Generování žádosti o certifikát (CSR)
K zajištění bezpečné HTTPS komunikace na internetu je nutné mít privátní a veřejný klíč, který se využívá v asymetrické kryptografii. Veřejný klíč potvrzuje certifikační autorita, které se dodává žádost CSR (Certificate Signing Request. Existují různé možnosti generování klíčů.
Jednoduché generování žádosti o certifikát v administraci SSLmentor
Po objednání SSL certifikátu lze snadno vygenertovat žádost o certifikát včetně veřejného klíče v detailu
certifikátu. Generování se nachází v Administraci Detail certifikátu ->
Informace o objednávce -> CSR: -> Upravit
. Volbou upravit se nabídne stránka Editace CSR
certifikátu, kde je možné vložit vlastní žádost nebo zvolit Vygenerovat nové CSR z údajů žadatele
certifikátu.
![Generování CSR v administraci SSLmentor](/images/gif/csr-generate-small.gif)
Pro vygenerování žádosti vyberte Vygenerovat nové CSR z údajů žadatele certifikátu.
Informace pro vytvoření žádosti jsou vkládané z dat objednávky. Pokud máte firemní SSL certifikát a údaje nejsou správné, je potřeba upravit data v detailu objednávky a poté vygenerovat žádost a privátní klíč.
![Vygenerovat nové CSR z údajů žadatele certifikátu](/images/help/csr-generate.png)
Privátní klíč a žádost s veřejným klíčem
Potvrzením formuláře systém vygeneruje privátní klíč ve formátu PEM (X.509) a žádost CSR s veřejným
klíčem. Z důvodu bezpečnosti privátní klíč na naší straně neukládáme! Je nutné si klíč
zkopírovat a uložit do souboru (např. key.txt nebo private.key) a to včetně pomlček na začátku a na
konci! Nejlepší v nějakém textovém programu jako Notepad, Notepad++ či PSPad.
Pro vložení žádosti (CSR) do objednávky je nutné ještě formulář potvrdit kliknutím na tlačítko ODESLAT,
které žádost uloží.
![Generování privátního klíče a žádosti o certifikát](/images/help/csr-generated.png)
Jakmile bude SSL certifikát autoritou vystaven, na vyplněné kontakty bude zaslán nový certifikát společně s dalšími certifikáty autority (tzv. intermediate certifikáty). Tyto certifikáty, včetně privátního klíče, se nainstalují na server, kde je hostována doména pro kterou byl certifikát objednán. Pokud se vám o server stará dodavatel, všechny přijaté soubory doporučujeme "zazipovat" s ochranou hesla a poté zaslat k nainstalování.
Dodání vlastní žádosti CSR
Generování klíčů a žádosti si můžete zajistit také sami nebo požádat o dodání administrátora serveru/dodavatele. Důležité je, aby žádost obsahovala správné informace, jako je název domény a další požadovaná data.
Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):
- Common name [CN]: název domény -> www.domenaxyz.cz
- Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
- Organizational unit [OU]: položka se v certifikátu od roku 2022 neuvádí
- City/locality [L]: město -> Praha
- State/province [S]: stát, provincie -> Česká republika
- Country/region [C]: kód země podle normy ISO -> CZ
- Key Size: 2048 bit
Název domény musí být uveden přesně jak je požadováno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů toto neplatí.
Generování žádosti o certifikát v OpenSSL
Zkušení uživatelé mohou klíče generovat v knihovně OpenSSL. Podrobnější návod ke generování naleznete v nápovědě Generování klíčů v OpenSSL.
Generování CSR na serveru Apache s OpenSSL
Pro ukázku uvádíme příkaz, který vytvoří současně privátní klíč a také žádost o certifikát. Pro úspěšné vygenerování bude třeba zadat název domény a informace o žadateli uvedené výše.
openssl> req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr
Kam dál?
Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!