Generiranje ključeva i zahtjev za potpisivanje certifikata (CSR)

Stvaranje privatnog ključa i zahtjev za certifikat (javni ključ) može se riješiti u OpenSSL-u jednom naredbom i unosom potrebnih informacija. Zahtjev za certifikat (CSR) i generiranje privatnog ključa također se mogu jednostavno izvršiti u administratorskom sučelju SSLmentor-a.

OpenSSL

Za rad s certifikatima potrebno je imati instaliranu OpenSSL biblioteku. Pogledajte stranicu o OpenSSL-u za Windows i Mac OSX za upute i poveznice za preuzimanje.

Generiranje zahtjeva za certifikat (CSR) i privatnog ključa

Naredba stvara privatni ključ kao i zahtjev za certifikat. Morate specificirati putanju za smještaj datoteka u drugom direktoriju.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Za generiranje ključeva i zahtjeva za certifikat važno je da zahtjev sadrži ispravne informacije. Odabir rsa:2048 znači postavljanje duljine ključa. Za veću sigurnost moguće je postaviti rsa:3072 ili rsa:4096.
Važno! Uvijek morate popuniti naziv domene i oznaku zemlje prema ISO standardu. Ostavite stavku "A challenge password" praznom!

Verifikacija Zahtjeva za Certifikat (CSR)

Za provjeru je li CSR (Certificate Signing Request) ispravan, možemo izvršiti naredbu s dodanim parametrom "-verify". Preporučuje se provjera prije slanja zahtjeva certifikacijskom autoritetu. Alternativno, preporučujemo testiranje CSR-a pomoću alata tvrtke DigiCert - Provjerite svoj CSR.

openssl req -in request.csr -text -noout -verify

Informacije unesene u zahtjev za certifikat

Sljedeće informacije unose se prilikom generiranja ključeva (dano je primjer popunjavanja nakon strelice).

• Common name [CN]: naziv domene -> www.sslmentor.com
• Organization [O]: točan naziv tvrtke, vlasnik domene -> Web security s.r.o.
• Organizational unit [OU]: odjel tvrtke -> internet / eshop / it / ...
  Od 1. rujna 2022., javni TLS certifikati neće imati OU, i ignorirat će OU.
• City/locality [L]: grad -> Prag
• State/province [S]: -> Republika Češka
• Country/region [C]: oznaka zemlje prema ISO -> CZ
• Veličina ključa: 2048 bita

Predlažemo da naziv domene unesete točno onako kako je postavljen na poslužitelju i kako se prikazuje u pregledniku. Iako certifikacijski autoriteti uključuju obje varijante u certifikat (s i bez www ispred naziva domene), obje varijante neće biti uključene za certifikate s više domena.
Maksimalni broj znakova za Common name [CN] i Organization [O] je 64. Više pravila možete pronaći na stranici Pravila temeljnih zahtjeva i prekršaji RFC 5280.

Country/region [C]:

• HR - Hrvatska
• RS - Srbije
• DE - Njemačka
• AT - Austrija
• US - Sjedinjene Američke Države
• CZ - Republika Češka
• HU - Mađarska
• PL - Poljska

Oznaka zemlje mora biti unesena točno prema ISO standardu VELIKIM SLOVIMA.
Pregled ISO oznaka zemalja možete pronaći na web stranici Međunarodne organizacije za standardizaciju www.iso.org.

Što je Challenge password?

Prilikom generiranja certifikata nudi se unos "A challenge password". Uvijek ostavite prazno, inače će CA odbiti narudžbu. Challenge password definiran je u RFC 2985 kao lozinka za poništavanje certifikata.

Minimalne informacije za DV certifikate

Certifikati domene (DV) sadrže samo informacije o domeni, a sve ostale informacije unesene u zahtjevu certifikacijskog tijela bit će obrisane.
Primjerice, informacije u SSL tijelu certifikata PositiveSSL samo su:

• CN = domena.com
• OU = PositiveSSL
• OU = Domain Control Validated

Minimalne informacije koje moraju biti unesene za certifikate domene kako bi se izdao certifikat su Common name [CN] i Country/region [C]. Međutim, preporučujemo da popunite sve informacije zbog mogućeg odbijanja od strane certifikacijskog tijela.

---

Kamo dalje?

• OpenSSL - izvoz certifikata u PFX
• OpenSSL - provjera privatnog i javnog ključa
• OpenSSL za Windows i Mac
• Formati certifikata (PEM, KLJUČ, CSR, PFX, ...)