SSLmentor

SSL/TLS certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

Generování klíčů a žádosti o certifikát v OpenSSL

Vytvoření privátního klíče a žádosti o certifikát (veřejný klíč) lze v OpenSSL vyřeši jedním příkazem a zadáním potřebných informací.

OpenSSL

Pro práci s certifikáty je potřeba mít nainstalovánu knihovnu OpenSSL. Na stránce OpenSSL pro Windows a Mac OSX naleznete návod a odkazy ke stažení.

Generování klíčů

Příkaz vytvoří současně privátní klíč a také žádost o certifikát. Pro umístění souborů do jiného adresáře je nutné specifikovat cestu.

OpenSSL> req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr

Pro generování klíčů a žádosti o certifikát je důležité, aby žádost obsahovala správné informace, jako je název domény a další požadované data. Text "OpenSSL>" označuje začátek řádku, do příkazu se neuvádí.
 

OpenSSL - generování certifikátu

Zadávané informace v žádosti o certifikát

Při generování klíčů se zadávají následující informace (za šipkou je uveden příklad vyplnění).

  • Common name [CN]: název domény -> www.domenaxyz.cz
  • Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
  • Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
  • City/locality [L]: město -> Brno
  • State/province [S]: stát, provincie -> Czech republic
  • Country/region [C]: kód země podle normy ISO -> CZ
  • Key Size: 2048 bit

Název domény doporučujeme zadat přesně jak je nastaveno na serveru a zobrazuje se v prohlížeči. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multi-doménových certifikátů se obě varianty nevkládají.

Country/region [C]:
  • CZ - Česká republika
  • SK - Slovensko
  • HU - Maďarsko
  • AT - Rakousko
  • PL - Polsko
  • DE - Německo
  • GB - Velká Británie

Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.

Přehled ISO kódů států naleznete na stránkách International Organization for Standardization www.iso.org.

Minimum informací pro DV certifikáty

Doménové certifikáty (DV) obsahují pouze informaci o doméně a veškeré další vložené data v žádosti jsou smazány. Informace v subjektu vystaveného SSL certifikátu například u Comodo PositiveSSL jsou pouze:

  • CN = domenaxyz.cz
  • OU = PositiveSSL
  • OU = Domain Control Validated

Minimum informací, které je nutné zadat aby byl certifikát vystaven jsou Common name [CN] a Country/region [C]. Doporučujeme však vyplnit všechny informace z důvodu možného odmítnutí žádosti ze strany některé certifikační autority.