بازدید: 15
کد: KB-WB-SW-FA-17
زمان انتشار: سه‌شنبه 18 اردیبهشت 1397

ایجاد CSR با الگوریتم SHA2 در ویندوز سرور

با توجه به اینکه الگوریتم رمزگذاری در SSL از سال 2016 به صورت اجباری به SHA2 تغییر نموده است و تمام شرکتهای تولید کننده مرورگر از جمله فایرفاکس، مایکروسافت، اپل، گوگل، سیستم عاملهای تلفن همراه و ... نیز این قانون را رعایت می نمایند هیچ صادر کننده ای نمی تواند SHA-1 را به مشتریان ارائه نماید. از آنجا که برخی کاربران ویندوز هنگام ایجاد CSR در ویندوز متوجه می گردند که گزینه ای برای انتخاب الگوریتم SHA-256 وجود ندارد و ویندوز به صورت پیش فرض الگوریتم SHA-1 را استفاده نموده برای رفع این مشکل راهنمای زیر ایجاد گردیده است. البته روشهای دیگری همچون استفاده از Open SSL نیز وجود دارد که با توجه به سادگی این روش به آن پرداخته نمی شود. در تمام نسخه های ویندوز سرور از جمله ویندوز 2003 یا 2008 و 2012 این مورد مشابه است ولی در مثال زیر از ویندوز 2012 استفاده گردیده است.


  • برای شروع جهت دسترسی به کنسول مدیریت ویندوز، کلید ترکیبی ویندوز + R را انتخاب نمایید تا پنجره "RUN" باز گردد سپس در کادر "Open" فرمان "mmc" را وارد نمایید.

  • از منوی "File" گزینه "...Add/Remove Snap-in" را انتخاب نمایید.

  • گزینه "Certificates" را انتخاب نموده و روی "Add" کلیک نمایید.

  • سپس "Computer Account" را انتخاب نموده و روی "Next" کلیک نمایید.

  • بخش "Local Computer" را انتخاب نموده و روی "Finish" کلیک نمایید.

  • روی گزینه "Certificates" کلیک و "OK" را انتخاب نمایید.

  • در بخش "Certificates" روی "Personal" کلیک راست نموده و به ترتیب گزینه های زیر را انتخاب نمایید:   
    "Personal > All Tasks > Advanced Options >Create Custom Request"

  • در این مرحله گزینه "Next" را انتخاب نمایید.

  • "proceed Without enrollment policy" را انتخاب نموده و "Next" نمایید.

  • در این مرحله پیش فرض را تغییر ندهید "Template= No Template , Request Format=PKCS#10" و "Next" نمایید.

  • در این صفحه گزینه "Details" را انتخاب نموده، سپس گزینه "Properties" مشاهده می گردد، آن را انتخاب نمایید.

  • در تب "General" در بخش "friendly name" و "Description" نام دامنه ای که گواهینامه را برای آن دریافت می نمایید را تایپ نمایید. برای گواهینامه نوع wildcard آدرس سایت را می بایست به طورمثال به شکل zoodweb.com.* وارد نمایید و کاراکتر ستاره را جایگزین www نمایید.

  • سپس وارد تب "Subject" شده و در بخش "Subject name" گزینه های موجود را به ترتیب زیر ایجاد نمایید:
    1) در قسمت Type گزینه Common name را انتخاب و Value یا مقدار آن را نام آدرسی که گواهینامه برای آن ایجاد می گردد قرار دهید در مثال گواهینامه برای سایت http://zoodweb.com ایجاد می گردد بنابراین آدرس را www.zoodweb.com وارد می نماییم و سپس گزینه Add را انتخاب نمایید تا به صورت CN=www.zoodweb.com در سمت راست وارد گردد. برای نوع wildcard به جای www از کاراکتر * استفاده نمایید.
    2)در قسمت Type گزینه Organization را انتخاب و Value یا مقدار آن را نام سازمان قرار دهید. سپس گزینه Add را انتخاب نمایید تا به شکل O=zoodweb در اینجا نام سازمانzoodweb انتخاب شده، ایجاد گردد.
    3) در قسمت Type گزینه Organization Unit را انتخاب و Value یا مقدار آن را نام بخشی در سازمان قرار دهید. سپس گزینه Add را انتخاب نمایید تا به شکل OU=IT ایجاد گردد. ممکن است نام بخش مربوط به امور گواهینامه SSL در سازمان شما Security یا هر چیز دیگر باشد.
    4) در قسمت Type گزینه Locality را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس گزینه Add را انتخاب نمایید تا به شکل L=Tehran ایجاد گردد.
    5) در قسمت Type گزینه State را انتخاب و Value یا مقدار آن را نام شهر سازمان قرار دهید. سپس گزینه Add را انتخاب نمایید S=Tehran ایجاد گردد.
    6) در قسمت Type گزینه Country را انتخاب و Value یا مقدار آن را IR قرار دهید. سپس گزینه Add را انتخاب نمایید Add C=IR ایجاد گردد.
    7) در قسمت Type گزینه Email را انتخاب و Value یا مقدار آن را ایمیلی که CSR امکان ارتباط دارد قرار دهید سپس گزینه Add را انتخاب نمایید تا به شکل E=email@domain ایجاد گردد. دقت نمایید در گواهینامه نوع DV آدرس محدود بوده و CA یا صادر کننده گواهینامه SSL به شما آدرسی مثل Admin یا Webmaster را پیشنهاد می دهد که در صورت رعایت نکردن امکان تایید نیست و احتمالا نیاز به ساخت مجدد CSR خواهید داشت. به طور معمول تمامی صادر کنندگان آدرس admin را قبول می نمایند برای اطمینان از شرکت ارائه دهنده SSL در این خصوص راهنمایی بخواهید.

    ( نکته مهم برای کاربران Izenpe: در صورتی که صادر کننده گواهینامه شرکت Izenpe است با توجه به قوانین و مقررات جدید صدور گواهینامه از سوی شرکت Izenpe از درج آدرس ایمیل در فایل CSR خودداری نمایید. پروسه Validation از طریق ایمیل مندرج در whois دامنه انجام می گیرد، لذا دسترسی به آدرس درج شده در whois دامنه الزامیست.)

  • پس از تکمیل مشخصات فایل درخواست یا CSR مربوط به گواهینامه SSL در بخش "Private key" انتخاب "key Size" را انجام داده و آن را 2048 قرار دهید و همچنین در بخش "Hash Algorithm" گزینه "SHA256" را انتخاب نمایید و سپس "OK" نمایید.

    نکته مهم: حتما گزینه "Make Private key exportable" را انتخاب نمایید چراکه در صورت عدم انتخاب این گزینه پس از پایان مراحل امکان تهیه نسخه پشتیبان از گواهینامه نصب شده و در صورت نیاز انتقال آن به سرور جدید وجود نخواهد داشت.
  • در بخش "File name" محل ذخیره CSR را انتخاب نمایید و نوع فایل یا "File Format" را "Base 64" قرار دهید و سپس "Finish" را انتخاب نمایید.

آخرین بروزرسانی: سه‌شنبه 18 اردیبهشت 1397 15:08:49