Документация

Создание неквалифицированного сертификата

Неквалифицированный сертификат сертификат, который не проходит проверку идентичности владельца, как это делается в случае квалифицированных сертификатов. Неквалифицированный сертификат используется для шифрования данных или аутентификации, но не гарантирует, что владелец сертификата действительно является владельцем домена. Неквалифицированные сертификаты можно использовать для внутренних нужд или в тестовых средах, где нет необходимости в проверке идентичности владельца сертификата.

Чтобы создать неквалифицированный сертификат:

  1. В главном меню портала перейдите в раздел Ресурсы → Certificate & Secret Manager.
  2. Нажмите на кнопку Подключить, если сервис ещё не подключен.
  3. На вкладке Сертификаты в разделе Неквалифицированные нажмите на кнопку  Создать сертификат и заполните поля:
    • Тип сертификата *:
      • root — корневой сертификат, является верхнеуровневым в цепочке доверия. Не требует проверки подлинности и способен подтвердить сертификаты нижних уровней. Может быть Издателем для сертификатов intermediate и user;
      • intermediate — промежуточный сертификат, находится между корневым (root) и пользовательским (user) сертификатами в цепочке доверия. Используется для делегирования полномочий по подписанию сертификатов от корневого сертификата. Может быть Издателем для сертификатов intermediate и user;
      • user — сертификат, который выдаётся конкретному пользователю или сервису и используется для установления безопасного соединения или аутентификации. Может быть создан только после создания корневого (root) или промежуточного (intermediate) сертификата, который будет указан Издателем;
    • Имя * — название неквалифицированного сертификата;
    • Описание — назначение сертификата;
    • Тип ключа * — алгоритм криптографии и длина ключа, связанного с сертификатом;
    • Дата начала действия сертификата — дата и время начала действия сертификата. Выбранные значения должны быть раньше текущей даты и времени;
    • Дата окончания действия сертификата — планируемые дата и время окончания действия сертификата;
    • Издатель *корневой (root) или промежуточный (intermediate) неквалифицированный сертификат, созданный в текущем проекте. Поле заполняется только для типов сертификата intermediate или user.

    • Страна (C) — двухбуквенный код страны нахождения организации, для которой создаётся сертификат. Должен соответствовать стандарту ISO 3166-1. Например, для России следует указать RU;
    • Край или область (ST) — название штата, региона или области, в которой находится организация;
    • Населенный пункт (L) — город или населённый пункт, в котором находится организация;
    • Наименование организации (O) — полное название организации;
    • Наименование подразделения (OU) — название подразделения внутри организации, которое будет использовать сертификат;
    • Полное доменное имя (CN) — полное доменное имя ресурса, который будет использовать сертификат. Доменное имя должно быть действительным и соответствовать стандартам DNS;
    • E-mail — email технической поддержки компании, администратора или лица, ответственного за управление сертификатом. На указанный email отправляются уведомления о статусе сертификата и истечении его срока действия.

    • Длина подписи (path_length) — число уровней цепочки доверия, которая начинается от создаваемого сертификата. Например, если указано 4, то от данного сертификата можно выдать не более 4 уровней промежуточных сертификатов.
      Поле заполняется только для типов сертификата root и intermediate;
    • Дополнительные доменные имена для сертификата (SAN) — дополнительное доменное имя, для которого будет действовать сертификат;
    • Дополнительные IP-адреса для сертификата (SAN) IPv4, IPv6 или их подсети с указанием префикса, для которых будет действовать сертификат. Например, 192.168.1.3, 1050:0:0:0:5:600:300c:326b, 192.168.1.0/24, 2001:db8:1234::/48;
    • Расширенное использование ключа сертификата (key_usage) список разрешений для использования ключа, связанного с сертификатом:
      • digital_signature — ключ может использоваться для создания цифровых подписей;
      • content_commitment — ключ может использоваться для создания цифровых подписей, подтверждающих целостность и авторство содержимого;
      • key_encipherment — ключ может использоваться для шифрования ключей (например, при установлении защищённого соединения);
      • data_enciphermentключ может использоваться для шифрования данных;
      • key_agreement — ключ может использоваться для согласования общего секрета между двумя сторонами;
      • key_cert_sign — ключ может использоваться для подписи других сертификатов (например, для центров сертификации);
      • crl_sign — ключ может использоваться для подписи отозванных сертификатов;
      • encipher_only — ключ может использоваться только для шифрования данных и не может использоваться для дешифрования;
      • decipher_only — ключ может использоваться только для дешифрования данных и не может использоваться для шифрования.
  4. Нажмите на кнопку Добавить.

Созданный неквалифицированный сертификат отобразится на портале:

Чтобы просмотреть подробную информацию о сертификате, нажмите на кнопку  в строке с нужным сертификатом. У неквалифицированного сертификата можно изменить имя и описание, скачать сертификат и приватный ключ. Подробнее см. раздел Действия с сертификатом

Мы ответили на ваш вопрос?