OpenSSL - generování klíčů a žádosti o certifikát

Vytvoření privátního klíče a žádosti o certifikát (veřejný klíč) lze v OpenSSL vyřeši jedním příkazem a zadáním potřebných informací. Generování žádosti o certifikát (CSR) a privátního klíče je také možné jednoduše provést v zákaznické administraci SSLmentor.

OpenSSL

Pro práci s certifikáty je potřeba mít nainstalovánu knihovnu OpenSSL. Na stránce OpenSSL pro Windows a Mac OSX naleznete návod a odkazy ke stažení.

Generování žádosti o certifikát (CSR) a privátního klíče

Příkaz vytvoří současně privátní klíč a také žádost o certifikát. Pro umístění souborů do jiného adresáře je nutné specifikovat cestu.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Pro generování klíčů a žádosti o certifikát je důležité, aby žádost obsahovala správné informace. Volba rsa:2048 znamená nastavení délky klíče. Pro vyšší bezpečnost je možné nastavit rsa:3072 nebo rsa:4096.
Důležité! Vždy musíte vyplnit název domény a kód země dle ISO normy. Položku "A challenge password" necháváte prázdnou!
 

Ověření žádosti o certifikát (CSR)

Pro ověření, zda je CSR (Certificate Signing Request) správný můžeme spustit příkaz s přidaným parametrem "-verify". Je vhodné provést ověření před odesláním žádosti certifikační autoritě. Případně doporučujeme otestovat CSR pomocí online služby Check your CSR.

openssl req -in request.csr -text -noout -verify

Zadávané informace v žádosti o certifikát

Při generování klíčů se zadávají následující informace (za šipkou je uveden příklad vyplnění).

• Common name [CN]: název domény -> www.domenaxyz.cz
• Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
• Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
• City/locality [L]: město -> Brno
• State/province [S]: stát, provincie -> Czech republic
• Country/region [C]: kód země podle normy ISO -> CZ
• Key Size: 2048 bit

Název domény doporučujeme zadat přesně jak je nastaveno na serveru a zobrazuje se v prohlížeči. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multi-doménových certifikátů se obě varianty nevkládají.

Maximální počet znaků pro Common name [CN] a Organization [O] je 64. Další pravidla se můžete dozvědět na stránce Baseline requirements and RFC 5280 Violations.

Country/region [C]:

• CZ - Česká republika
• SK - Slovensko
• HU - Maďarsko
• AT - Rakousko
• PL - Polsko
• DE - Německo
• GB - Velká Británie

Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.

Přehled ISO kódů států naleznete na stránkách International Organization for Standardization www.iso.org.

Co je to Challenge password?

Při generování certifikátu je nabídnuto vložení "A challenge password". Vždy nechejte prázdné, jinak certifikační autorita odmítne objednávku. Challenge password je definován v RFC 2985 jeko heslo pro odvolání certifikátu.

Minimum informací pro DV certifikáty

Doménové certifikáty (DV) obsahují pouze informaci o doméně a veškeré další vložené data v žádosti jsou certifikační autoritou smazány.
Například informace v subjektu SSL certifikátu PositiveSSL jsou pouze:

• CN = domenaxyz.cz
• OU = PositiveSSL
• OU = Domain Control Validated

Minimum informací, které je nutné zadat u doménových certifikátů aby byl certifikát vystaven, jsou Common name [CN] a Country/region [C]. Doporučujeme však vyplnit všechny informace z důvodu možného odmítnutí žádosti ze strany některé certifikační autority.