O que são arquivos CSR e como você os cria?

Um arquivo de solicitação de assinatura de certificado (CSR) é algo que você gera e fornece a uma autoridade de certificação, que por sua vez assina e envia a você o certificado SSL solicitado que é usado para habilitar HTTPS em seu servidor da web.

O que constitui um arquivo CSR?

Os arquivos CSR contêm informações sobre a sua organização e o tipo de certificado que você está solicitando. Geralmente, eles são gerados automaticamente com a ajuda de um utilitário como o OpenSSL. Se você estiver usando LetsEncrypt, a criação do arquivo CSR é totalmente gerenciada pelo certbot para você.

Os arquivos CSR contêm as seguintes informações:

• Nome comum (CN) – Nome do host do seu servidor. Ele deve corresponder exatamente ou seus usuários verão uma página de erro em seus navegadores informando que o certificado não é confiável. Você pode usar curingas (por exemplo, * . domain. com) para solicitar um certificado curinga que se aplica a todos os subdomínios. Um caractere curinga como esse se aplica a www, mas se você deseja proteger seu domínio raiz e todos os subdomínios, precisará de dois certificados separados. Nome comum é o único campo tecnicamente obrigatório, portanto, você pode deixar todo o resto em branco, se desejar. No entanto, é bom preencher os outros.
• Organização (O) – O nome legal completo da sua empresa, incluindo quaisquer sufixos como LLC. Se você estiver solicitando um certificado EV ou OV (que são totalmente inúteis), ele precisará ser validado. Porém, para um SSL normal, você pode colocar qualquer coisa, já que não está marcada e nem mesmo é necessária.
• Unidade organizacional (UO) – A divisão da sua empresa que está lidando com o certificado.
• País (C) – O código de duas letras do país em que você está localizado.
• Estado / condado / região (S) – O nome completo do estado em que você está localizado.
• Cidade / localidade (L) – O nome completo da cidade em que você está localizado.
• Endereço de e-mail – Endereço de e-mail da sua organização.
• A chave pública RSA usada

O único que afeta como o seu arquivo CSR é processado é o seu nome real. O nome de domínio precisará ser validado para evitar que você registre o domínio de outra pessoa; você receberá um desafio da autoridade de certificação posteriormente no processo para provar que é o proprietário do domínio, mas o arquivo CSR não tem efeito sobre isso.

RELACIONADO: O que é um arquivo PEM e como usá-lo?

O próprio arquivo CSR em si está no formato PEM e é um grande bloco de dados codificados em base64:

 ----- BEGIN CERTIFICATE REQUEST ----- MIICYDCCAUgCAFAwGzEZMBcGA1UEAwwQKi5wcm92aWRlbmNlLnBlbTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALA3vPkQJejmFk20mZT / J2995ibnz9MV 2hd + ltxX0gS9 / rDZgGZA8nyPojpXVJbLxJ5PuSqmyZrDA2F3YvCwy13b7QZT / F56 mH3103cVaefhfy + Lc7JSJZtJkw6mVBz9Vz + cpmc3hm0DV3tIZW4L8DKYVQoWl3Ed N0nsHykoI02ZoVdDL + AZU6sNJ2LV9j0LuS2YZkGU7PHsij2W2zROtyL7HdnZp5m6 6e8e6ro9uBoCHBVSEeCDgBHLVQ92IRzPTzpSDr7dYhA2YHPbrjt6T63IgwiR4CU0 2Iq282KasNw1jkyIil9 / 5GPsqHH5Fw0Le / 7Goqrk2Ez3zHwu7pv88AkCAwEAAaAA MA0GCSqGSIb3DQEBCwUAA4IBAQADq9KOCkyLNA7t6RDPatw006CR8zETGqlfnQ2h jxjDZlBWZbAVg6ftEMawxuKRbfw1bmJn53QSMpeX5HiMQLHliw3vsoIsRMPbwdxr j2ydJhYO95ktk4JRvD3 / YR8hRYrGD4EYlsC + u1RwWTXXZ9ZjTvDtf4LZccKAysOW vM88R3pWCpDzTg4KWDw1jsq7Y9ISTYuBkd7d + d7GvK / VxITx8kSAgJRGkd54nlet pZdBwdY95Jg0AyecAE5GSNPiHmRTkm / rTXIPOyGY1kO9Mk / c + q + ZTEhH53v5bzUw yrLZuJkNL3KiNbZIWvQ3ljHNeM3 + 9437n4W3nDTcGL2Bi41n ----- ----- END CERTIFICADO PEDIDO 

No entanto, você não vai querer editar isto manualmente; em vez disso, você pode usar uma ferramenta como OpenSSL para gerá-lo em seu servidor.

Como criar um arquivo CSR

Se o seu servidor estiver executando Linux, você provavelmente já terá o OpenSSL instalado se tiver instalado o Apache ou o Ubuntu. Caso contrário, você pode instalá-lo a partir do gerenciador de pacotes da sua distribuição:

 sudo apt-get install openssl 

Publicidade

Em seguida, execute o seguinte comando para iniciar o assistente de criação de CSR:

 openssl req -new -newkey rsa: 2048 -nodes -keyout server. key -out server. csr 

Isso irá gerar uma nova chave privada para usar durante o processo e salvá-la em server. key. Em seguida, você será solicitado a fornecer suas informações; você pode deixar a maior parte em branco se desejar, mas certifique-se de que o nome comum esteja correto.

Sua solicitação de assinatura será salva em server. csr. Sua chave pública está incluída nesta solicitação, mas você desejará salvar a chave privada para renovações no futuro.

Em seguida, você precisará fornecer à sua autoridade de certificação o arquivo CSR para prosseguir com o processo de criação do certificado SSL. Se você estiver usando o certbot, isso será feito automaticamente e você não precisará se preocupar com os arquivos CSR.