Чтобы не компрометировать приватный ключ,  запрос на сертификат нужно прислать ввиде .csr файла

В статье показано 2 способа генерации .csr файла:

1. Через Microsoft Management Console (ММС)
2. Через утилиту OpenSSL

1. Генерация запроса на сертификат через MMC:

1.1. В оболочке управления сертификатами раскройте хранилище "Личное" и нажмите ПКМ по пункту "Сертификаты". Далее, раскройте меню "Все задачи", раскройте меню "Дополнительные операции" и нажмите на пункт "Создать настраиваемый запрос...".

1.2. Выберите пункт "Продолжить без политики регистрации" и нажмите далее:

1.3. Выберите шаблон "Ключ CNG" и формат PKCS #10, затем нажмите "Далее":

1.4. В следующем окне раскройте "Подробности" и нажмите на пункт "Свойства":

1.5. Во вкладке "Субъект" задайте необходимые значения для CN, O, OU, S, L, C и SAN:

1.6. Во вкладке "Закрытый ключ" раскройте меню "Параметры ключа". Выберите необходимую длину ключа (но не менее чем 2048). Отметьте опцию "Сделать закрытый ключ экспортируемым". Раскройте меню "Выберите хэш-алгоритм" и укажите хэш-алгоритм (рекомендуются алгоритмы sha256 или sha512):

1.7. Во вкладке "Расширения" выберите расширения сертификата:

1.8. Закройте окно свойств при помощи пункта "Применить". Нажмите "Далее":

1.9. Выберите расположение и название файла запроса сертификата. Используйте формат "Base64". Нажмите "Готово":

1.10. Сгенерированный запрос в формате .csr отправьте нам через портал технической поддержки или на почту support@indeed-id.com.

1.11. Неподписанный сертификат с приватным ключом будет находится в хранилище "Запросы заявок на сертификат":

2. Генерация сертификата при помощи OpenSSL:

2.1. Необходимо загрузить и установить утилиту OpenSSL

2.2. Для Linux, переходим к следующему пункту. Для Windows, предварительно перейдите в директорию с установленным OpenSSL. Исполняемый .exe файл находится в каталоге bin. Запуск утилиты возможно осуществить как через .exe, так и при помощи терминала cmd/powershell.

2.3. Для генерации приватного ключа, выполните команду:

openssl genrsa -out private.key 2048

Где private.key - файл приватного ключа, 2048 - длина ключа. Длину рекомендуется использовать не менее, чем 2048.

2.4. Для генерации запроса на сертификат, подписанного приватным ключом, выполните команду:

openssl req -new -key private.key -out domain_name.csr -sha256

Где domain_name.csr - файл запроса сертификата, -sha256 - алгоритм шифрования. Если не указать алгоритм, будет использовать алгоритм по умолчанию из файла конфигурации OpenSSL.

2.5. В результате выполнения команды, будет запущен скрипт, в котором необходимо будет указать значения CN, O, OU, S, L, и C. Если Вы хотите пропустить заполнения значения, используйте символ ".". Для сертификата обязательно нужно указать корректный CN, представляющий из себя FQDN сервера.

2.6. Сгенерированный запрос в формате .csr отправьте нам через портал технической поддержки или на почту support@indeed-id.com.