CSR Проверка

SSL Валидатор за Заявки за Подписване на Сертификати

CSR Проверка е безплатен онлайн инструмент за моментална проверка на съдържанието на SSL/TLS Заявки за Подписване на Сертификати (CSR). Бързо проверете Общо Име (CN), информация за организацията, държавен код, алгоритъм на публичния ключ, дължина на ключа и други съществени детайли с един поглед. Перфектен за окончателна проверка преди издаване на сертификат или валидиране на точността на генерирането на CSR.

Как да използвате

Използването на CSR Проверка е много просто:

Стъпка 1: Копирайте вашия CSR
Копирайте цялото съдържание на вашия CSR файл, генериран от OpenSSL или панел за управление на сървъра. Копирайте всичко от '-----BEGIN CERTIFICATE REQUEST-----' до '-----END CERTIFICATE REQUEST-----'.
Стъпка 2: Поставете в полето за въвеждане
Поставете копираното CSR съдържание в текстовата област по-долу.
Стъпка 3: Натиснете бутона за проверка
Натиснете бутона 'Проверка', за да анализирате CSR и да покажете подробна информация, включително Общо Име, детайли за организацията, алгоритъм на публичния ключ и дължина на ключа.

Вашите CSR данни НЕ се съхраняват на нашите сървъри. Цялата обработка се извършва във вашия браузър, осигурявайки пълна защита на поверителността.

Поставете вашия CSR тук

Случаи на използване на CSR Проверка

CSR Проверка се използва в различни сценарии за получаване и управление на SSL/TLS сертификати:

Окончателна проверка преди издаване на сертификат

Преди да изпратите CSR до Сертифициращ Орган (CA), проверете дали Общото Име (домейн име), име на организацията и държавен код са въведени правилно. Издаването на сертификат с неправилна информация може да доведе до скъпо и отнемащо време преиздаване.

Валидиране на генерирането на CSR

След генериране на CSR с помощта на OpenSSL или панел за управление на сървъра, потвърдете, че съдържа очакваното съдържание. Особено за SANs (Алтернативни Имена на Субекта) или wildcard сертификати, проверете дали множество домейни са правилно включени.

Проверка на алгоритъма на публичния ключ и дължината на ключа

Проверете съответствието със сигурностните политики. Например, проверете дали се използва RSA 2048-бита или по-висока, или ECDSA (Елиптична Крива Криптография), както се изисква.

Проверка на информацията за подновяване на сертификата

Когато изтичането на SSL сертификата наближава и се генерира CSR за подновяване, проверете дали е включена същата информация (име на организацията, име на отдела и др.) като предишния сертификат.

Управление на сертификати за множество сървъри

Когато се генерират различни CSR на множество уеб сървъри или балансьори на натоварване, идентифицирайте кой CSR е за кой сървър чрез проверка на съдържанието на CSR.

Отстраняване на проблеми

Когато възникнат грешки при инсталиране на сертификат или предупреждения в браузъра, проверете дали съдържанието на CSR и сертификата съвпадат. Несъответствия в Общото Име или SANs са чести причини.

Съответствие със сигурностен одит

Когато сигурностни одити или изисквания за съответствие налагат отчитане на алгоритъма на публичния ключ или дължината на ключа на използваните сертификати, извлечете тази информация от CSR.

Какво е CSR (Заявка за Подписване на Сертификат)?

CSR (Заявка за Подписване на Сертификат) е електронни данни, изпратени до Сертифициращ Орган (CA) при получаване на SSL/TLS сертификат. CSR съдържа информация, която да бъде включена в сертификата (домейн име, име на организацията, местоположение и др.) и публичния ключ.

Ключова информация, съдържаща се в CSR

CSR включва следната информация:

Общо Име (CN) - Домейн име за сертификата (напр. www.example.com)
Организация (O) - Име на организацията/компанията
Организационна Единица (OU) - Име на отдела (напр. IT Отдел)
Населено Място (L) - Име на град/община (напр. София)
Щат/Провинция (ST) - Име на щат/провинция (напр. София-град)
Държава (C) - 2-буквен код на държавата (напр. BG)
Имейл Адрес - Имейл адрес (по избор)
Алтернативни Имена на Субекта (SANs) - Допълнителни домейн имена (за wildcard или multi-domain сертификати)

Връзка между публичен и частен ключ

CSR се основават на криптография с публичен ключ:

1. Генерирайте частен ключ от страна на сървъра
2. Генерирайте публичен ключ от частния ключ
3. Включете публичен ключ и информация за сертификата в CSR и изпратете до CA
4. CA проверява съдържанието на CSR, цифрово го подписва и издава SSL сертификат
5. Инсталирайте издадения сертификат на сървъра

Важно: Никога не излагайте вашия частен ключ външно. CSR съдържа само публичния ключ, а не частния ключ.

Как да генерирате CSR

CSR могат да бъдат генерирани с помощта на следните инструменти:

OpenSSL - Инструмент с команден ред (най-често срещан)
Пример: openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
Панел за управление на сървъра - Интерфейси за управление на Apache, Nginx, IIS
Контролни панели за хостинг - cPanel, Plesk и др.
Онлайн инструменти за генериране на CSR - Генериране базирано на браузър

CSR Формат (PEM Формат)

CSR обикновено са кодирани във формат PEM (Privacy Enhanced Mail). Това е Base64-кодиран текст в следния формат:

-----BEGIN CERTIFICATE REQUEST-----
MIICvDCCAaQCAQAwdzELMAkGA1UEBhMCVVMxDTALBgNVBAgMBFV0YWgxDzANBgNV
...
-----END CERTIFICATE REQUEST-----

Предимства на използването на CSR Проверка

Предотвратяване на грешки при издаване на сертификат

Като проверите, че Общото Име и информацията за организацията са правилни, преди да изпратите CSR до CA, можете да намалите разходите за преиздаване на сертификати.

Проверка на съответствието със сигурностната политика

Проверете дали се използва изискваната дължина на ключа (напр. RSA 2048-бита или по-висока) или алгоритъм (препоръчва се ECDSA), посочен в сигурностната политика на вашата организация.

Бързо отстраняване на проблеми

Когато възникнат грешки при инсталиране на сертификат или предупреждения в браузъра, бързо идентифицирайте причината чрез проверка на съдържанието на CSR.

Валидиране на SANs

За wildcard или multi-domain сертификати, проверете дали Алтернативните Имена на Субекта (SANs) са правилно включени.

Не е необходим команден ред

Не е нужно да запомняте команди на OpenSSL; лесно проверете съдържанието на CSR във вашия браузър.

Защита на поверителността

CSR данните се обработват в браузъра и не се изпращат до сървъри, позволявайки безопасна проверка на чувствителна информация.

Сигурност и най-добри практики

Следвайте тези принципи за сигурност при работа с CSR и SSL сертификати:

Никога не споделяйте частни ключове

Докато CSR съдържат само публични ключове, никога не излагайте частни ключове външно. Ако частен ключ бъде компрометиран, SSL сертификатът става невалиден и комуникацията може да бъде прихваната.

Препоръчителна дължина на ключа и алгоритми

Текущите стандарти изискват RSA 2048-бита или по-висока, или ECDSA (Елиптична Крива Криптография). RSA 1024-бита е остаряла.

Избягвайте повторното използване на CSR

Препоръчва се да генерирате нов CSR и частен ключ за всяко подновяване на сертификат. Продължаващото използване на стари частни ключове увеличава риска от компрометиране.

Точност на Общото Име

Общото Име (CN) трябва точно да съвпада с домейн името, където ще се използва сертификатът. Например, www.example.com и example.com се третират като различни домейни.

Бележки за Wildcard сертификат

Wildcard сертификатите (*.example.com) са валидни за поддомейни (sub.example.com), но НЕ за основния домейн (example.com).

Често Задавани Въпроси (ЧЗВ)

Каква е разликата между CSR и SSL сертификат?

CSR е като 'формуляр за кандидатстване', изпратен до CA за получаване на сертификат. CA проверява съдържанието на CSR, цифрово го подписва и издава SSL сертификата. CSR съдържа публичния ключ, докато SSL сертификатът съдържа както публичния ключ, така и подписа на CA.

Може ли частният ключ да изтече чрез CSR Проверка?

Не, частните ключове НЕ са включени в CSR. CSR съдържат само публични ключове. Този инструмент само анализира съдържанието на CSR и не може да получи достъп до частни ключове.

Генерирах CSR с неправилна информация. Трябва ли да го регенерирам?

Да, ако сте генерирали CSR с неправилна информация (Общо Име, име на организацията и др.), трябва да го регенерирате с правилна информация. Издаването на сертификат с неправилен CSR може да доведе до допълнителни такси за преиздаване.

Как да генерирам CSR за wildcard сертификат?

Посочете Общото Име със звездичка (*), като '*.example.com'. Това ще издаде сертификат, валиден за всички поддомейни като sub.example.com, www.example.com и др.

Имат ли CSR срок на годност?

Самите CSR нямат срок на годност, но от гледна точка на сигурността се препоръчва да ги използвате веднага след генерирането. CSR, оставени неизползвани за дълги периоди, увеличават риска от компрометиране на частния ключ, така че се препоръчва регенериране.

Какво представляват SANs (Алтернативни Имена на Субекта)?

SANs са функция за разширение за покриване на множество домейн имена с един SSL сертификат. Например, един сертификат може да покрива www.example.com, example.com и mail.example.com.

Може ли този инструмент да генерира CSR?

Не, този инструмент е за проверка и анализ на съдържанието на CSR. За генериране на CSR използвайте OpenSSL или панели за управление на сървъра.

Трябва ли да избера RSA или ECDSA?

ECDSA (Елиптична Крива Криптография) осигурява еквивалентна сигурност с по-къси дължини на ключовете от RSA. Например, ECDSA 256-бита е равна на RSA 3072-бита. Въпреки това, по-старите браузъри и системи може да не го поддържат, така че ако съвместимостта е важна, изберете RSA 2048-бита или по-висока.