Generování žádosti o certifikát (CSR)

Pro zajištění bezpečné HTTPS komunikace na internetu je nutné mít na serveru (hostingu) privátní a veřejný klíč, které se využívají v asymetrické kryptografii. V případě internetové komunikace klíče slouží k navázání bezpečného spojení mezi prohlížečen a serverem. Veřejný klíč potvrzuje důvěryhodná certifikační autorita, které se dodává žádost o certifikát CSR (Certificate Signing Request). Žádost CSR obsahuje kromě veřejného klíče i další informace o žadateli a doméně. Existují různé možnosti generování klíčů.

Jednoduché generování žádosti o certifikát v administraci SSLmentor

Po objednání SSL certifikátu lze snadno vygenerovat žádost o certifikát včetně veřejného klíče v detailu certifikátu. Generování se nachází v Administraci Detail certifikátu -> Informace o objednávce -> CSR: -> Upravit. Volbou upravit se nabídne stránka Editace CSR certifikátu, kde je možné vložit vlastní žádost nebo zvolit Vygenerovat nové CSR z údajů žadatele certifikátu.

Pro vygenerování žádosti zvolte Vygenerovat nové CSR z údajů žadatele certifikátu.
Objednávky firemního nebo EV certifikátu nabízí volbu úpravy položky Oddělení (Organization unit [OU]) podle vlastního uvážení. Doménové certifikáty (DV) umožňují pouze vygenerovat klíče, položku [OU] nelze využít.

Privátní klíč a žádost s veřejným klíčem

Potvrzením formuláře systém vygeneruje privátní klíč ve formátu PEM (X.509) a žádost CSR s veřejným klíčem. Z důvodu bezpečnosti privátní klíč na naší straně neukládáme! Je nutné si klíč zkopírovat a uložit do souboru (např. key.txt nebo private.key) a to včetně pomlček na začátku a na konci! Nejlépe v nějakém textovém programu jako Notepad, Notepad++ či PSPAD.
Pro vložení žádosti (CSR) do objednávky je nutné ještě formulář potvrdit kliknutím na tlačítko ODESLAT, které žádost uloží.

Jekmile bude certifikát autoritou vystaven, na e-mail technického kontaktu bude zaslán certifikát společně s dalšími certifikáty autority. Tyto certifikáty, včetně privátního klíče, se nainstalují na server, kde je hostována doména pro kterou byl certifikát objednán. Pokud se vám o server stará dodavatel, veškeré obdržené soubory doporučujeme "zazipovat" s ochranou hesla a poté zaslat k nainstalování.

Dodání vlastní žádosti CSR

Generování klíčů a žádosti si můžete zajistit také sami nebo požádat o dodání administrátora serveru/dodavatele. Důležité je, aby žádost obsahovala správné informace, jako je název domény a další požadované data.

Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):

• Common name [CN]: název domény -> www.sslmentor.cz
• Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
• Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
• City/locality [L]: město -> Brno
• State/province [S]: stát, provincie -> Czech republic
• Country/region [C]: kód země podle normy ISO -> CZ
• Key Size: 2048 bit

Název domény musí být uveden přesně jak je požadováno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů toto neplatí.

Maximální počet znaků pro Common name [CN] a Organization [O] je 64. Další pravidla se můžete dozvědět na stránce Baseline requirements and RFC 5280 Violations.

Generování žádosti o certifikát v OpenSSL

Zkušení uživatelé mohou klíče generovat v knihovně OpenSSL. Podrobnější návod na generování naleznete v nápovědě Generování klíčů v OpenSSL.

Generování CSR na serveru Apache s OpenSSL

Pro ukázku uvádíme příkaz, který vytvoří současně privátní klíč a také žádost o certifikát. Pro úspěšné vygenerování bude potřeba zadat název domény a informace o žadateli uvedené výše.

openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr