ایجاد CSR با الگوریتم SHA2
با توجه به اینکه الگوریتم رمزگذاری در SSL/TLS از سال 2016 به صورت اجباری به SHA2 تغییر نموده و تمام شرکتهای سازنده مرورگر از جمله فایرفاکس، مایکروسافت، اپل، گوگل، سیستم عاملهای تلفن همراه و … نیز این قانون را رعایت می کنند هیچ صادر کننده ای نمی تواند SHA-1 را به مشتریان ارائه نماید و همه کاربران ملزم به ایجاد CSR با الگوریتم SHA2 شده اند.
از آنجا که برخی کاربران ویندوز هنگام ایجاد CSR در ویندوز متوجه می شوند که گزینه ای برای انتخاب الگوریتم SHA-256 یا SHA2 وجود ندارد و ویندوز به صورت پیش فرض الگوریتم SHA-1 را استفاده نموده برای رفع این مشکل راهنمای زیر ایجاد شده.
البته روشهای دیگری همچون استفاده از Open SSL نیز وجود دارد که با توجه به سادگی مطلب پیش رو به آن پرداخته نمی شود.
مراحل ایجاد CSR با الگوریتم SHA2 در ویندوز سرور:
در تمام نسخه های ویندوز سرور از جمله ویندوز 2003 یا 2008 و 2012 این مورد مشابه است ولی در مثال زیر از ویندوز 2012 استفاده شده.
برای شروع کنسول مدیریت ویندوز را اجرا کنید:
RUN > MMC > FIle> Add Remove Snap -In… > Certificates > Add
کلمه MMC را در منوی RUN تایپ و اجرا کنید
از منوی File گزینه Add/Remove Snap-in… را انتخاب کنید
گزینه Certificates را انتخاب Add را کلیک کنید
مطابق تصویر Computer Account را انتخاب کنید
Local Computer را انتخاب کنید
روی گزینه Certificate کلیک و OK را انتخاب کنید:
در بخش Certificates به ترتیب گزینه های زیر را انتخاب کنید:
Personal > All Tasks > Advanced Options >Create Custom Request
گرینه Next
proceed Without enrollment policy
پیش فرض را تغییر ندهید و Template= No Template , Request Format=PKCS#10
برای انتخاب نوع SHA-256 در این صفحه گزینه Details را انتخاب کنید
بعد از انتخاب Details گزینه Properties را مشاهده می کنید آن را انتخاب کنید
در بخش General مطابق تصویر بالا در بخش friendly name و Description نام دامنه ای که گواهینامه را برای آن دریافت می کنید تایپ کنید. برای گواهینامه نوع wildcard آدرس سایت را به این شکل وارد کنید: *.day.ir و کاراکتر ستاره را جایگزین www کنید.
در بخش Subject تنظیمات بیشتری وجود دارد لطفا با دقت آنها درج کنید:
ابتدا در بخش Subject name گزینه های موجود را به ترتیب زیر ایجاد کنید:
- در قسمت Type گزینه Common name را انتخاب و Value یا مقدار آن را نام آدرسی که گواهینامه برای آن ایجاد می شود قرار دهید در مثال بالا گواهینامه برای سایت http://day.ir ایجاد می شود بنابراین آدرس www.day.ir را وارد می کنیم و سپس دکمه Add را کلیک کنید تا به صورت CN=www.day.ir در سمت راست وارد شود. برای نوع wildcard به جای www از کاراکتر * استفاده کنید.
- در قسمت Type گزینه Organization را انتخاب و Value یا مقدار آن را نام سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل O=Day Telecom در اینجا نام سازمان Day Telecom انتخاب شده. ایجاد شود.
- در قسمت Type گزینه Organization Unit را انتخاب و Value یا مقدار آن را نام بخشی در سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل OU=Security ایجاد شود.ممکن است نام بخش مربوط به امور گواهینامه SSL در سازمان شما IT یا هر چیز دیگر باشد.
- در قسمت Type گزینه Locality را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل L=Tehran ایجاد شود.
- در قسمت Type گزینه State را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل S=Tehran ایجاد شود.
- در قسمت Type گزینه Country را انتخاب و Value یا مقدار آن را IR قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل C=IR ایجاد شود.
- در قسمت Type گزینه Email را انتخاب و Value یا مقدار آن را ایمیلی که CSR امکان ارتباط دارد قرار دهید سپس دکمه Add را کلیک کنید تا به شکل E=email@domain ایجاد شود. دقت کنید در گواهینامه نوع DV آدرس محدود بوده و CA یا صادر کننده گواهینامه SSL به شما آدرسی مثل Admin یا Webmaster را پیشنهاد می دهد که در صورت رعایت نکردن امکان تایید نیست و احتمالا نیاز به ساخت مجدد CSR خواهید داشت. به طور معمول تمامی صادر کنندگان آدرس admin را قبول می کنند برای اطمینان از همکاران واحد فروش گواهینامه در این خصوص راهنمایی بخواهید.
( نکته : ممکن است برخی صادرکنندگان یا CA ها بخش خاصی را به روش خود درخواست کنند به عنوان مثال ممکن از صادر کننده از شما بخواهد ایمیل را خالی قرار دهید برای این موارد قبل از تهیه CSR با نماینده یا خود صادر کننده اطلاعات را چک کنید)
بعد از تکمیل مشخصات فایل درخواست یا CSR مربوط به گواهینامه SSL در بخش Private key انتخاب key Size را انجام می دهیم و آن را 2048 قرار می دهیم و همچنین در بخش Hash Algorithm گزینه SHA256 را انتخاب می کنیم و OK
نکته مهم: گزینه Make Private key exportable را انتخاب کنید در صورت عدم انتخاب این گزینه بعد از پایان مراحل امکان تهیه نسخه پشتیبان از گواهینامه نصب شده و در صورت نیاز انتقال آن به سرور جدید وجود نخواهد داشت.
در صفحه بعد در گزینه File name محل ذخیره CSR را انتخاب می کنیم و نوع فایل یا File Format را Base 64 قرار می دهیم.
هم اکنون فایل درخواست گواهینامه یا CSR شما با الگوریتم SHA2 یا SHA-256 ایجاد شده و می توانید آن را برای صادر کننده ارسال کنید.
مطالب مرتبط: