Утерян закрытый ключ от сертификата
Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить перевыпуск сертификата — это бесплатно.
Где взять приватный ключ сертификата
Установка сертификата не является часто выполняемой задачей. Вполне вероятно, вы не касались вопроса SSL конфигурации сервера с тех пор как установили сертификат год назад или даже несколько. Или, может, вы недавно приобрели еще несколько серверов. В таком случае, вполне понятно, что вы можете не знать или забыть где находится ваш приватный ключ (private key).
Данная статья поможет вам найти месторасположение вашего приватного ключа Мы рассмотрим наиболее распостраненные операционные системы ниже, а для начала рассмотрим основные аспекты, касающиеся private key.
Что такое закрытый ключ?
Закрытый ключ создается вами — владельцем сертификата — когда вы запрашиваете Ваш сертификат с запросом подписи сертификата (CSR). Центр сертификации, предоставляющий ваш сертификат (например, DigiCert), не создает или не имеет ваш закрытый ключ.
Если вы еще не установили свой сертификат, наиболее вероятное расположение вашего приватного ключа — на компьютере или на сервере где вы генерировали запрос CSR.
Когда вы создавали CSR, вы должны были получить запрос от сервера сохранить два файла. Вы можете запустить в OpenSSL специальную команду чтобы найти папку, в которую сохранились файлы с ключами. По умолчанию это /usr/local/ssl by default. https://www.digicert.com/ssl-support/openssl-quick-reference-guide.htm
Для Windows (IIS) операционная система имеет специальный менеджер который поможет вам создать запрос и затем сделать экспорт ключа ).
Как найти месторасположение приватного ключа. Если ваш сертификат уже установлен, выполните следующие действия, чтобы найти файл секретного ключа для этих популярных операционных систем.
Apache
Ваш файл private key будет указан в главное конфигурационном файле Apache, то есть httpd.conf или apache2.conf Директива SSLCertificateKeyFile будет определять путь на вашем сервере, где хранится ваш ключ.
OpenSSL, самая популярная библиотека SSL на Apache, по умолчанию сохранит секретные ключи в / usr/local/ssl. Чтобы найти OPENSSLDIR и убедиться, что ключи сохранились в этой папке запустите специальную команду openssl version -a.
Nginx
Вы можете найти месторасположение приватного ключа в файле на сайте в вашем виртуальном хостинге. Перейдите к серверному блоку для этого сайта (по умолчанию в каталоге /var/www /). Откройте главный файл конфигурации для сайта и выполните поиск директива ssl_certificate_key, которая будет предоставлять закрытый ключ (некоторые пользователи имеют отдельный файл конфигурации для своего SSL, например ssl.conf).
Windows (IIS)
На серверах Windows ОС управляет вашими файлами сертификатов для вас в скрытой папке, но вы можете получить закрытый ключ, экспортировав файл «.pfx», содержащий сертификаты и закрытый ключ.
Откройте консоль Microsoft Management Console (MMC). В корневой консоли Console Root (локальный компьютер) сертификат вашего сервера будет находиться в подпапке Personal или Web Server.
Найдите и щелкните правой кнопкой мыши сертификат, который имеет название домена (Common Name), выберите Export и следуйте инструкциям.
В результате вы получите файл .pfx. Подробные, пошаговые инструкции здесь.
Дальнейшие ваши действия зависят от того что вы планируете получить в итоге.
Если вы хотите выделить закрытый ключ в отдельный файл, вам надо конвертировать файл.pfx . Если вы просто хотите архивировать ключ и установить на другом сервере Windows, то вам не нужно преобразовывать формат и использовать его в таком виде как он есть.
Если вы будете использовать другую платформу, например Apache, следует преобразовать формат .pfx, чтобы отделить файл .crt / .cer и .key с помощью OpenSSL.
Где еще может быть Private Key?
Если вы выполнили все инструкции, но вам так и не удалось найти свой ключ, возможно, вы просто искали не там.
Если вы работаете с сервером и соединение HTTPS успешно включено, это значит что приватный ключ находится где-то на этом сервере (или в месте доступном для этого сервера), иначе HTTPS просто не будет работать. Здесь мы можем рассматривать только сценарии по умолчанию — возможно, ваша организация использует специальную пользовательскую конфигурацию. Вы можете попробовать выполнить на сервере поиск файла «.key» или выполнить инструкцию по установке нового сертификата, которая на определенном шаге должна включать указание местонахождения приватного ключа. На некоторых платформах OpenSSL сохранит файл .key в том же каталоге, откуда была запущена команда -req.
Если вы еще не установили SSL сертификат и не можете найти приватный ключ, может быть такое что его нет на сервере (находится в другом месте или удален).
Если вы создали запрос CSR, но не можете найти файл private key, проще всего перевыпустить сертификат заново чтобы сохранить закрытый ключ на этот раз в известном вам месте.
Начните с создания нового CSR запроса, зафиксируйте для себя где сохранен приватный ключ и убедитесь, что он соответствует новому запросу.
Оформите перевыпуск сертификата (это является бесплатной услугой) и установите полученный SSL сертификат на сервер.
- SSL сертифікати Digicert
- SSL сертифікати GeoTrust
- SSL сертифікати Thawte
- SSL сертифікати RapidSSL
- SSL сертифікати Sectigo|Comodo
- SSL сертифікати GlobalSign
Забыли private.key как восстановить приватный ключ для SSL
В данной статье мы обсудим ситуацию, как быть, если при регистрации SSL сертификата, вы забыли сохранить файл приватного ключа, что делать и как найти решение.
Какие могут быть ситуации потери приватного ключа ?
1. Вы покупали SSL сертификат, генерировали приватный ключ встроенными онлайн инструментами с панели управления сайтом, где выдается сертификат, в результате забыли сохранить приватный ключ себе на компьютер и продолжили выпускать сертификат.
Далее когда вы получили готовый выпущенный сертификат и дошли до этапа установки сертификата, вспомнили, что при установке нужен private.key.
2. Перед покупкой сертификата генерировали приватный ключ на сторонних онлайн сервисах, например online-CSR-generator. При завершении генерации приватного ключа после заполнения всех полей, вы забыли отметить пункт «Отправить CSR и приватный ключ (RSA) на указанный адрес«, которым мы рекомендуем всегда пользоваться.
Вам на почту отправят все файлы и вам будет не страшно, что вы закрыли вкладку с готовыми сгенерированными CSR и приватным ключом.
3. Случается также, что вы закрыли вкладку браузера с готовыми CSR и private.key ( rsa.txt ) и в итоге снова проблема, при прикреплении сертификата и вам нечего вставлять в поле приватного ключ.
Как восстановить приватный ключ?
Первый способ восстановления приватного ключа
Вы генерировали приватный ключ на сайте online-CSR-generator, перейдите в историю браузера и посмотрите список страниц в истории, можно поискать страницу данного сервиса на то время когда мы получили готовые сгенерированные csr и rsa:
В результате у вас может получиться, мы проверяли на примере и мы открыли с кеша страницу с нашими данными, которые мы генерировали:
Второй способ восстановления private.key
Важно проверить свою электронную почту, нет ли сообщения с файлами rsa.txt и csr.txt. Именно файл rsa.txt это наш приватный ключ, возможно при генерации CSR вам отправили на вашу почту admin@site.ru. Проверьте почту, это важно и может вам помочь.
Третий способ восстановления приватного ключа
Данный способ подобно второму, очень похож, возможно вы нажимали кнопку скачать или сохранить как после генерации CSR и RSA и в папку Download или Загрузки вы все таки сохранили архив с приватным ключом с названием CSR и RSA для site.ru.zip. Проверьте, если такой архив имеется в папке загрузки, значит вы сохранили приватный ключ и в данном архиве найдете файл rsa.txt.
Четвертый способ восстановления приватного ключа
Это последний способ. Если вам не помогли все варианты описанные выше, тогда переходим в панель управления сайтом где покупали сертификат и ищем в вашем выполненном заказе на выпуск сертификата кнопку Переиздание сертификата, Перевыпуск сертификата или Reissue SSL:
После нажатия на эту кнопку, вы абсолютно бесплатно пройдете процедуру повторного выпуска сертификата для вашего домена.
Мы надеемся, что на данном этапе у вас уже будет сохранен приватный ключ и вы учитесь на своих ошибках.
Так же добавим небольшое примечание:
Если на сайте my.gogetssl.com покупаете сертификат на 4 года, после прикрепляете его к сайту и видите, что выдан сертификат на 2 года, вас не обманули и не стоит подымать панику
Все дело в том, что не все сертификационные центры, которые выдают сертификаты имеют возможность выдавать готовый сертификат на 4 года и отображать сразу же это в панели управления сайтом регистрационного центра. Вам сертификат выдается на 2 года и по истечению этого срока вам бесплатного предлагается продлить сертификат еще на 2 года.
При обновлении сертификата вам повторно придется пройти валидацию и подтвердить управление доменом.
Какие файлы нужны для установки SSL-сертификата
После того, как вам выпустили SSL-сертификат, его необходимо установить на сайт. Для этого понадобятся файлы сертификата и доступ на сервер. В инструкции разберёмся, где их взять.
Где взять файлы сертификатов
Для установки SSL-сертификата потребуются специальные файлы.
- Секретный ключ генерируется при создании запроса на выпуск сертификата.
- Сертификат и цепочка сертификатов высылаются на почту, которую указали в качестве технического контакта. Также они доступны в Личном кабинете FirstSSL.
Чтобы скачать файлы в Личном кабинете, перейдите в раздел Товары — SSL-сертификаты . Кликните по приобретенному сертификату и нажмите «Просмотр» :
Внизу доступны файлы: секретный ключ, сертификат, запрос на сертификат.
Для установки понадобятся первые два: секретный ключ и сертификат.
Запрос на сертификат на этапе установки не нужен — он используется для продления услуги.
Важно: автоматическое продление сертификата позволяет только своевременно запустить выпуск нового сертификата. Чтобы новый сертификат начал действовать, потребуется подтвердить выпуск и установить его на сервер вручную, заменив старый. Поэтому даже при использовании автоматического продления рекомендуем вам регулярно следить за уведомлениями: при успешном продлении на почту, указанную при заказе сертификата, придёт письмо с инструкциями.
Если вы не нашли файлы SSL-сертификата, проверьте:
- Соответствует ли ваш адрес электронной почте адресу, указанному в заявке на получение сертификата
- Одобрил ли сертификационный центр ваш запрос на получение сертификата. Сертификационный центр может отказать в выпуске сертификата, если заявка заполнена с ошибками
- Была ли отправлена заявка на получение сертификаты
- Был ли сохранён секретный (приватный) ключ
Обращайтесь в техподдержку, если у вас возникли вопросы
Секретный ключ
Секретный ключ — это файл с расширением .key . Иногда секретный ключ отсутствует в Личном кабинете. Это может произойти, если при создании запроса на сертификат вы выбрали настройку «Не сохранять ключ» . Если у вас нет ключа, сертификат необходимо перевыпустить.
Секретный ключ, открытый в текстовом редакторе, представляет собой набор символов. Они заключены между пометками «Begin RSA private key» — (начало ключа) и «End RSA private key» (конец ключа). Секретный ключ используется для расшифровки данных, поступающих на сервер, поэтому не передавайте его посторонним.
Сертификат
Файл «сертификат», скачанный из личного кабинета, представляет собой архив zip . Распакуйте его. Внутри вы найдёте ещё два файла: сертификат и цепочку сертификатов.
Сертификат — это файл с расширением .crt . Он же является публичным ключом.
Внутри содержится заголовок «Begin certificate» — начало сертификата, тело сертификата и отметку «End certificate» — конец сертификата:
Цепочка сертификатов
Цепочка сертификатов — файл с расширением .ca-bundle
В текстовом редакторе цепочка сертификатов выглядит как набор символов. Начало и конец помечены «Begin certificate» и «End certificate» .
Цепочка для сертификата от сертификационного центра GlobalSign
После выпуска сертификата от GlobalSign вы получаете архив с 4 файлами ключей:
- Файл с расширением .p7b содержит сертификат и цепочку сертификата. P7B формат поддерживается такими платформами, как Microsoft Windows и Java Tomcat.
- Файл с именем домена, на который выпускался сертификат, и расширением .crt содержит в себе открытый ключ сертификата.
- Файл с именем GlobalSign Root CA.crt содержит корневой ключ цепочки сертификата.
- Файл с именем AlphaSSL CA — SHA256 — G2.crt содержит промежуточный ключ цепочки сертификата.
Для создания цепочки сертификата вам необходимо поместить в один текстовый файл корневой ключ сертификата, за ним с новой строки промежуточный ключ и дать ему название GlobalSign.ca. Сделать это вы можете, открыв файлы с ключами цепочки через любой текстовый редактор. Для копирования всего содержимого файла лучше использовать комбинации клавиш Ctrl + A далее Ctrl + C, это необходимо, чтобы не пропустить символы при копировании текста.
Что делать, когда все файлы готовы
Когда все файлы готовы, можно переходить к установке сертификата. Процесс состоит из двух основных этапов:
- Загрузка на сервер файлов сертификата, которые мы рассмотрели: секретный ключ, сертификат, цепочка сертификатов.
- Переключение сайта на работу через защищенное соединение.
Конкретные шаги зависят от панели управления хостингом или типа сервера. Вы можете уточнить детали установки у своего хостинг-провайдера или воспользоваться инструкциями по ссылкам ниже.