Як створити CSR-код за допомогою IIS

Щоб активувати SSL-сертифікат, спочатку потрібно створити CSR (Certificate Signing Request — Запит на підписання сертифіката) на сервері, де розміщено ваш сайт. CSR — це зашифрований текстовий блок, що містить доменне ім'я, відомості про організацію та відкритий ключ сервера. Постачальник сертифікатів використовує ці дані для видачі SSL-сертифіката, прив'язаного саме до вашого домену. Цей посібник пояснює покроковий процес створення CSR за допомогою IIS (Internet Information Services) на Windows Server. Кроки однакові для всіх версій IIS.

Як створити CSR-код за допомогою IIS

⚠️ Важливо: CSR-код необхідно створювати виключно на тому сервері, де розміщено ваш сайт. CSR, створений на іншому сервері, призведе до помилки невідповідності ключів під час встановлення сертифіката.

Створення CSR за допомогою IIS: короткий посібник

  1. Відкрийте IIS Manager
    Натисніть кнопку Пуск або рядок пошуку, введіть "IIS" або "inetmgr" і натисніть Internet Information Services (IIS) Manager.
  2. Перейдіть до Server Certificates
    Натисніть на ім'я сервера в лівій панелі, потім двічі клацніть значок "Server Certificates".
  3. Натисніть Create Certificate Request
    Натисніть "Create Certificate Request..." у панелі Actions праворуч.
  4. Введіть відомості Distinguished Name
    Введіть доменне ім'я, назву компанії, місто, регіон і країну. Не використовуйте спеціальні символи.
  5. Налаштуйте криптографічного постачальника
    Залиште постачальника за замовчуванням, встановіть довжину ключа (Bit length) 2048 або більше і натисніть Next.
  6. Виберіть місце збереження
    Натисніть кнопку "...", виберіть Робочий стіл і натисніть Finish.
  7. Перегляньте CSR-код
    Відкрийте збережений файл .txt за допомогою Блокнота (Notepad).
  8. Перевірте CSR-код
    Вставте код у інструмент CSR decoder і переконайтеся в правильності даних.

Крок 1 — Відкрийте IIS Manager

Натисніть кнопку Пуск Windows або рядок пошуку. Введіть "IIS" або "inetmgr". У результатах пошуку натисніть Internet Information Services (IIS) Manager.

Крок 2 — Відкрийте розділ Server Certificates

У лівій панелі IIS Manager натисніть на ім'я вашого сервера. Двічі клацніть значок "Server Certificates" у центральній головній панелі.

Крок 3 — Натисніть Create Certificate Request

У панелі Actions праворуч натисніть "Create Certificate Request...". Відкриється майстер створення CSR.

Крок 4 — Введіть відомості Distinguished Name

Відкриється вікно "Distinguished Name Properties". Уважно заповніть кожне поле:

Поле Приклад Опис
Common Name (CN) example.com Повне доменне ім'я — для Wildcard використовуйте *.example.com
Organization (O) Приклад ТОВ Офіційна зареєстрована назва компанії
Org. Unit (OU) IT Назва відділу (IT, Веб, Маркетинг тощо)
City / Locality (L) Kyiv Повна назва міста — не використовуйте скорочення
State / Province (S) Kyiv Повна назва регіону або області
Country (C) UA Двобуквений код країни за стандартом ISO

⚠️ Не вводьте спеціальні символи (знаки наголосу, коми, апострофи) в жодному полі. Такі символи можуть призвести до відхилення CSR постачальником сертифікатів.

Після заповнення всіх полів натисніть "Next".

Крок 5 — Налаштування криптографічного постачальника та довжини ключа

Залиште поле "Cryptographic service provider" зі значенням за замовчуванням: Microsoft RSA SChannel Cryptographic Provider. Не змінюйте це поле.

У полі "Bit length" може відображатися значення за замовчуванням 1024. Збільшіть його до 2048 або більше — це мінімальна довжина ключа, що приймається сучасними постачальниками сертифікатів. Потім натисніть "Next".

Крок 6 — Виберіть місце збереження

Натисніть кнопку "..." (Огляд), щоб вибрати місце збереження CSR-файлу. Для зручного доступу рекомендується Робочий стіл (Desktop). Після вибору шляху натисніть "Finish".

Крок 7 — Перегляньте CSR-код

Перейдіть до вибраного місця збереження і відкрийте файл .txt за допомогою Блокнота (Notepad). Ваш CSR-код виглядатиме наступним чином:

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----

ℹ️ Під час копіювання коду обов'язково включіть рядки -----BEGIN CERTIFICATE REQUEST----- і -----END CERTIFICATE REQUEST-----. Неповно скопійований CSR призведе до помилки під час активації.

Крок 8 — Перевірте CSR-код

Перевірте правильність CSR-коду перед надсиланням на SSL-активацію. Вставте повний код у інструмент CSR decoder і переконайтеся, що введені дані відображаються коректно. Якщо якесь поле виглядає неправильно, ви можете створити новий CSR на тому ж сервері — процедура абсолютно ідентична.

✅ Ваш CSR-код готовий. Скопіюйте повний код (включаючи тире) і надішліть його під час активації SSL-сертифіката.

Поширені помилки

Як створити CSR-код за допомогою IIS

Помилка Наслідок Рішення
Спеціальні символи в полях CSR відхиляється постачальником сертифікатів Використовуйте лише стандартні ASCII-символи в усіх полях DN
Довжина ключа залишена 1024 Сучасні CA відхиляють ключі менше 2048 біт Збільшіть до 2048 або 4096 перед натисканням Next
CSR створено на іншому сервері Невідповідність закритого ключа під час встановлення Завжди створюйте CSR на сервері, де розміщено сайт
Неповне копіювання CSR Активація негайно завершується помилкою Скопіюйте повний код включаючи рядки BEGIN і END

Контрольний список для перевірки

  • CSR-файл збережено в доступному місці
  • Повний CSR-код скопійовано (включаючи рядки BEGIN і END)
  • Перевірено через CSR decoder — домен, організація і країна відображаються коректно
  • Довжина ключа встановлена 2048 або більше
  • У полях DN не використано спеціальних символів

Найкращі практики

Як створити CSR-код за допомогою IIS

  • Завжди використовуйте довжину ключа 2048 біт або 4096 біт — 1024 біти більше не приймається
  • Зберігайте CSR-файл і закритий ключ у надійному місці
  • Введіть повне доменне ім'я в полі Common Name — не додавайте протокол або косі риски
  • Для Wildcard-сертифіката вводьте Common Name у форматі *.example.com
  • Перед надсиланням на активацію перевірте CSR через decoder — цей крок дозволяє уникнути зайвої витрати часу

Наступні кроки

Після того як CSR-код готовий:

  1. Надішліть CSR-код під час SSL-активації через Domain Name API.
  2. Після видачі сертифіката завершіть встановлення за допомогою опції "Complete Certificate Request" в IIS.
  3. Перевірте встановлення за значком замка в браузері та за допомогою інструменту SSL checker.

Часті запитання

Що таке CSR-код?

CSR (Certificate Signing Request — Запит на підписання сертифіката) — це зашифрований текстовий блок, що генерується на вашому сервері. Він містить доменне ім'я, відомості про організацію та відкритий ключ сервера. Постачальник сертифікатів використовує ці дані для видачі SSL-сертифіката, прив'язаного саме до вашого домену.

Чому CSR необхідно створювати на тому ж сервері?

При створенні CSR генеруються два ключі: відкритий ключ (включений у CSR) і закритий ключ (що зберігається на сервері). Ці два ключі повинні відповідати один одному. Якщо створити CSR на іншому сервері, закритий ключ не буде знайдений під час встановлення сертифіката і встановлення завершиться помилкою.

Як заповнити поле Common Name для Wildcard SSL-сертифіката?

Для Wildcard SSL-сертифіката введіть *.example.com у поле Common Name. Це охоплює кореневий домен і всі піддомени першого рівня (www, mail, shop тощо).

Що робити після створення CSR?

Скопіюйте повний CSR-код (включаючи тире), перевірте його через інструмент CSR decoder і надішліть під час SSL-активації. Після видачі сертифіката дотримуйтесь посібника з встановлення SSL в IIS для завершення встановлення.

Що таке CSR decoder?

CSR decoder — це безкоштовний інструмент, який зчитує зашифрований CSR-код і відображає його вміст у зрозумілому вигляді. Він дозволяє перевірити такі дані, як доменне ім'я, організація, країна і довжина ключа, до активації сертифіката.

Що робити, якщо мій CSR-код містить помилки?

Створіть новий CSR на тому ж сервері, дотримуючись тих самих кроків. Обмежень на кількість створюваних CSR немає. Продовжіть активацію, використовуючи новостворений CSR-код.

Які версії IIS охоплює цей посібник?

Кроки цього посібника однаково працюють у IIS 5.x, 6.x, 7.x, 8.x, 10 та всіх наступних версіях Windows Server. Інтерфейс IIS Manager для створення CSR є однаковим у всіх версіях.

Чи можна використовувати один CSR для кількох SSL-сертифікатів?

Ні. Для кожної активації SSL-сертифіката рекомендується створювати новий CSR. Повторне використання CSR від старого сертифіката може спричинити проблеми із закритим ключем.

Висновок

Створення CSR в IIS займає лише кілька хвилин. Відкрийте IIS Manager, перейдіть до Server Certificates, створіть новий запит на сертифікат, введіть дані домену, встановіть довжину ключа 2048 або більше і збережіть файл. Перед надсиланням перевірте через інструмент CSR decoder.

Головне правило: завжди створюйте CSR на сервері, де розміщено ваш сайт. CSR, створений на іншій машині, призведе до невідповідності закритого ключа під час встановлення сертифіката.

✅ Після того як CSR готовий, перевірте його через decoder і надішліть на SSL-активацію.

Ознайомтеся з варіантами SSL-сертифікатів

Domain Name API пропонує SSL-сертифікати DV, OV, EV та Wildcard. Підходящий варіант для одного домену, кількох піддоменів або корпоративної інфраструктури завжди є в наявності.

Переглянути рішення для реселерів SSL