SSLmentor

Kvalitní TLS/SSL certifikáty pro webové stránky a internetové projekty.

Administrace
openssl

openssl

Generování klíčů a žádosti o certifikát v OpenSSL

Vytvoření žádosti o certifikát a privátního klíče lze v OpenSSL vyřešit jedním příkazem a zadáním potřebných informací.

OpenSSL

Pro práci s certifikáty je potřeba mít nainstalovanou knihovnu OpenSSL. Na stránce OpenSSL pro Windows a Mac OSX naleznete návod a odkazy ke stažení.

Generování žádosti o certifikát (CSR) a privátního klíče

Příkaz vytvoří současně privátní klíč a také žádost o certifikát. Pro umístění souborů do jiného adresáře je nutné specifikovat cestu.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Pokud raději pracujete s TXT soubory.

openssl req -new -newkey rsa:2048 -nodes -out csr.txt -keyout key.txt

Pro generování klíčů a žádostí o SSL certifikát je důležité, aby žádost obsahovala správné informace, jako je název domény a další požadovaná data. Volba rsa:2048 znamená nastavení délky klíče. Pro vyšší bezpečnost lze nastavit rsa:3072 nebo rsa:4096.

Důležité!
  • Vždy musíte vyplnit název domény a kód země podle ISO normy.
  • Položku "A challenge password" necháváte prázdnou!
OpenSSL - Generování klíčů

Ověření žádosti o certifikát (CSR)

Pro ověření, zda je CSR (Certificate Signing Request) správný můžeme spustit příkaz s přidaným parametrem "-verify". Je vhodné provést ověření před odesláním žádosti certifikační autoritě. Případně doporučujeme otestovat CSR pomocí online služby Check your CSR od společnosti DigiCert.

openssl req -in request.csr -text -noout -verify

Zadávané informace v žádosti o certifikát

Pro generování klíčů a žádosti o certifikát je důležité, aby žádost obsahovala správné informace, jako je název domény a další požadovaná data.

Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):

  • Common name [CN]: název domény -> www.domenaxyz.cz
  • Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
  • Organizational unit [OU]: již se nevyplňuje
  • City/locality [L]: město -> Praha
  • State/province [S]: stát, provincie -> Czech republic
  • Country/region [C]: kód země podle normy ISO -> CZ
  • Key Size: 2048 bit

Název domény doporučujeme zadat přesně jak je nastaveno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů se obě varianty nevkládají.

Country/region [C]:

Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.

  • CZ - Česká republika
  • SK - Slovensko
  • HU - Maďarsko
  • AT - Rakousko
  • PL - Polsko
  • DE - Německo
  • GB - Velká Británie

Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.
Přehled ISO kódů států naleznete na stránkách International Organization for Standardization www.iso.org.

Minimum informací pro DV certifikáty

Doménové certifikáty (DV) obsahují pouze informaci o doméně a všechna další vložená data v žádosti jsou smazána. Informace v subjektu certifikátu u Comodo positiveSSL jsou pouze:

  • CN = domenaxyz.cz
  • OU = PositiveSSL
  • OU = Domain Control Validated

Minimum informací, které je nutné zadat aby byl certifikát vystaven jsou Common name [CN] a Country/region [C]. Doporučujeme však vyplnit všechny informace z důvodu možného odmítnutí žádosti ze strany některé certifikační autority.

Kam dál?

Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum