Проверка CSR

Q: Чем проверка CSR отличается от декодирования CSR?

На практике это одно и то же. Проверка (check/validate) и декодирование (decode) описывают один процесс — расшифровку закодированного CSR-запроса для чтения его содержимого. ToolsPivot предлагает оба инструмента: CSR-декодер и проверку CSR.

О программе Проверка CSR

Проверка CSR (Certificate Signing Request) — это онлайн-инструмент, который расшифровывает закодированный запрос на подпись сертификата и показывает все данные внутри: домен, организацию, страну, алгоритм шифрования и длину ключа. ToolsPivot делает это прямо в браузере, бесплатно и без регистрации — достаточно вставить CSR-код и нажать одну кнопку.

Что показывает Проверка CSR от ToolsPivot

Инструмент разбирает CSR-запрос и выводит все поля, которые в нём зашифрованы. Если хотя бы одно поле заполнено с ошибкой, удостоверяющий центр (CA) отклонит заявку — и придётся генерировать CSR заново. Проверка до отправки экономит от нескольких часов до нескольких дней.

Common Name (CN): Полное доменное имя (FQDN), для которого запрашивается сертификат. Инструмент покажет, указан ли домен корректно — с www или без, с поддоменом или wildcard (*). Ошибка здесь — самая частая причина отказа в выпуске SSL.
Организация (O) и подразделение (OU): Название компании и отдел, от имени которого подаётся запрос. Для OV- и EV-сертификатов эти данные проверяются особенно строго — они должны совпадать с записями в ЕГРЮЛ или аналогичном реестре.
Город, область, страна: Географические данные организации. Код страны — двухбуквенный по стандарту ISO 3166-1 (RU для России, KZ для Казахстана, BY для Беларуси). Путаница в кодах — ещё одна типичная ошибка.
E-mail администратора: Контактный адрес, привязанный к запросу. Допустимые варианты — admin@, administrator@, webmaster@, hostmaster@ или postmaster@ на вашем домене.
Алгоритм и длина ключа: Показывает, какой алгоритм шифрования использован (RSA, ECDSA) и размер ключа. Минимально допустимая длина — RSA 2048 бит. Всё, что меньше, браузеры отклонят.
Подпись (Signature Algorithm): Алгоритм хеширования запроса — обычно SHA-256 или SHA-384. Устаревший SHA-1 больше не принимается большинством удостоверяющих центров.
SAN (Subject Alternative Names): Если CSR создан для мультидоменного сертификата, инструмент перечислит все альтернативные домены, включённые в запрос.

Идеально подходит для системных администраторов, которые генерируют CSR через OpenSSL на сервере и хотят перепроверить результат перед отправкой в удостоверяющий центр.

Как пользоваться Проверкой CSR от ToolsPivot

Откройте инструмент. Перейдите на страницу проверки CSR на ToolsPivot — регистрация не требуется.
Вставьте CSR-код. Скопируйте весь блок текста, начиная с -----BEGIN CERTIFICATE REQUEST----- и заканчивая -----END CERTIFICATE REQUEST-----. Оба маркера обязательны.
Нажмите кнопку проверки. Инструмент декодирует CSR и покажет все поля в читаемом виде.
Проверьте каждое поле. Убедитесь, что домен (CN) указан верно, код страны соответствует ISO 3166-1, а длина ключа — не менее 2048 бит для RSA.
Исправьте ошибки, если нужно. Если данные некорректны, сгенерируйте CSR заново с помощью генератора CSR или через OpenSSL на сервере.

Весь процесс занимает меньше минуты. Данные обрабатываются в браузере и не сохраняются на сервере.

Зачем использовать Проверку CSR от ToolsPivot

Ошибки видны до отправки в CA. Примерно каждый пятый CSR-запрос содержит ошибку — неправильный Common Name, неверный код страны или устаревший алгоритм. Проверка до подачи заявки на сертификат экономит время и избавляет от перевыпуска.
Работает без установки. Не нужен OpenSSL, PuTTY или доступ к серверу. Вставили код, нажали кнопку, прочитали результат. Подходит для тех, кто работает с панелями управления (cPanel, ISPmanager, хостинг на Timeweb, Beget, REG.RU) и не может запустить команду в терминале.
Бесплатно и без регистрации. Многие SSL-инструменты требуют создания аккаунта или ограничивают количество проверок. ToolsPivot работает без ограничений.
Поддержка всех типов сертификатов. DV (Domain Validation), OV (Organization Validation), EV (Extended Validation), wildcard, мультидоменные — инструмент декодирует CSR для любого типа.
Проверка перед продлением. При продлении SSL-сертификата часто используют старый CSR. Инструмент покажет, не устарели ли данные — например, не сменилось ли название организации или размер ключа.
Быстрый аудит чужих CSR. DevOps-инженеры и техподдержка хостинг-провайдеров могут проверить CSR клиента за секунды, не разворачивая OpenSSL на рабочей машине.
Совместимость с любой средой. CSR, сгенерированный на Apache, Nginx, IIS, любом сервере с OpenSSL или через панель хостинга — всё декодируется одинаково, потому что формат CSR стандартизирован (PKCS #10).

Особенно полезен для владельцев интернет-магазинов на Ozon, Wildberries или собственных площадках на 1С-Битрикс и Tilda, где SSL — обязательное условие приёма платежей.

Какие данные содержит CSR-запрос и зачем их проверять

CSR — это закодированный текстовый блок в формате PKCS #10, подписанный закрытым ключом заявителя. Внутри — открытый ключ и набор идентификационных данных (Subject DN), которые удостоверяющий центр включит в выпущенный SSL-сертификат.

Вот что именно проверяет удостоверяющий центр при получении CSR:

Поле CSR	Что означает	На что обратить внимание
Common Name (CN)	Доменное имя (FQDN)	Должно точно совпадать с доменом, для которого заказывается сертификат. Для wildcard — `*.domain.com`
Organization (O)	Название организации	Только латиница. Для OV/EV — должно совпадать с юридическим названием (ЕГРЮЛ, Whois)
Country (C)	Двухбуквенный код страны	RU (Россия), KZ (Казахстан), BY (Беларусь), UA (Украина). Не «Russia», не «RUS»
State (ST)	Область или регион	Латиницей, полностью: `Moscow`, не `Msk`
Locality (L)	Город	Латиницей: `Saint-Petersburg`, не `SPb`
Key Algorithm	RSA или ECDSA	RSA 2048 бит — минимум. ECDSA P-256 — для тех, кому важна скорость
Signature Algorithm	SHA-256, SHA-384	SHA-1 устарел и не принимается

Если вы заказываете сертификат у российских реселлеров (FirstSSL, ISPsystem, REG.RU) или международных CA (Sectigo, DigiCert, Let's Encrypt), требования к CSR одинаковые — формат стандартизирован.

Проверить корректность данных можно и через командную строку: openssl req -in file.csr -noout -text. Но если OpenSSL не установлен или вы работаете с Windows без терминала — онлайн-проверка решает задачу за секунды. Дополнительно убедитесь, что закрытый ключ соответствует CSR, с помощью инструмента проверки ключей.

Ошибки в CSR, которые блокируют выпуск сертификата

Удостоверяющие центры отклоняют запросы с ошибками без объяснения деталей — вы просто получаете отказ. Зная типичные проблемы, можно их исключить заранее.

Неправильный Common Name. Самая частая ошибка. Если сертификат нужен для www.example.com, а в CSR указан просто example.com — сертификат не будет работать для версии с www. И наоборот. Перед генерацией определитесь, на какой именно домен (или поддомен) ставится SSL. Проверьте это через DNS-запрос.

Код страны длиннее двух символов. Поле Country принимает только коды ISO 3166-1 alpha-2. Указать «Russia» или «643» вместо «RU» нельзя. Для Казахстана — «KZ», не «KAZ».

Длина ключа менее 2048 бит. Ключи на 1024 бита не принимались ещё с 2014 года. Если ваш CSR показывает RSA 1024, сгенерируйте новый запрос. Большинство CA рекомендуют RSA 2048 или 4096 для повышенной безопасности.

Устаревший SHA-1. С 2017 года браузеры (Chrome, Firefox) перестали доверять сертификатам, подписанным SHA-1. Если алгоритм подписи в CSR — SHA-1, его отклонят.

Спецсимволы в полях. Символы ! @ # $ % ^ & * ( ) недопустимы в большинстве полей CSR. Название организации должно быть латиницей, без кириллицы и спецсимволов.

Отсутствие маркеров BEGIN/END. CSR-код должен включать полные строки -----BEGIN CERTIFICATE REQUEST----- и -----END CERTIFICATE REQUEST----- с пятью дефисами с каждой стороны. Без них код не пройдёт валидацию ни в одном инструменте — ни в ToolsPivot, ни в OpenSSL, ни на стороне CA.

Совет: после генерации CSR на сервере сразу проверьте его онлайн и сохраните закрытый ключ (private key) в защищённом месте. Потеря ключа означает полный перевыпуск сертификата. Для дополнительной проверки безопасности домена используйте проверку безопасности сайта.

Быстрые ответы о CSR-проверке

Проверка CSR на ToolsPivot — это бесплатно?

Да, полностью бесплатно и без ограничений. Регистрация не требуется, лимита на количество проверок нет. Вставляете CSR-код, нажимаете кнопку — получаете расшифровку за секунды. Доступны все поля: домен, организация, алгоритм, длина ключа, SAN.

Чем проверка CSR отличается от декодирования CSR?

На практике это одно и то же. «Проверка» (check/validate) и «декодирование» (decode) описывают один процесс — расшифровку закодированного CSR-запроса для чтения его содержимого. ToolsPivot предлагает оба инструмента: CSR-декодер и проверку CSR. Оба выполняют расшифровку, просто названы по-разному.

Безопасно ли вставлять CSR в онлайн-инструмент?

CSR содержит только открытый ключ и данные организации — эта информация по определению предназначена для передачи третьим лицам (удостоверяющему центру). Закрытый ключ в CSR не хранится. Вставлять CSR в онлайн-инструмент так же безопасно, как отправлять его в CA при заказе сертификата.

Можно ли использовать один CSR для нескольких сертификатов?

Технически — да, пока не истёк закрытый ключ. Но это не рекомендуется. Каждый новый сертификат лучше выпускать с новым CSR и новым закрытым ключом. Это снижает риск компрометации — если один ключ утечёт, пострадает только один сертификат.

Как сгенерировать CSR, если нет доступа к серверу?

Используйте онлайн-инструменты. Генератор CSR от ToolsPivot создаёт запрос прямо в браузере — вы вводите данные (домен, организацию, страну), и система формирует CSR-код вместе с закрытым ключом. Сохраните оба файла перед закрытием страницы.

Что делать, если проверка показала ошибку в CSR?

Сгенерируйте новый CSR с исправленными данными. Исправить существующий CSR невозможно — это зашифрованный блок, любое изменение нарушит подпись. На Apache/Nginx используйте команду openssl req -new -key private.key -out new.csr, на панелях управления — встроенный генератор.

Какой минимальный размер ключа принимают CA?

RSA 2048 бит — абсолютный минимум. Большинство удостоверяющих центров (Sectigo, DigiCert, GlobalSign, Let's Encrypt) принимают RSA 2048, 3072 и 4096. Для ECDSA — P-256 или P-384. Ключи RSA 1024 бит не принимаются с 2014 года.

Подходит ли инструмент для проверки CSR с мобильного устройства?

Да. ToolsPivot работает в любом браузере — на десктопе, планшете или смартфоне. Интерфейс адаптирован для мобильных экранов. Скопируйте CSR из письма или файла, вставьте в поле и проверьте результат прямо с телефона.

В чём разница между проверкой CSR и проверкой SSL-сертификата?

CSR — это запрос до выпуска сертификата. SSL-сертификат — результат после выпуска. Проверка CSR нужна перед отправкой в удостоверяющий центр. Проверка SSL — после установки сертификата на сервер, чтобы убедиться, что он работает корректно. Разные этапы, разные инструменты.

Нужно ли проверять CSR, если он создан автоматически хостингом?

Желательно. Автоматическая генерация на панелях хостинга (cPanel, ISPmanager, Plesk) обычно работает корректно, но ошибки случаются — например, если вы неправильно заполнили форму или система подставила данные по умолчанию. Проверка занимает 30 секунд и может сэкономить дни ожидания.

Как проверить, что закрытый ключ соответствует CSR?

Для этого существует отдельный инструмент — проверка соответствия ключа и сертификата. Он сравнивает модуль открытого ключа в CSR с модулем закрытого ключа. Если они совпадают — пара валидна. Через OpenSSL: openssl req -noout -modulus -in file.csr | openssl md5.

Можно ли конвертировать CSR в другой формат?

CSR-запрос имеет стандартный формат PEM (Base64-кодированный PKCS #10). Конвертация CSR в другие форматы обычно не требуется. Но если вам нужно конвертировать уже выпущенный SSL-сертификат (например, из PEM в PFX для IIS), используйте конвертер SSL.