Где взять приватный ключ сертификата

Приватный ключ SSL: как его создать и найти?

Крайне важно, чтобы доступ к закрытому ключу SSL сертификата был полностью под вашим контролем. Если приватный ключ находится в безопасном месте и недоступен для посторонних лиц, это гарантирует безопасность личной информации всех пользователей вашего сайта. Если вы не знаете, где хранится ваш приватный ключ, в этой статье вы найдете информацию о том, где в случае необходимости его найти, как обеспечить его безопасность и как создать новый ключ, в случае утери или компрометации предыдущего.

Сохранность приватного ключа SSL

Организации, выдающие SSL сертификаты безопасности, не имеют доступа к вашему закрытому (или приватному) ключу шифрования – и не должны иметь – поскольку закрытые ключи создаются на уровне пользователя, то есть на вашем сервере или компьютере. Даже если Вы генерируете CSR запрос и приватный ключ на нашем сайте, Вы должны сохранить его у себя, так как на нашем сервере информация о ключе не сохраняется. Два главных фактора, от которых зависит криптографическая безопасность закрытого ключа, – это количество и случайная последовательность простых чисел, используемых при его создании.

По сути, закрытый ключ — это файл с набором чисел, сгенерированных случайным образом. Конфиденциальность этой информации является гарантией безопасности вашего ключа на протяжении всего периода использования SSL-сертификата. Чтобы обеспечить сохранность вашего закрытого ключа, доступ к нему следует разрешать только тем членам вашей организации, кому он действительно необходим, например, системному администратору, который занимается установкой SSL сертификата. Кроме того, рекомендуется изменять закрытый ключ (и перевыпускать соответствующий SSL сертификат) всякий раз, когда сотрудник, располагавший доступом к нему, покидает вашу организацию.

Как найти приватный ключ SSL?

Ваш приватный ключ создается, как правило, в тот момент, когда Вы генерируете CSR запрос, или же непосредственно перед этим. Если для управления вашими приватными ключами вы используете OpenSSL (например, вы пользуетесь дистрибутивами Linux на основе Debian или Red Hat), то при выполнении команды OpenSSL req приватный ключ обычно сохраняется в том же каталоге, где была инициирована команда. Если вы используете веб-сервер Microsoft IIS, то ваш закрытый ключ SSL хранится в скрытой папке на сервере-отправителе запроса на выпуск SSL сертификата (который еще называется Certificate Signing Request или сокращенно CSR-запрос). При правильной установке, сертификат сервера будет совпадать с приватным ключом. Если приватный ключ отсутствует, это может означать:

Сертификат не был установлен на сервере, использовавшемся для генерации CSR-запроса (актуально для серверов Microsoft IIS и некоторых других).
Ожидающий обработку CSR запрос был сброшен веб-сервером IIS.
Сертификат был установлен с помощью мастера импорта сертификатов, а не средствами IIS.

Как создать закрытый ключ?

Если вы не смогли найти ваш закрытый ключ SSL или еще не создали его, вам нужно будет это сделать, если вы хотите получить SSL сертификат. Как правило закрытый ключ нужно создавать на сервере, на котором вы планируете установить сертификат. При этом его нужно создать перед тем, как генерировать CSR-запрос или же вместе с ним, если ваше устройство это позволяет. Некоторые программы автоматизируют эти задачи, что значительно ускоряет весь процесс. Чтобы выпустить SSL сертификат, сертификационный центр «подписывает» ваш CSR-запрос, именно поэтому при оформлении сертификата, с Вами будут говорить именно о генерации CSR запроса на получение SSL сертификата, а не о создании приватного ключа.

Здесь вам важно понимать, что создание CSR запроса подразумевает и создание приватного ключа. Определенному CSR запросу соответствует только один приватный ключ. Поэтому, если вы утеряли закрытый ключ (не сохранили его или случайно удалили), необходимо инициировать перевыпуск SSL сертификата с новым приватным ключом. Для этого, соответственно, необходимо создать новый CSR запрос. Поставщики SSL-сертификатов, должны предоставлять информацию о генерации приватного ключа и CSR-запроса. Инструкции, по созданию CSR-запроса и приватного ключа вы можете найти на нашем сайте. Вы также можете использовать сервис для создания приватного ключа и CSR-запроса на нашем сайте. Для этого необходимо заполнить соответствующие поля в формуляре на латинице по примеру, как показано на изображении:

Заполнение данных для получения приватного ключа

В поле страна важно указать сокращенное название страны прописными буквами. Далее следует заполнить город и область, в которых вы проживаете или в которых зарегистрирована ваша организация, если сертификат заказываете как юридическое лицо. Если вы заказываете OV SSL сертификат с проверкой компании или еще более надежный EV SSL сертификат с расширенной проверкой, важно, чтобы заполненные данные совпадали с информацией в регистрационных документах вашей фирмы. Если заказываете простой сертификат, это не настолько важно, главное — не оставлять пустых полей. Также при заполнении формы лучше не использовать специальных символов, так как не все центры сертификации принимают содержащие их CSR запросы.

В поле «Доменное имя» введите домен, для которого вы оформляете SSL сертификат. Если вы заказали Wildcard SSL сертификат с поддержкой поддоменов, в этом поле следует указать домен со звездочкой вначале, например, *.emaro-ssl.ru. После заполнения всех полей создается CSR запрос и ваш приватный ключ, которые выглядят следующим образом:

Создать закрытый ключ

Очень важно на данном этапе сохранить ваш закрытый ключ, так как в целях обеспечения конфиденциальности он не сохраняется на нашем сервере и восстановить его не будет возможности. Если вы не сохраните закрытый ключ SSL, нужно будет создавать новый CSR запрос и перевыпускать SSL сертификат, что мы делаем для наших клиентов бесплатно.

Где взять данные для установки ssl сертификата

Данные для установки SSL-сертификата отправляются во время активации сертификата (CSR и Private key) и после его выпуска (сертификат и корневой + промежуточный сертификат). Они высылаются на контактный e-mail двумя отдельными письмами.

Данные для установки в Личном кабинете
Данные для установки в письмах

Данные для установки в Личном кабинете

После генерации CSR запроса на моменте активации сертификата вам придет письмо на контактный емейл. В письме вы найдёте: CSR запрос и приватный ключ (Private key).

В личном кабинете вы можете найти это письмо в разделе Отправленные на email — Мои письма. Тема письма Генерация на CSR запрос.

Информация в письме будет выглядеть так:

По завершению выпуска сертификата на ваш контактный емейл будет отправлено письмо с самим сертификатом (.crt) и корневым + промежуточным сертификатом (.ca-bundle).

Скачать сертификат можно в личном кабинете в Управлении SSL-сертификатом нажав кнопку

Данные для установки в письмах

После генерации CSR запроса на моменте активации сертификата вам придет письмо на контактный емейл с темой «Генерация на CSR запрос».

В письме вы найдёте: CSR запрос и приватный ключ (Private key).

Начало письма будет выглядеть так:

После того, как сертификат пройдет валидацию и будет выпущен, вам будет отправлено письмо от Sectigo c почты noreply@sectigo.com . В письме вы найдите архив с сертификатом (.crt) и корневым + промежуточным сертификатом (.ca-bundle).

Письмо будет выглядеть так:

Чтобы установить SSL-сертификат на сайт, воспользуйтесь инструкцией 3 ЭТАП — УСТАНОВКА SSL СЕРТИФИКАТА

0 Пользователи считают это полезным

Утерян закрытый ключ от сертификата

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить перевыпуск сертификата — это бесплатно.

Установка SSL-сертификата

Архив с данными для установки SSL-сертификата отправляется после выпуска сертификата на контактный e-mail, который вы указали при регистрации на сайте ispmanager.ru.

Также вы можете скачать архив в личном кабинете на сайте ispmanager.ru в разделе SSL сертификаты.

Где взять приватный ключ сертификата?

Если при заказе SSL-сертификата вы не включали опцию «Не сохранять ключ в системе», ключ можно найти в личном кабинете в разделе SSL сертификаты.

Если вы по каким-либо причинам не сохранили ключ, выпустите сертификат повторно с помощью нового CSR-запроса.

Как установить SSL-сертификат на VPS или выделенный сервер?

Установка SSL-сертификата через панель управления ISPmanager

Включите возможность использования SSL для пользователя, которому принадлежит домен: Пользователи → выберите пользователя → Доступ.
Авторизуйтесь под учётной записью этого пользователя.
Перейдите в SSL-сертификаты → кнопка Добавить сертификат.
Укажите Тип сертификата «Существующий» и заполните все поля:Имя SSL-сертификата — имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -.SSL-сертификат — содержимое SSL-сертификата в PEM-формате.Ключ SSL-сертификата — содержимое ключа SSL-сертификата в PEM-формате.Цепочка SSL-сертификатов — содержимое файла цепочки SSL-сертификатов (Certificate bundle) в PEM-формате. В письме от центра сертификации обычно приходит архив, в котором есть два файла — сам сертификат и цепочка сертификата (файл с расширением .ca-bundle).

Обратите внимание!

Центр сертификации GlobalSign отправляет файл цепочки в формате PKCS7 (расширение .p7b). Вы можете открыть этот файл в текстовом редакторе или конвертировать в формат PEM. Пример команды для конвертации

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

После добавления сертификата его можно включить для сайта: WWW-домены → выберите домен → включите опцию Повышенная безопасность SSL и выберите нужный SSL-сертификат.

Детальная проверка установленного сертификата доступна по ссылкам:

https://www.ssllabs.com/ssltest/analyze.html;
https://www.sslshopper.com/ssl-checker.html.

Ручная установка SSL сертификата

Чтобы узнать какой веб-сервер обрабатывает SSL-запросы — Apache или Nginx, выполните команду:

netstat -napt | grep 443

Установка SSL-сертификата на Apache

Cертификат устанавливается в файле конфигурации Apache:

для ОС Debian — /etc/apache2/apache2.conf;
для ОС CentOS — /etc/httpd/conf/httpd.conf.

 DocumentRoot /var/www/user/data/www/domain.com ServerName domain.com SSLEngine on SSLCertificateFile /path/to/domain.crt SSLCertificateKeyFile /path/to/domain.key SSLCACertificateFile /path/to/ca.crt

domain.com — имя вашего домена10.0.0.1 — IP-адрес, на котором находится домен/var/www/user/data/www/domain.com — путь до домашней директории вашего домена/path/to/domain.crt — файл, в котором находится сертификат/path/to/domain.key — файл, в котором находится ключ сертификата/path/to/ca.crt — файл корневого сертификата

apachectl restart

Команда для ОС Debian

apache2ctl restart

Установка SSL-сертификата на Nginx

Сертификат устанавливается в файле конфигурации Nginx.

your_domain.crt

Пример файла

Обратите внимание!
Между сертификатами не должно быть пустых строк.

server < listen 443; ssl on; ssl_certificate /etc/ssl/your_domain.crt; ssl_certificate_key /etc/ssl/your_domain.key; server_name your.domain.com; >

/etc/ssl/your_domain.crt — путь к файлу с сертификатом/etc/ssl/your_domain.key — путь к файлу с приватным ключом сертификатаyour.domain.com — доменное имя