Як створити CSR-код за допомогою IIS
Щоб активувати SSL-сертифікат, спочатку потрібно створити CSR (Certificate Signing Request — Запит на підписання сертифіката) на сервері, де розміщено ваш сайт. CSR — це зашифрований текстовий блок, що містить доменне ім'я, відомості про організацію та відкритий ключ сервера. Постачальник сертифікатів використовує ці дані для видачі SSL-сертифіката, прив'язаного саме до вашого домену. Цей посібник пояснює покроковий процес створення CSR за допомогою IIS (Internet Information Services) на Windows Server. Кроки однакові для всіх версій IIS.

⚠️ Важливо: CSR-код необхідно створювати виключно на тому сервері, де розміщено ваш сайт. CSR, створений на іншому сервері, призведе до помилки невідповідності ключів під час встановлення сертифіката.
Створення CSR за допомогою IIS: короткий посібник
- Відкрийте IIS Manager
Натисніть кнопку Пуск або рядок пошуку, введіть "IIS" або "inetmgr" і натисніть Internet Information Services (IIS) Manager. - Перейдіть до Server Certificates
Натисніть на ім'я сервера в лівій панелі, потім двічі клацніть значок "Server Certificates". - Натисніть Create Certificate Request
Натисніть "Create Certificate Request..." у панелі Actions праворуч. - Введіть відомості Distinguished Name
Введіть доменне ім'я, назву компанії, місто, регіон і країну. Не використовуйте спеціальні символи. - Налаштуйте криптографічного постачальника
Залиште постачальника за замовчуванням, встановіть довжину ключа (Bit length) 2048 або більше і натисніть Next. - Виберіть місце збереження
Натисніть кнопку "...", виберіть Робочий стіл і натисніть Finish. - Перегляньте CSR-код
Відкрийте збережений файл .txt за допомогою Блокнота (Notepad). - Перевірте CSR-код
Вставте код у інструмент CSR decoder і переконайтеся в правильності даних.
Крок 1 — Відкрийте IIS Manager
Натисніть кнопку Пуск Windows або рядок пошуку. Введіть "IIS" або "inetmgr". У результатах пошуку натисніть Internet Information Services (IIS) Manager.
Крок 2 — Відкрийте розділ Server Certificates
У лівій панелі IIS Manager натисніть на ім'я вашого сервера. Двічі клацніть значок "Server Certificates" у центральній головній панелі.
Крок 3 — Натисніть Create Certificate Request
У панелі Actions праворуч натисніть "Create Certificate Request...". Відкриється майстер створення CSR.
Крок 4 — Введіть відомості Distinguished Name
Відкриється вікно "Distinguished Name Properties". Уважно заповніть кожне поле:
| Поле | Приклад | Опис |
|---|---|---|
| Common Name (CN) | example.com | Повне доменне ім'я — для Wildcard використовуйте *.example.com |
| Organization (O) | Приклад ТОВ | Офіційна зареєстрована назва компанії |
| Org. Unit (OU) | IT | Назва відділу (IT, Веб, Маркетинг тощо) |
| City / Locality (L) | Kyiv | Повна назва міста — не використовуйте скорочення |
| State / Province (S) | Kyiv | Повна назва регіону або області |
| Country (C) | UA | Двобуквений код країни за стандартом ISO |
⚠️ Не вводьте спеціальні символи (знаки наголосу, коми, апострофи) в жодному полі. Такі символи можуть призвести до відхилення CSR постачальником сертифікатів.
Після заповнення всіх полів натисніть "Next".
Крок 5 — Налаштування криптографічного постачальника та довжини ключа
Залиште поле "Cryptographic service provider" зі значенням за замовчуванням: Microsoft RSA SChannel Cryptographic Provider. Не змінюйте це поле.
У полі "Bit length" може відображатися значення за замовчуванням 1024. Збільшіть його до 2048 або більше — це мінімальна довжина ключа, що приймається сучасними постачальниками сертифікатів. Потім натисніть "Next".
Крок 6 — Виберіть місце збереження
Натисніть кнопку "..." (Огляд), щоб вибрати місце збереження CSR-файлу. Для зручного доступу рекомендується Робочий стіл (Desktop). Після вибору шляху натисніть "Finish".
Крок 7 — Перегляньте CSR-код
Перейдіть до вибраного місця збереження і відкрийте файл .txt за допомогою Блокнота (Notepad). Ваш CSR-код виглядатиме наступним чином:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----
ℹ️ Під час копіювання коду обов'язково включіть рядки -----BEGIN CERTIFICATE REQUEST----- і -----END CERTIFICATE REQUEST-----. Неповно скопійований CSR призведе до помилки під час активації.
Крок 8 — Перевірте CSR-код
Перевірте правильність CSR-коду перед надсиланням на SSL-активацію. Вставте повний код у інструмент CSR decoder і переконайтеся, що введені дані відображаються коректно. Якщо якесь поле виглядає неправильно, ви можете створити новий CSR на тому ж сервері — процедура абсолютно ідентична.
✅ Ваш CSR-код готовий. Скопіюйте повний код (включаючи тире) і надішліть його під час активації SSL-сертифіката.
Поширені помилки

| Помилка | Наслідок | Рішення |
|---|---|---|
| Спеціальні символи в полях | CSR відхиляється постачальником сертифікатів | Використовуйте лише стандартні ASCII-символи в усіх полях DN |
| Довжина ключа залишена 1024 | Сучасні CA відхиляють ключі менше 2048 біт | Збільшіть до 2048 або 4096 перед натисканням Next |
| CSR створено на іншому сервері | Невідповідність закритого ключа під час встановлення | Завжди створюйте CSR на сервері, де розміщено сайт |
| Неповне копіювання CSR | Активація негайно завершується помилкою | Скопіюйте повний код включаючи рядки BEGIN і END |
Контрольний список для перевірки
- CSR-файл збережено в доступному місці
- Повний CSR-код скопійовано (включаючи рядки BEGIN і END)
- Перевірено через CSR decoder — домен, організація і країна відображаються коректно
- Довжина ключа встановлена 2048 або більше
- У полях DN не використано спеціальних символів
Найкращі практики

- Завжди використовуйте довжину ключа 2048 біт або 4096 біт — 1024 біти більше не приймається
- Зберігайте CSR-файл і закритий ключ у надійному місці
- Введіть повне доменне ім'я в полі Common Name — не додавайте протокол або косі риски
- Для Wildcard-сертифіката вводьте Common Name у форматі *.example.com
- Перед надсиланням на активацію перевірте CSR через decoder — цей крок дозволяє уникнути зайвої витрати часу
Наступні кроки
Після того як CSR-код готовий:
- Надішліть CSR-код під час SSL-активації через Domain Name API.
- Після видачі сертифіката завершіть встановлення за допомогою опції "Complete Certificate Request" в IIS.
- Перевірте встановлення за значком замка в браузері та за допомогою інструменту SSL checker.
Часті запитання
Що таке CSR-код?
CSR (Certificate Signing Request — Запит на підписання сертифіката) — це зашифрований текстовий блок, що генерується на вашому сервері. Він містить доменне ім'я, відомості про організацію та відкритий ключ сервера. Постачальник сертифікатів використовує ці дані для видачі SSL-сертифіката, прив'язаного саме до вашого домену.
Чому CSR необхідно створювати на тому ж сервері?
При створенні CSR генеруються два ключі: відкритий ключ (включений у CSR) і закритий ключ (що зберігається на сервері). Ці два ключі повинні відповідати один одному. Якщо створити CSR на іншому сервері, закритий ключ не буде знайдений під час встановлення сертифіката і встановлення завершиться помилкою.
Як заповнити поле Common Name для Wildcard SSL-сертифіката?
Для Wildcard SSL-сертифіката введіть *.example.com у поле Common Name. Це охоплює кореневий домен і всі піддомени першого рівня (www, mail, shop тощо).
Що робити після створення CSR?
Скопіюйте повний CSR-код (включаючи тире), перевірте його через інструмент CSR decoder і надішліть під час SSL-активації. Після видачі сертифіката дотримуйтесь посібника з встановлення SSL в IIS для завершення встановлення.
Що таке CSR decoder?
CSR decoder — це безкоштовний інструмент, який зчитує зашифрований CSR-код і відображає його вміст у зрозумілому вигляді. Він дозволяє перевірити такі дані, як доменне ім'я, організація, країна і довжина ключа, до активації сертифіката.
Що робити, якщо мій CSR-код містить помилки?
Створіть новий CSR на тому ж сервері, дотримуючись тих самих кроків. Обмежень на кількість створюваних CSR немає. Продовжіть активацію, використовуючи новостворений CSR-код.
Які версії IIS охоплює цей посібник?
Кроки цього посібника однаково працюють у IIS 5.x, 6.x, 7.x, 8.x, 10 та всіх наступних версіях Windows Server. Інтерфейс IIS Manager для створення CSR є однаковим у всіх версіях.
Чи можна використовувати один CSR для кількох SSL-сертифікатів?
Ні. Для кожної активації SSL-сертифіката рекомендується створювати новий CSR. Повторне використання CSR від старого сертифіката може спричинити проблеми із закритим ключем.
Висновок
Створення CSR в IIS займає лише кілька хвилин. Відкрийте IIS Manager, перейдіть до Server Certificates, створіть новий запит на сертифікат, введіть дані домену, встановіть довжину ключа 2048 або більше і збережіть файл. Перед надсиланням перевірте через інструмент CSR decoder.
Головне правило: завжди створюйте CSR на сервері, де розміщено ваш сайт. CSR, створений на іншій машині, призведе до невідповідності закритого ключа під час встановлення сертифіката.
✅ Після того як CSR готовий, перевірте його через decoder і надішліть на SSL-активацію.
Ознайомтеся з варіантами SSL-сертифікатів
Domain Name API пропонує SSL-сертифікати DV, OV, EV та Wildcard. Підходящий варіант для одного домену, кількох піддоменів або корпоративної інфраструктури завжди є в наявності.
