ایجاد CSR با الگوریتم SHA2

ایجاد CSR با الگوریتم SHA2

با توجه به اینکه الگوریتم رمزگذاری در SSL/TLS از سال 2016 به صورت اجباری به SHA2 تغییر نموده و تمام شرکتهای سازنده مرورگر از جمله فایرفاکس، مایکروسافت، اپل، گوگل، سیستم عاملهای تلفن همراه و … نیز این قانون را رعایت می کنند هیچ صادر کننده ای نمی تواند SHA-1 را به مشتریان ارائه نماید و همه کاربران ملزم به ایجاد CSR با الگوریتم SHA2 شده اند.

از آنجا که برخی کاربران ویندوز هنگام ایجاد CSR در ویندوز متوجه می شوند که گزینه ای برای انتخاب الگوریتم SHA-256 یا SHA2 وجود ندارد و ویندوز به صورت پیش فرض الگوریتم SHA-1 را استفاده نموده برای رفع این مشکل راهنمای زیر ایجاد شده.

البته روشهای دیگری همچون استفاده از Open SSL نیز وجود دارد که با توجه به سادگی مطلب پیش رو به آن پرداخته نمی شود.

 

مراحل ایجاد CSR با الگوریتم SHA2 در ویندوز سرور:

در تمام نسخه های ویندوز سرور از جمله ویندوز 2003 یا 2008 و 2012 این مورد مشابه است ولی در مثال زیر از ویندوز 2012 استفاده شده.

برای شروع کنسول مدیریت ویندوز را اجرا کنید:
RUN > MMC > FIle> Add Remove Snap -In… > Certificates > Add

Windows Run mmc
کلمه MMC را در منوی RUN تایپ و اجرا کنید

File Add/Remove Snap-in...

از منوی File گزینه Add/Remove Snap-in… را انتخاب کنید

Certificates Add

گزینه Certificates را انتخاب Add را کلیک کنید

Certificate snap in computer account

مطابق تصویر Computer Account را انتخاب کنید

select computer local computer

Local Computer را انتخاب کنید

Certificate OK

روی گزینه Certificate کلیک و OK را انتخاب کنید:

All Tasks > Advanced Options >Create Custom Request

در بخش Certificates به ترتیب گزینه های زیر را انتخاب کنید:
Personal > All Tasks > Advanced Options >Create Custom Request

 

Certificate Enrollment Next
گرینه Next

proceed Without enrollment policy

proceed Without enrollment policy

Template= No Template , Request Format=PKCS#10

پیش فرض را تغییر ندهید و Template= No Template , Request Format=PKCS#10

 

SHA-256 Details
برای انتخاب نوع SHA-256 در این صفحه گزینه Details را انتخاب کنید

 

Certificate enrollment Properties
بعد از انتخاب Details گزینه Properties را مشاهده می کنید آن را انتخاب کنید

Certificate properties friendly name و Description

در بخش General مطابق تصویر بالا در بخش friendly name و Description نام دامنه ای که گواهینامه را برای آن دریافت می کنید تایپ کنید. برای گواهینامه نوع wildcard آدرس سایت را به این شکل وارد کنید: *.day.ir و کاراکتر ستاره را جایگزین www کنید.

Subject c is country L= Tehran

در بخش Subject تنظیمات بیشتری وجود دارد لطفا با دقت آنها درج کنید:

ابتدا در بخش Subject name گزینه های موجود را به ترتیب زیر ایجاد کنید:

  • در قسمت Type گزینه Common name را انتخاب و Value یا مقدار آن را نام آدرسی که گواهینامه برای آن ایجاد می شود قرار دهید در مثال بالا گواهینامه برای سایت http://day.ir ایجاد می شود بنابراین آدرس www.day.ir را وارد می کنیم و سپس دکمه Add را کلیک کنید تا به صورت CN=www.day.ir در سمت راست وارد شود. برای نوع wildcard به جای www از کاراکتر * استفاده کنید.
  • در قسمت Type گزینه Organization را انتخاب و Value یا مقدار آن را نام سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل O=Day Telecom در اینجا نام سازمان Day Telecom انتخاب شده. ایجاد شود.
  • در قسمت Type گزینه Organization Unit را انتخاب و Value یا مقدار آن را نام بخشی در سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل OU=Security ایجاد شود.ممکن است نام بخش مربوط به امور گواهینامه SSL در سازمان شما IT یا هر چیز دیگر باشد.
  • در قسمت Type گزینه Locality را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل L=Tehran ایجاد شود.
  • در قسمت Type گزینه State را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل S=Tehran ایجاد شود.
  • در قسمت Type گزینه Country را انتخاب و Value یا مقدار آن را IR قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل C=IR ایجاد شود.
  • در قسمت Type گزینه Email را انتخاب و Value یا مقدار آن را ایمیلی که CSR امکان ارتباط دارد قرار دهید سپس دکمه Add را کلیک کنید تا به شکل E=email@domain ایجاد شود. دقت کنید در گواهینامه نوع DV آدرس محدود بوده و CA یا صادر کننده گواهینامه SSL به شما آدرسی مثل Admin یا Webmaster را پیشنهاد می دهد که در صورت رعایت نکردن امکان تایید نیست و احتمالا نیاز به ساخت مجدد CSR خواهید داشت. به طور معمول تمامی صادر کنندگان آدرس admin را قبول می کنند برای اطمینان از همکاران واحد فروش گواهینامه در این خصوص راهنمایی بخواهید.

( نکته : ممکن است برخی صادرکنندگان یا CA ها بخش خاصی را به روش خود درخواست کنند به عنوان مثال ممکن از صادر کننده از شما بخواهد ایمیل را خالی قرار دهید برای این موارد قبل از تهیه CSR با نماینده یا خود صادر کننده اطلاعات را چک کنید)

Certificate key size 2048 Hash algorithm sha256

بعد از تکمیل مشخصات فایل درخواست یا CSR مربوط به گواهینامه SSL در بخش Private key انتخاب key Size را انجام می دهیم و آن را 2048 قرار می دهیم و همچنین در بخش Hash Algorithm گزینه SHA256 را انتخاب می کنیم و OK

نکته مهم: گزینه Make Private key exportable را انتخاب کنید در صورت عدم انتخاب این گزینه بعد از پایان مراحل امکان تهیه نسخه پشتیبان از گواهینامه نصب شده و در صورت نیاز انتقال آن به سرور جدید وجود نخواهد داشت.

certificate sha256 format Base 64

در صفحه بعد در گزینه File name محل ذخیره CSR را انتخاب می کنیم و نوع فایل یا File Format را Base 64 قرار می دهیم.

هم اکنون فایل درخواست گواهینامه یا CSR شما با الگوریتم SHA2 یا SHA-256 ایجاد شده و می توانید آن را برای صادر کننده ارسال کنید.

 

مطالب مرتبط:

تفاوت TLS/SSL

خرید SSL/TLS

خطا در گواهینامه SSL

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *