файл с кодом который пришлет удостоверяющий центр в корневом каталоге домена

Запрос на получение сертификата – CSR

CSR (Certificate Signing Request) — запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR генерируется с использованием закрытого ключа на стороне сервера, где будет устанавливаться сертификат.

При генерации CSR необходимо заполнить латинскими символами обязательные поля:

Country Name — код страны. Для России RU
State or Province Name — название области или региона организации. Например: Novosibirskaya oblast
Locality Name — название города или населенного пункта
Organization Name — название организации или ФИО физического лица латинскими буквами. При заказе сертификата DV указываются данные аналогичные данным в сервисе Whois. При заказе сертификатов OV и DV указывается название организации, так же как оно указано в свидетельстве о регистрации. Внимание: название организации указывается без кавычек и латинскими буквами
Common Name — доменное имя полностью. Например: risp.ru (для Wildcard-сертификата имя домена должно начинаться с «*.»)

Инструкции по генерации запросов CSR:

Генерация CSR для Apache

Для работы необходимо использовать криптографический пакет с открытым исходным кодом – OpenSSL. Он доступен для большинства UNIX-like операционных систем и, как правило, включен в базовую версию операционной системы. Официальный сайт проекта расположен по адресу www.openssl.org

Перед созданием CSR необходимо сгенерировать закрытый ключ длиной не менее 2048 bit. Закрытый ключ должен создаваться и храниться на сервере, для которого выпускается сертификат.

Создание закрытого ключа:

В командной строке выполните команду: openssl genrsa -des3 -out private.key 2048;
В ответ на запрос «Enter pass phrase for private.key» введите пароль для защиты закрытого ключа;
После запроса «Verifying — Enter pass phrase for private.key» — повторите ввод пароля.

Ваш закрытый ключ будет создан и сохранен в файле private.key. Просмотреть его можно выполнив команду:
less private.key

Внимание: при утрате пароля или компрометации закрытого ключа сертификат необходимо перевыпустить.

Создание CSR.

Внимание: при создании CSR все данные вводятся латинскими символами.

В командной строке выполните команду: openssl req -new -key private.key -out domain-name.csr
Введите пароль закрытого ключа в ответ на запрос «Enter pass phrase for private.key».
Следующие поля заполняются латинскими символами:
Country Name — двухсимвольный код страны, согласно ISO-3166. «RU» для России.
State or Province Name: название области или региона без сокращений;
Locality Name: название города или населенного пункта;
Organization Name: название организации в латинском эквиваленте;
Organizational Unit Name: название подразделения (необязательное поле);
Common Name: полностью определенное (FQDN) доменное имя;
Email Address: контактный e-mail адрес (необязательное поле);
A challenge password: не заполняется;
An optional company name: альтернативное имя компании (не заполняется).

Запрос на сертификат будет сохранен в файле domain-name.csr в виде закодированного текста. Проверьте корректность введенных данных, выполнив следующую команду:
openssl req -noout -text -in domain-name.csr

При отправке заказа прикрепите полученный файл к письму.

Создание CSR запроса для Microsoft IIS 5.x/6.x

Выполните запуск Internet Information Services. Откройте «Панель управления» — «Администрирование» — «Диспетчер служб IIS»
Откройте контекстное меню, щелкнув по правой кнопки мыши на вашем сайте в разделе «Веб-узлы» и выберите пункт «Свойства»
На вкладке «Безопасность каталога» (Directory Security) нажмите кнопку «Сертификат» (Server Certificate).
Будет выполнен запуск мастера сертификатов. Нажмите кнопку «Далее».
Отметьте пункт «Создание нового сертификата» и перейдите к следующему шагу.
Выберите «Подготовить запрос сейчас, чтобы отправить его позже» (Prepare the request now, but send it later) и нажмите «Далее».
Введите имя сертификата (латинскими символами), которое можно распознать на вашем сервере и укажите длину ключа не менее 2048
Латинскими символами укажите полное название организации или Ф.И.О. физического лица, если сертификат заказывается не на организацию. Поле «Подразделение» можно оставить пустым.
На следующем шаге введите полное имя домена (будьте внимательны при наборе) и нажмите «Далее»
Укажите страну, область и город расположения вашей организации. Эти данные также должны вводиться латинскими символами. Перейдите к следующему шагу.
Введите имя файла, где будет сохранен запрос на сертификат (CSR)
На следующем шаге проверьте правильность введенных данных и нажмите «Далее».
После создания файла завершите работу мастера.

При отправке заказа прикрепите полученный файл к письму.

Создание запроса на сертификат (CSR) для Microsoft ISS 7.x

Данные для подтверждения организации для OV и EV сертификатов

Подготовьте копию свидетельства о регистрации юридического лица

При заказе сертификата с подтверждением компании – владельца домена (OV и EV сертификаты) на e-mail для подтверждения заказа высылается инструкция о том, какие документы и куда следует отправить. Чаще всего удостоверяющий центр требует копию свидетельства о регистрации юридического лица.

Электроннные копии документов принимаются в форматах: jpg, png, gif или pdf.

В ходе проверки, удостоверяющий центр вправе затребовать дополнительные документы.

свидетельство ИНН/КПП;
приказ о назначении директора;
свидетельство о регистрации доменного имени;
устав организации;
счета на оплату телефонных разговоров с номера компании за последние 3 месяца.

Зарегистрируйтесь в каталогах сайтов

Одним из этапов проверки организации является звонок сотрудника удостоверяющего центра по телефону, указанному в открытых источниках. Для успешного прохождения проверки, нужно зарегистрироваться на одном из следующих сайтов:

dnb.ru — регистрация на этом сайте платная
2gis.ru
yp.ru — не все удостоверяющие центры его используют.

Учетная запись должна содержать точное имя организации (согласно ЕГРЮЛ), юридический адрес и действующий номер телефона компании, по которому смогут подтвердить заказ SSL сертификата.

Некоторые удостоверяющие центры, например Comodo, используют для проверочного звонка телефон указанный в ЕГРЮЛ.

Как получить SSL-сертификат

E-mail для подтверждения заказа

Запрос на получение сертификата – CSR

Данные для подтверждения организации для OV и EV сертификатов