ym88659208ym87991671
Инструкция по генерации TLS | Документация для разработчиков
Развернуть

Инструкция по генерации TLS

Обновлено 25 сентября 2025

При возникновении проблем с генерацией ключей или CSR:

  • Для СКЗИ - обратитесь к поставщику ПО

  • Для OpenSSL: проверьте команды, пересоздайте CSR или воспользуйтесь GigaChat для разбора возникших ошибок

  • Проверьте файл конфигурации на актуальность, изменять состав и порядок атрибутов не требуется

Техподдержка не консультирует по работе с OpenSSL. Благодарим за понимание!

1. Подготовка окружения

Проверка наличия OpenSSL

В терминале введите:

openssl version

Рекомендуется использовать OpenSSL версии 3.0 или выше

Конфигурационный файл

Конфигурационный файл содержит параметры для генерации CSR. Заполните его перед созданием запроса на сертификат.

  1. Скачайте конфигурационный файл:

    Конфигурационный файл

  2. Перейдите в директорию с файлом конфигурации, например:

cd ~/Downloads
  1. Отредактируйте конфигурационный файл, заменив значения атрибутов на свои:
nano csr_config.cnf

Или используйте любой текстовый редактор.

Значения атрибутов необходимо заполнять латиницей. Соблюдайте последовательность атрибутов, указанную в таблице.

Жирным шрифтом отмечены фиксированные значения атрибутов, обычным шрифтом – значения, которые нужно заменить на пользовательские.

OIDПолеЗначение
2.5.4.3commonName (CN)CI02745214-IFT-{ClientID}
или
CI02745214-PROM-{ClientID}
2.5.4.11organizationalUnitName (OU)sm
2.5.4.11organizationalUnitName (OU)sbbapi-client-1y
2.5.4.11organizationalUnitName (OU)ИНН организации
2.5.4.11organizationalUnitName (OU)CI02741778
2.5.4.10organizationName (O)Полное наименование организации
2.5.4.7localityName (L)Населенный пункт
2.5.4.8stateOrProvinceName (ST)Регион
2.5.4.6countryName (C)RU

2. Генерация ключа и запроса на сертификат

Выполните в терминале следующие команды:

Создание приватного ключа

openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048

Пример выполнения:

.............+++++
...................................+++++

В директории будет создан файл private.key.

Приватный ключ private.key необходимо хранить в безопасном месте! Его утеря приведет к неработоспособности сертификата.

Создание запроса на сертификат (CSR)

openssl req -new -key private.key -out request.csr -config csr_config.cnf

В директории будет создан файл request.csr на основе конфигурации.

Пример запроса на TLS-сертификат

Проверьте CSR

openssl req -in request.csr -noout -text

Пример выполнения:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: CN=CI02745214-IFT-20116, OU=sm, OU=sbbapi-client-1y, OU=4030347430, OU=CI02741778, O=OOO TEST, L=Moscow, ST=Moscow, C=RU
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:c3:a2:c4:5e:64:e8:ad:08:45:9d:c6:7f:89:e9:
                    c4:43:da:a9:1f:ff:5b:3e:21:a0:fa:98:c4:cc:ac:
                    17:f3:b8:cc:00:4d:89:0a:98:e1:94:e9:de:78:37:
                    af:be:aa:0f:4e:a7:9d:42:8e:af:1f:38:34:1c:44:
                    77:d3:43:b1:3f:ea:68:92:5d:c5:13:43:ee:b4:24:
                    63:c4:94:3b:81:12:55:3b:66:81:35:dc:5c:14:6c:
                    e4:59:9e:9c:a7:d5:91:5a:e2:3e:e5:6c:0c:0d:5c:
                    b4:6f:07:06:4a:6c:18:58:55:64:94:a2:17:90:28:
                    ec:7d:09:d6:95:79:35:c4:29:aa:32:1a:3b:92:9a:
                    eb:73:c6:cb:e5:42:77:4d:91:39:c2:5a:05:5b:ca:
                    f9:3c:31:bd:f4:b6:8d:36:a7:88:53:ce:d0:f0:43:
                    39:7c:54:9d:93:6f:13:52:3c:79:fd:a7:fc:23:80:
                    dc:78:58:12:b0:41:11:bc:89:1c:9b:fb:6f:05:c8:
                    36:1d:4a:14:05:1c:3f:4a:0f:d5:42:12:90:52:19:
                    26:ef:9a:0c:5f:0f:52:42:1e:bd:d7:97:de:5b:65:
                    c1:ff:ff:4d:0e:00:9d:bb:19:3e:ab:58:ba:f5:1e:
                    54:cd:4b:78:f6:96:e6:ec:02:47:f0:fb:97:9f:d8:
                    c2:63
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         1f:b7:19:b9:b3:5d:ee:f3:1c:04:3d:14:da:e2:c6:50:54:c2:
         38:bb:be:5e:b8:88:a6:ad:23:2d:bb:bd:f8:ff:0e:f5:df:e5:
         45:2d:39:64:0b:f8:8b:7e:17:dc:ff:60:11:de:03:a4:9a:d9:
         3d:8d:45:02:0f:cd:4d:a6:c6:cb:de:6f:f0:37:9d:16:6b:04:
         2f:d1:b9:e5:85:43:a9:c0:d1:d2:c4:4f:4c:2e:14:86:c8:96:
         60:fb:3d:61:33:e5:ac:8a:7f:1b:9f:85:fd:ac:2a:7c:d0:5d:
         b6:56:b8:2b:22:9a:53:28:fa:70:e3:f0:0b:f5:2c:7d:b5:34:
         3d:63:42:a4:b0:5d:c4:12:8e:b0:87:27:c0:04:7e:28:28:7f:
         75:60:93:6a:63:2c:b6:a5:df:28:bd:af:78:ba:60:13:3f:4f:
         e0:12:7e:5d:03:46:6a:00:8c:c4:ad:89:ab:c6:2a:f1:62:d9:
         38:54:0e:9f:9a:68:1b:e8:2e:5f:d5:5b:a3:6e:44:3d:1d:ff:
         9d:90:77:ac:21:09:19:b4:63:2c:4f:d9:33:f7:77:f6:bb:bb:
         4a:8a:5d:50:37:22:26:4c:0f:7f:fa:28:4f:2a:02:88:9a:46:
         11:c2:77:a2:0d:65:21:06:56:c4:83:5f:a8:8d:6e:4c:e9:44:
         c6:02:d7:8a

Проверьте Subject:

  • Порядок полей должен соответствовать таблице

  • Значения должны быть указаны латиницей

Если вы допустили ошибку, можно пересоздать файл .csr из уже имеющегося приватного ключа .key.

3. Получить сертификат

С почты уполномоченного лица по договору Sber API отправьте файл .csr в службу поддержки supportdbo2@sberbank.ru с просьбой выпустить сертификат.

В письме укажите ваш client_id и стенд для которого нужно выпустить сертификат.

В ответ поддержка пришлет сертификат certificate.cer.

4. Создать контейнер PFX

PKCS#12 — это своего рода "сейф" защищенный паролем, в котором обычно содержатся все необходимые для работы элементы.

Для создания полноценного PKCS#12 контейнера (файл .pfx), содержащего приватный ключ, сертификат и цепочку доверия, выполните следующие шаги:

  1. Скачайте цепочку сертификатов:

  1. Распакуйте архив в директорию с вашими файлами

  2. Убедитесь, что в директории находятся:

  • private.key - ваш приватный ключ

  • certificate.cer - ваш сертификат

  • root.crt - корневой сертификат

  • intermediate.crt - промежуточный сертификат

Выполните команду:

openssl pkcs12 -export -inkey private.key -in certificate.cer -certfile intermediate_test.crt -certfile root_test.crt -out tls.pfx

Для некоторого ПО, например insomnia, может потребоваться собрать контейнер с определенными алгоритмами:

openssl pkcs12 -export -inkey private.key -in certificate.cer -certfile intermediate_test.crt -certfile root_test.crt -out tls.pfx -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES

В процессе выполнения потребуется создать пароль для контейнера и подтвердить его:

Enter Export Password:
Verifying - Enter Export Password:

При вводе пароля символы в терминале не отображаются, введите пароль и нажмите enter.

После указания пароля в директории будет создан файл tls.pfx.

Контейнер должен содержать:

  • Закрытый ключ (private.key)

  • Личный сертификат (certificate.cer)

  • Промежуточный сертификат (intermediate.crt)

  • Корневой сертификат (root.crt)

Проверьте PFX

openssl pkcs12 -info -in tls.pfx -noout

Пример выполнения:

MAC Iteration 2048
MAC verified OK  # Целостность данных подтверждена
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag # Сертификат
Certificate bag # Сертификат
Certificate bag # Сертификат
PKCS7 Data

Посмотреть полную структуру с ключом можно с помощью команды:

openssl pkcs12 -in tls.pfx -info -nodes

Пример выполнения:

MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
    localKeyID: 33 40 F5 0F B6 CA E5 5D 44 57 A7 86 BA 36 8C 5D D4 67 AD 02 
subject=/CN=CI02745214-IFT-20116/OU=sm/OU=sbbapi-client-1y/OU=4030347430/OU=CI02741778/O=OOO TEST/L=Moscow/ST=Moscow/C=RU
issuer=/C=RU/ST=Moscow/L=Moscow/O=Sberbank of Russia/OU=SberAPI/CN=SberAPI CA Internal Test
-----BEGIN CERTIFICATE-----
MIIHqzCCBZOgAwIBAgIUd3craC6HTztQuIyBdd/S1vUXY5kwDQYJKoZIhvcNAQEL
BQAwgYExCzAJBgNVBAYTAlJVMQ8wDQYDVQQIDAZNb3Njb3cxDzANBgNVBAcMBk1v
c2NvdzEbMBkGA1UECgwSU2JlcmJhbmsgb2YgUnVzc2lhMRAwDgYDVQQLDAdTYmVy
QVBJMSEwHwYDVQQDDB...
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=RU/O=Sberbank of Russia/CN=SberCA Test Ext G2
issuer=/C=RU/O=Sberbank of Russia/CN=SberCA Test Root Ext
-----BEGIN CERTIFICATE-----
MIIHMDCCBRigAwIBAgIQVnerP9ykL/7ZiwH5fkv9ujANBgkqhkiG9w0BAQsFADBJ
MQswCQYDVQQGEwJSVTEbMBkGA1UECgwSU2JlcmJhbmsgb2YgUnVzc2lhMR0wGwYD
VQQDDBRTYmVyQ0EgV...
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=RU/O=Sberbank of Russia/CN=SberCA Test Root Ext
issuer=/C=RU/O=Sberbank of Russia/CN=SberCA Test Root Ext
-----BEGIN CERTIFICATE-----
MIIF0TCCA7mgAwIBAgIJANvxJKHnfCfnMA0GCSqGSIb3DQEBCwUAMEkxCzAJBgNV
BAYTAlJVMRswGQYDVQQKDBJTYmVyYmFuayBvZiBSdXNzaWExHTAbBgNVBAMMFFNi
ZXJDQSBUZXN0IFJvb3QgRXh0MB4XDTIxMDgxMzEzMTA0MVoXDTQxMDgwODEzMTA0
MVowSTELMAkG...
-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    localKeyID: 33 40 F5 0F B6 CA E5 5D 44 57 A7 86 BA 36 8C 5D D4 67 AD 02 
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDFd8Ax4XI0W+Np
wYUwsu2f+y0DHV2G22GsppZLFuadQhM0WjFV8MGmoe/qTnSr20u3OczQKGkISEO7
ZaPLOCkZQuf17L7LCPv0oVhyJoO/jXxjg7ESJPitHKnQFYh08z6cjpg3WfAwWRzB
NB6BnseMIGnW4AywIE4Czn...
-----END PRIVATE KEY-----

Заметили ошибку?

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней

Это полезный материал?
Развернуть
ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера.