Generování žádosti o certifikát (CSR)
Pro zajištění bezpečné HTTPS komunikace na internetu je nutné mít na serveru (hostingu) privátní a veřejný klíč, které se využívají v asymetrické kryptografii. V případě internetové komunikace klíče slouží k navázání bezpečného spojení mezi prohlížečen a serverem. Veřejný klíč potvrzuje důvěryhodná certifikační autorita, které se dodává žádost o certifikát CSR (Certificate Signing Request). Žádost CSR obsahuje kromě veřejného klíče i další informace o žadateli a doméně. Existují různé možnosti generování klíčů.
Jednoduché generování žádosti o certifikát v administraci SSLmentor
Po objednání SSL certifikátu lze snadno vygenerovat žádost o certifikát včetně veřejného klíče v detailu certifikátu. Generování se nachází v Administraci Detail certifikátu -> Informace o objednávce -> CSR: -> Upravit
. Volbou upravit se nabídne stránka Editace CSR certifikátu, kde je možné vložit vlastní žádost nebo zvolit Vygenerovat nové CSR z údajů žadatele certifikátu.

Pro vygenerování žádosti zvolte Vygenerovat nové CSR z údajů žadatele certifikátu.
Objednávky firemního nebo EV certifikátu nabízí volbu úpravy položky Oddělení (Organization unit [OU]) podle vlastního uvážení. Doménové certifikáty (DV) umožňují pouze vygenerovat klíče, položku [OU] nelze využít.

Privátní klíč a žádost s veřejným klíčem
Potvrzením formuláře systém vygeneruje privátní klíč ve formátu PEM (X.509) a žádost CSR s veřejným klíčem. Z důvodu bezpečnosti privátní klíč na naší straně neukládáme! Je nutné si klíč zkopírovat a uložit do souboru (např. key.txt nebo private.key) a to včetně pomlček na začátku a na konci! Nejlépe v nějakém textovém programu jako Notepad, Notepad++ či PSPAD.
Pro vložení žádosti (CSR) do objednávky je nutné ještě formulář potvrdit kliknutím na tlačítko ODESLAT, které žádost uloží.

Jekmile bude certifikát autoritou vystaven, na e-mail technického kontaktu bude zaslán certifikát společně s dalšími certifikáty autority. Tyto certifikáty, včetně privátního klíče, se nainstalují na server, kde je hostována doména pro kterou byl certifikát objednán. Pokud se vám o server stará dodavatel, veškeré obdržené soubory doporučujeme "zazipovat" s ochranou hesla a poté zaslat k nainstalování.
Dodání vlastní žádosti CSR
Generování klíčů a žádosti si můžete zajistit také sami nebo požádat o dodání administrátora serveru/dodavatele. Důležité je, aby žádost obsahovala správné informace, jako je název domény a další požadované data.
Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):
- Common name [CN]: název domény -> www.sslmentor.cz
- Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
- Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
- City/locality [L]: město -> Brno
- State/province [S]: stát, provincie -> Czech republic
- Country/region [C]: kód země podle normy ISO -> CZ
- Key Size: 2048 bit
Název domény musí být uveden přesně jak je požadováno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů toto neplatí.
Maximální počet znaků pro Common name [CN] a Organization [O] je 64. Další pravidla se můžete dozvědět na stránce Baseline requirements and RFC 5280 Violations.
Generování žádosti o certifikát v OpenSSL
Zkušení uživatelé mohou klíče generovat v knihovně OpenSSL. Podrobnější návod na generování naleznete v nápovědě Generování klíčů v OpenSSL.
Generování CSR na serveru Apache s OpenSSL
Pro ukázku uvádíme příkaz, který vytvoří současně privátní klíč a také žádost o certifikát. Pro úspěšné vygenerování bude potřeba zadat název domény a informace o žadateli uvedené výše.
openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr