Q: کلید خصوصی کجا ذخیره میشود؟

هیچکجا جز مرورگر شما. تمام عملیات رمزنگاری (تولید زوج کلید، ساخت CSR، امضا) کاملاً در مرورگر شما با استفاده از کتابخانه node-forge انجام میشود و هیچ دادهای به سرور پویاسازان ارسال نمیشود. این یعنی مسئولیت نگهداری امن کلید خصوصی صد در صد بر عهده شماست - بعد از بستن این صفحه، کلید از حافظه مرورگر پاک میشود و دیگر قابل بازیابی نیست.

Q: چه اطلاعاتی را در فرم وارد کنم؟

CN (دامنه اصلی) و C (کشور) الزامیاند. CAهای رایگان مثل Let's Encrypt و ZeroSSL تقریباً همه فیلدهای دیگر (O، OU، ST، L، email) را نادیده میگیرند و فقط CN + SANs را میپذیرند. برای CAهای تجاری (DigiCert، Sectigo) اطلاعات سازمان باید دقیق باشد چون CA آن را اعتبارسنجی میکند. اگر مطمئن نیستید، اطلاعات را دقیق پر کنید - ضرری ندارد.

Question 1

CSR دقیقاً چیست و چرا لازم است؟

Accepted Answer

CSR (Certificate Signing Request) یک فایل متنی است که اطلاعات هویت سایت شما (دامنه، سازمان، کشور) به‌همراه کلید عمومی یک زوج کلید را در قالب PKCS#10 نگه می‌دارد. CA (صادرکننده گواهی) این CSR را دریافت می‌کند، اطلاعات را تأیید می‌کند و روی کلید عمومی شما یک امضای دیجیتالی می‌گذارد - نتیجه همان گواهی SSL شماست. بدون CSR، CA راهی برای دانستن کلید عمومی شما ندارد.

Question 2

کلید خصوصی کجا ذخیره می‌شود؟

Accepted Answer

هیچ‌کجا جز مرورگر شما. تمام عملیات رمزنگاری (تولید زوج کلید، ساخت CSR، امضا) کاملاً در مرورگر شما با استفاده از کتابخانه node-forge انجام می‌شود و هیچ داده‌ای به سرور پویاسازان ارسال نمی‌شود. این یعنی مسئولیت نگه‌داری امن کلید خصوصی صد در صد بر عهده شماست - بعد از بستن این صفحه، کلید از حافظه مرورگر پاک می‌شود و دیگر قابل بازیابی نیست.

Question 3

RSA 2048 یا RSA 4096 را انتخاب کنم؟

Accepted Answer

RSA 2048 استاندارد صنعت است و تا سال ۲۰۳۰ طبق NIST کاملاً امن محسوب می‌شود؛ ساخت کلید و عملیات رمزنگاری روی سرور سریع‌تر است و اکثر مواقع انتخاب درست است. RSA 4096 امنیت بیشتری می‌دهد (در عمل چند درصد سخت‌تر برای شکستن) ولی تولید کلید ۴-۸ برابر کندتر است و هر handshake TLS هم به‌طور محسوسی کندتر می‌شود. برای سایت عمومی RSA 2048 معمولاً بهتر است.

Question 4

چه اطلاعاتی را در فرم وارد کنم؟

Accepted Answer

CN (دامنه اصلی) و C (کشور) الزامی‌اند. CAهای رایگان مثل Let's Encrypt و ZeroSSL تقریباً همه فیلدهای دیگر (O، OU، ST، L، email) را نادیده می‌گیرند و فقط CN + SANs را می‌پذیرند. برای CAهای تجاری (DigiCert، Sectigo) اطلاعات سازمان باید دقیق باشد چون CA آن را اعتبارسنجی می‌کند. اگر مطمئن نیستید، اطلاعات را دقیق پر کنید - ضرری ندارد.

Question 5

بعد از ساخت CSR چه کار کنم؟

Accepted Answer

فایل .csr را در پنل CA (یا سرویس هاست) آپلود کنید - خروجی آن فایل گواهی (.crt یا .pem) خواهد بود. هم فایل گواهی و هم کلید خصوصی (.key) را روی سرور نصب کنید. در nginx معمولاً در دایرکتیوهای ssl_certificate و ssl_certificate_key مشخص می‌شوند، در Apache در SSLCertificateFile و SSLCertificateKeyFile. CSR بعد از نصب گواهی دیگر نیازی نیست ولی کلید خصوصی را هرگز پاک نکنید.

ساخت CSR برای SSL

پاسخ سوالات شما

ابزارهای مرتبط