OpenSSL - generování klíčů a žádosti o certifikát
Vytvoření privátního klíče a žádosti o certifikát (veřejný klíč) lze v OpenSSL vyřeši jedním příkazem a zadáním potřebných informací. Generování žádosti o certifikát (CSR) a privátního klíče je také možné jednoduše provést v zákaznické administraci SSLmentor.
OpenSSL
Pro práci s certifikáty je potřeba mít nainstalovánu knihovnu OpenSSL. Na stránce OpenSSL pro Windows a Mac OSX naleznete návod a odkazy ke stažení.
Generování žádosti o certifikát (CSR) a privátního klíče
Příkaz vytvoří současně privátní klíč a také žádost o certifikát. Pro umístění souborů do jiného adresáře je nutné specifikovat cestu.
openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key
Pro generování klíčů a žádosti o certifikát je důležité, aby žádost obsahovala správné informace. Volba rsa:2048 znamená nastavení délky klíče. Pro vyšší bezpečnost je možné nastavit rsa:3072 nebo rsa:4096.
Důležité! Vždy musíte vyplnit název domény a kód země dle ISO normy. Položku "A challenge password" necháváte prázdnou!

Ověření žádosti o certifikát (CSR)
Pro ověření, zda je CSR (Certificate Signing Request) správný můžeme spustit příkaz s přidaným parametrem "-verify". Je vhodné provést ověření před odesláním žádosti certifikační autoritě. Případně doporučujeme otestovat CSR pomocí online služby Check your CSR.
openssl req -in request.csr -text -noout -verify
Zadávané informace v žádosti o certifikát
Při generování klíčů se zadávají následující informace (za šipkou je uveden příklad vyplnění).
- Common name [CN]: název domény -> www.domenaxyz.cz
- Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
- Organizational unit [OU]: oddělení společnosti -> internet / e-shop / it / ...
- City/locality [L]: město -> Brno
- State/province [S]: stát, provincie -> Czech republic
- Country/region [C]: kód země podle normy ISO -> CZ
- Key Size: 2048 bit
Název domény doporučujeme zadat přesně jak je nastaveno na serveru a zobrazuje se v prohlížeči. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multi-doménových certifikátů se obě varianty nevkládají.
Maximální počet znaků pro Common name [CN] a Organization [O] je 64. Další pravidla se můžete dozvědět na stránce Baseline requirements and RFC 5280 Violations.
Country/region [C]:
- CZ - Česká republika
- SK - Slovensko
- HU - Maďarsko
- AT - Rakousko
- PL - Polsko
- DE - Německo
- GB - Velká Británie
Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.
Přehled ISO kódů států naleznete na stránkách International Organization for Standardization www.iso.org.
Co je to Challenge password?
Při generování certifikátu je nabídnuto vložení "A challenge password". Vždy nechejte prázdné, jinak certifikační autorita odmítne objednávku. Challenge password je definován v RFC 2985 jeko heslo pro odvolání certifikátu.
Minimum informací pro DV certifikáty
Doménové certifikáty (DV) obsahují pouze informaci o doméně a veškeré další vložené data v žádosti jsou certifikační autoritou smazány.
Například informace v subjektu SSL certifikátu PositiveSSL jsou pouze:
- CN = domenaxyz.cz
- OU = PositiveSSL
- OU = Domain Control Validated
Minimum informací, které je nutné zadat u doménových certifikátů aby byl certifikát vystaven, jsou Common name [CN] a Country/region [C]. Doporučujeme však vyplnit všechny informace z důvodu možného odmítnutí žádosti ze strany některé certifikační autority.
Kam dále?
Zpět na Nápovědu
Našli jste chybu nebo nečemu nerozumíte? Napiště nám!