Generování klíčů a žádosti o certifikát v OpenSSL
Vytvoření žádosti o certifikát a privátního klíče lze v OpenSSL vyřešit jedním příkazem a zadáním potřebných informací.
OpenSSL
Pro práci s certifikáty je potřeba mít nainstalovanou knihovnu OpenSSL. Na stránce OpenSSL pro Windows a Mac OSX naleznete návod a odkazy ke stažení.
Generování žádosti o certifikát (CSR) a privátního klíče
Příkaz vytvoří současně privátní klíč a také žádost o certifikát. Pro umístění souborů do jiného adresáře je nutné specifikovat cestu.
openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key
Pokud raději pracujete s TXT soubory.
openssl req -new -newkey rsa:2048 -nodes -out csr.txt -keyout key.txt
Pro generování klíčů a žádostí o SSL certifikát je důležité, aby žádost obsahovala správné informace, jako je název domény a další požadovaná data. Volba rsa:2048 znamená nastavení délky klíče. Pro vyšší bezpečnost lze nastavit rsa:3072 nebo rsa:4096.
Důležité!- Vždy musíte vyplnit název domény a kód země podle ISO normy.
- Položku "A challenge password" necháváte prázdnou!
Ověření žádosti o certifikát (CSR)
Pro ověření, zda je CSR (Certificate Signing Request) správný můžeme spustit příkaz s přidaným parametrem "-verify". Je vhodné provést ověření před odesláním žádosti certifikační autoritě. Případně doporučujeme otestovat CSR pomocí online služby Check your CSR od společnosti DigiCert.
openssl req -in request.csr -text -noout -verify
Zadávané informace v žádosti o certifikát
Pro generování klíčů a žádosti o certifikát je důležité, aby žádost obsahovala správné informace, jako je název domény a další požadovaná data.
Při generování se zadávají následující informace (za šipkou je uveden příklad vyplnění):
- Common name [CN]: název domény -> www.domenaxyz.cz
- Organization [O]: přesné jméno firmy, majitele domény -> Web security s.r.o.
- Organizational unit [OU]: již se nevyplňuje
- City/locality [L]: město -> Praha
- State/province [S]: stát, provincie -> Czech republic
- Country/region [C]: kód země podle normy ISO -> CZ
- Key Size: 2048 bit
Název domény doporučujeme zadat přesně jak je nastaveno. I když certifikační autority vkládají zdarma do certifikátu pro jednu doménu obě varianty, tedy tvar s a bez www před názvem domény, u multidoménových certifikátů se obě varianty nevkládají.
Country/region [C]:
Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.
- CZ - Česká republika
- SK - Slovensko
- HU - Maďarsko
- AT - Rakousko
- PL - Polsko
- DE - Německo
- GB - Velká Británie
Kód země je nutné zadat přesně podle ISO a to VELKÝMI PÍSMENY.
Přehled ISO kódů států naleznete na stránkách International Organization for Standardization www.iso.org.
Minimum informací pro DV certifikáty
Doménové certifikáty (DV) obsahují pouze informaci o doméně a všechna další vložená data v žádosti jsou smazána. Informace v subjektu certifikátu u Comodo positiveSSL jsou pouze:
- CN = domenaxyz.cz
- OU = PositiveSSL
- OU = Domain Control Validated
Minimum informací, které je nutné zadat aby byl certifikát vystaven jsou Common name [CN] a Country/region [C]. Doporučujeme však vyplnit všechny informace z důvodu možného odmítnutí žádosti ze strany některé certifikační autority.
Kam dál?
Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!