SSLmentor

TLS/SSL certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

Kontrola žádosti o certifikát (CSR)

K privátnímu klíči náleží veřejný klíč, který je nutné nechat ocertifikovat (ověřit), aby byla nastavena důvěra v systému PKI (Public Key Infrastructure). Veřejný klíč se dodává certifikační autoritě ve formátu CSR (Certificate Signing Request), který obsahuje potřebné informace k vystavení certifikátu. CSR žádost obsahuje název domény, stát, veřejný klíč, dále informace o organizaci, městě, lokalitě.

Z bezpečnostních důvodů nedoporučujeme generovat žádost o certifikát na internetu. Nelze zaručit, že není ukládán privátní klíč pro případné zneužití!
Veřejné generátory CSR také často vkládají reklamu do položky "Organizational unit [OU]:".

On-line kontrola žádosti

Na internetu existuje mnoho stránek s on-line kontrolou žádosti. Pro jednoduché zjištění doporučujeme například.

DigiCert SSL tools - Check your CSR

Nástroje od certifikační autority DigiCert poskytují nejen kontrolu a zobrazení obsahu žádosti o certifikát (CSR), ale také kontrolu CAA záznamu domény nebo například vyhledávání v Certificate Transparency logs.

Kontrola CSR - DigiCert SSL tools

Pozor na výsledek testu "Signature algorithm:". Nesmí obsahovat již nepodporovaný SHA1! Jinak by nebylo možné certifikát vystavit a objednávky by skončila chybou. Klíče se musí generovat s algoritmem SHA2/SHA256 nebo ECC.
Poznámka: SHA-2 je skupina hashovacích funkcí SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256. Pokud tedy někde uvidíte SHA-256 (IIS na Windows), jedná se o algoritmus SHA-2.

Key Size: Síla klíče, doporučená hodnota je 2048 bitů, případně silnější 4096 bitů.

Generování klíčů a žádosti CSR

Objednáním SSL certifikátu na projektu SSLmentor nemusíte řešit generování CSR žádosti o certifikát. Žádost jednoduše vytvoříte po objednání certifikátu. Návod na vygenerování žádosti CSR a současně privátního a veřejného klíče získáte v naší nápovědě Generování žádosti o certifikát (CSR).

SSLmentor doporučuje

Algoritmus SHA-2

Speciálně při generování certifikátů na starších IIS (Windows Server) je problém generovat klíče s algoritmem SHA-2 (SHA-256). Certifikační autority si to uvědomily a během vystavení certifikátu provedou "navýšení" na SHA-2.