آموزش ایجاد CSR با الگوریتم SHA2 در ویندوز سرور
با توجه به اینکه الگوریتم رمزگذاری در SSL از سال 2016 به صورت اجباری به SHA2 تغییر نموده و تمام شرکتهای تولید کننده مرورگر از جمله فایرفاکس، مایکروسافت، اپل، گوگل، سیستم عاملهای تلفن همراه و ... نیز این قانون را رعایت می کنند هیچ صادر کننده ای نمی تواند SHA-1 را به مشتریان ارائه نماید.
از آنجا که برخی کاربران ویندوز هنگام ایجاد CSR در ویندوز متوجه می شوند که گزینه ای برای انتخاب الگوریتم SHA-256 وجود ندارد و ویندوز به صورت پیش فرض الگوریتم SHA-1 را استفاده نموده برای رفع این مشکل راهنمای زیر ایجاد شده.
البته روشهای دیگری همچون استفاده از Open SSL نیز وجود دارد که با توجه به سادگی این روش به آن پرداخته نمی شود.
در تمام نسخه های ویندوز سرور از جمله ویندوز 2003 یا 2008 و 2012 این مورد مشابه است ولی در مثال زیر از ویندوز 2012 استفاده شده.
برای شروع کنسول مدیریت ویندوز را اجرا نمایید:
RUN > MMC > FIle> Add Remove Snap -In... > Certificates > Add
برای شروع MMC را در منوی RUN اجرا نمایید
از منوی File گزینه Add/Remove Snap-in... را انتخاب نمایید
گزینه Certificates را انتخاب Add را کلیک کنید
مطابق تصویر Computer Account را انتخاب نمایید
Local Computer را انتخاب نمایید
روی گزینه Certificate کلیک و OK را انتخاب نمایید.
در بخش Certificates به ترتیب گزینه های زیر را انتخاب نمایید:
Personal > All Tasks > Advanced Options >Create Custom Request
گرینه Next
proceed Without enrollment policy
پیش فرض را تغییر ندهید و Template= No Template , Request Format=PKCS#10
برای انتخاب نوع SHA-256 در این صفحه گزینه Details را انتخاب نمایید
بعد از انتخاب Details گزینه Properties را مشاهده می نمایید آن را انتخاب کنید
در بخش General مطابق تصویر بالا در بخش friendly name و Description نام دامنه ای که گواهینامه را برای آن دریافت می کنید تایپ کنید. برای گواهینامه نوع wildcard آدرس سایت را به این شکل وارد نمایید: *.day.ir و کاراکتر ستاره را جایگزین www نمایید.
در بخش Subject تنظیمات بیشتری وجود دارد لطفا با دقت آنها درج کنید:
ابتدا در بخش Subject name گزینه های موجود را به ترتیب زیر ایجاد نمایید:
1-در قسمت Type گزینه Common name را انتخاب و Value یا مقدار آن را نام آدرسی که گواهینامه برای آن ایجاد می شود قرار دهید در مثال بالا گواهینامه برای سایت http://day.ir ایجاد می شود بنابراین آدرس www.day.ir را وارد می کنیم و سپس دکمه Add را کلیک کنید تا به صورت CN=www.day.ir در سمت راست وارد شود. برای نوع wildcard به جای www از کاراکتر * استفاده نمایید.
2- در قسمت Type گزینه Organization را انتخاب و Value یا مقدار آن را نام سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل O=Day Telecom در اینجا نام سازمان Day Telecom انتخاب شده. ایجاد شود.
3- در قسمت Type گزینه Organization Unit را انتخاب و Value یا مقدار آن را نام
بخشی در سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل OU=Security ایجاد شود.ممکن است نام بخش مربوط به امور گواهینامه SSL در سازمان شما IT یا هر چیز دیگر باشد.
4- در قسمت Type گزینه Locality را انتخاب و Value یا مقدار آن را
نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل L=Tehran ایجاد شود.
5-در قسمت Type گزینه State را انتخاب و Value یا مقدار آن را
نام شهر سازمان قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل S=Tehran ایجاد شود.
6-در قسمت Type گزینه Country را انتخاب و Value یا مقدار آن را
IR قرار دهید. سپس دکمه Add را کلیک کنید تا به شکل C=IR ایجاد شود.
7-در قسمت Type گزینه Email را انتخاب و Value یا مقدار آن را ایمیلی که CSR امکان ارتباط دارد قرار دهید سپس دکمه Add را کلیک کنید تا به شکل E=email@domain ایجاد شود. دقت کنید در گواهینامه نوع DV آدرس محدود بوده و CA یا صادر کننده گواهینامه SSL به شما آدرسی مثل Admin یا Webmaster را پیشنهاد می دهد که در صورت رعایت نکردن امکان تایید نیست و احتمالا نیاز به ساخت مجدد CSR خواهید داشت. به طور معمول تمامی صادر کنندگان آدرس admin را قبول می کنند برای اطمینان از همکاران واحد فروش گواهینامه در این خصوص راهنمایی بخواهید.
( نکته مهم برای کاربران Izenpe: در صورتی که صادر کننده گواهینامه شرکت Izenpe است با توجه به قوانین و مقررات جدید صدور گواهینامه از سوی شرکت Izenpe از درج آدرس ایمیل در فایل CSR خودداری نمائید. پروسه Validation از طریق ایمیل مندرج در whois دامنه انجام می گیرد، لذا دسترسی به آدرس درج شده در whois دامنه الزامیست.)
بعد از تکمیل مشخصات فایل درخواست یا CSR مربوط به گواهینامه SSL در بخش Private key انتخاب key Size را انجام می دهیم و آن را
2048 قرار می دهیم و همچنین در بخش Hash Algorithm گزینه
SHA256 را انتخاب می کنیم و OK
نکته مهم: گزینه Make Private key exportable را انتخاب کنید در صورت عدم انتخاب این گزینه بعد از پایان مراحل امکان تهیه نسخه پشتیبان از گواهینامه نصب شده و در صورت نیاز انتقال آن به سرور جدید وجود نخواهد داشت.
در صفحه بعد در گزینه File name محل ذخیره CSR را انتخاب می کنیم و نوع فایل یا File Format را Base 64 قرار می دهیم.
هم اکنون فایل درخواست گواهینامه یا CSR شما با الگوریتم SHA2 یا SHA-256 ایجاد شده و می توانید آن را برای صادر کننده ارسال نمایید.