SSLmentor

SSL certifikáty pro zabezpečení www stránek! 6 certifikačních autorit, přes 50 druhů SSL certifikátů v nabídce.

Generování žádosti o certifikát (CSR)

Pro zajištění bezpečné HTTPS komunikace na internetu je nutné mít privátní a veřejný klíč, který se využívá v asymetrické kryptografii. Veřejný klíč potvrzuje certifikační autorita, které se dodává žádost CSR (Certificate Signing Request). Existují různé možnosti generování klíčů.

Jednoduché generování žádosti o certifikát v administraci SSLmentor

Po objednání SSL certifikátu lze snadno vygenertovat žádost o certifikát včetně veřejného klíče v detailu certifikátu. Generování se nachází v Administraci Detail certifikátu -> Informace o objednávce -> CSR: -> Upravit. Volbou upravit se nabídne stránka Editace CSR certifikátu, kde je možné vložit vlastní žádost nebo zvolit Vygenerovat nové CSR z údajů žadatele certifikátu.

Pro vygenerování žádosti zvolte Vygenerovat nové CSR z údajů žadatele certifikátu.
Objednávky firemního nebo EV certifikátu nabízí volbu úpravy úpravy položky Oddělení (Organization unit [OU]) podle vlastního uvážení. Doménové certifikáty umožňují pouze vygenerovat klíče.

Vygenerovat nové CSR z údajů žadatele certifikátu

Privátní klíč a žádost s veřejným klíčem

Potvrzením formuláře systém vygeneruje privátní klíč ve formátu PEM (X.509) a žádost CSR s veřejným klíčem. Z důvodu bezpečnosti privátní klíč na naší straně neukládáme! Je nutné si klíč zkopírovat a uložit do souboru (např. key.txt nebo private.key) a to včetně pomlček na začátku a na konci! Nejlépe v nějakém textovém programu jako Notepad, Notepad++ či PSPAD.
Pro vložení žádosti (CSR) do objednávky je nutné ještě formulář potvrdit kliknutím na tlačítko ODESLAT, které žádost uloží.

Generování privátního klíče a žádosti o certifikát

Jekmile bude certifikát autoritou vystaven, na e-mail technického kontaktu bude zaslán certifikát společně s dalšími certifikáty autority. Tyto certifikáty, včetně privátního klíče, se nainstalují na server, kde je hostována doména pro kterou byl certifikát objednán. Pokud se vám o server stará dodavatel, veškeré obdržené soubory doporučujeme "zazipovat" s ochranou hesla a poté zaslat k nainstalování.

Dodání vlastní žádosti CSR

Generování klíčů a žádosti si můžete zajistit také sami nebo požádat o dodání administrátora serveru/dodavatele. Důležité je, aby žádost obsahovala správné informace, jako je název domény a další požadované data.

Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):

  • Common name [CN]: název domény -> www.sslmentor.cz
  • Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
  • Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
  • City/locality [L]: město -> Brno
  • State/province [S]: stát, provincie -> Czech republic
  • Country/region [C]: kód země podle normy ISO -> CZ
  • Key Size: 2048 bit

Název domény musí být uveden přesně jak je požadováno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů toto neplatí.

Generování žádosti o certifikát v OpenSSL

Zkušení uživatelé mohou klíče generovat v knihovně OpenSSL. Podrobnější návod na generování naleznete v nápovědě Generování klíčů v OpenSSL.

Generování CSR na serveru Apache s OpenSSL

Pro ukázku uvádíme příkaz, který vytvoří současně privátní klíč a také žádost o certifikát. Pro úspěšné vygenerování bude potřeba zadat název domény a informace o žadateli uvedené výše.

openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr
SSLmentor doporučuje

Algoritmus SHA-2

Speciálně při generování certifikátů na starších IIS (Windows Server) nezapomeňte při generování CSR zvolit algoritmus SHA-2. Certifikáty vystavené s SHA-1 nebude možné vystavit.

SSL služby