Generovanie kľúčov a žiadosti o certifikát v OpenSSL

Vytvorenie žiadosti o certifikát a privátneho kľúča možno v OpenSSL vyrieši jedným príkazom a zadaním potrebných informácií.

OpenSSL

Pre prácu s certifikátmi je potreba mať nainštalovanú knižnicu OpenSSL. Na stránke OpenSSL pro Windows a Mac OSX nájdete návod a odkazy na stiahnutie.

Generovanie žiadosti o certifikát (CSR) a privátneho kľúča

Príkaz vytvorí súčasne privátny kľúč a tiež žiadosť o certifikát. Pre umiestnenie súborov do iného adresára je nutné špecifikovať cestu.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Pre generovanie kľúčov a žiadosti o SSL certifikát je dôležité, aby žiadosť obsahovala správne informácie, ako je názov domény a ďalšie požadované dáta. Voľba rsa:2048 znamená nastavenie dĺžky kľúča. Pre vyššiu bezpečnosť je možné nastaviť rsa:3072 alebo rsa:4096.
Dôležité! Vždy musíte vyplniť názov domény a kód krajiny podľa ISO normy. Položku "A challenge password" necháváte prázdnu!

Overenie žiadosti o certifikát (CSR)

Pre overenie, či je CSR (Certificate Signing Request) správny môžeme spustiť príkaz s pridaným parametrom "-verify". Je vhodné vykonať overenie pred odoslaním žiadosti certifikačnej autorite. Prípadne odporúčame otestovať CSR pomocou online služby Check your CSR od spoločnosti DigiCert.

openssl req -in request.csr -text -noout -verify

Zadávané informácie v žiadosti o certifikát

Pre generovanie kľúčov a žiadosti o certifikát je dôležité, aby žiadosť obsahovala správne informácie, ako je názov domény a ďalšie požadované dáta.

Pri generovaní sa zadávajú nasledujúce informácie (za šípkou je uvedený príklad vyplnenie):

• Common name [CN]: názov domény -> www.domenaxyz.sk
• Organization [O]: presné méno firmy, majiteľa domény -> Web security s.r.o.
• Organizational unit [OU]: oddelenie spoločnosti -> internet/e-shop/it/...
• City/locality [L]: mesto -> Bratislava
• State/province [S]: štát, provincia -> Slovakia
• Country/region [C]: kód krajiny podľa normy ISO -> SK
• Key Size: 2048 bit

Názov domény odporúčame zadať presne ako je nastavené. Aj keď certifikačnej autority vkladajú zdarma do certifikátu pre jednu doménu obe varianty, teda tvar s a bez www pred názvom domény, u multidoménových certifikátov sa obe varianty nevkladajú.

Country/region [C]:

Kód krajiny je nutné zadať presne podľa ISO a to VEĽKÝMI PÍSMENAMI.

• SK - Slovensko
• CZ - Česká republika
• HU - Maďarsko
• AT - Rakousko
• PL - Polsko
• DE - Německo
• GB - Velká Británie

Kód krajiny je nutné zadať presne podľa ISO a to VEĽKÝMI PÍSMENAMI.
Prehľad ISO kódov štátov nájdete na stránkach International Organization for Standardization www.iso.org.

Minimum informácií pre DV certifikáty

Doménové certifikáty (DV) obsahujú len informáciu o doméne a všetky ďalšie vložené dáta v žiadosti sú zmazané. Informácie v subjektu certifikátu u Comodo positiveSSL sú iba:

• CN = domenaxyz.cz
• OU = PositiveSSL
• OU = Domain Control Validated

Minimum informácií, ktoré je nutné zadať aby bol certifikát vystavený sú Common name [CN] a Country/región [C]. Odporúčame však vyplniť všetky informácie z dôvodu možného odmietnutia žiadosti zo strany niektorej certifikačnej autority.

---

Kam ďalej?

• OpenSSL pre Windows a Mac
• Kontrola privátneho a verejného kľúča
• Export certifikátu do PFX
• Kontrola žiadosti o certifikát (CSR)
• Formáty certifikátov (PEM, KEY, CSR, PFX, ...)