OpenSSL a vygenerování .csr pro žádost o certifikát
Domovská stránka OpenSSL: www.openssl.org
Pro svůj účet vedený u Savana.cz máte možnost přiřadit vlastní SSL certifikát. A to buď podepsaný certifikační autoritou nebo podepsaný sám sebou (u takového budou internetové prohlížeče hlásit nedůvěryhodnost) . V tomto návodu se dočtete jak vygenerovat CSR pro podpis certifikační autoritou.
Pozor:
Podmínkou k užívání vlastního SSL certifikátu je přiřazení veřejná IPv4 adresy pro Váš webhostingový účet. Přiřazení je zpoplatněno. Žádost o přidělení veřejné IPv4 adresy zasílejte na obchodní oddělení.
Získání OpenSSL:
Získejte a nainstalujte si OpenSSL pro Váš operační systém. Pokud pracujete v prostředí UNIXu máte jej pravděpodobně již nainstalován. Aktuální verzi zjistíte v terminálu příkazem:
openssl version
Kompletní informace o verzi pak
openssl version -aJak vygenerovat privátní klíč s heslem.
Pro vygenerování Certificate Signing Request (dále jen CSR) pro webserver, který je vyžadován při žádosti o vygenerování certifikátu od certifikační autority je nutné zadat následující příkaz, který vygeneruje privátní RSA klíč se šifrou des3 o síle 2048 bitů. Při vytváření budete požádáni o zadání hesla. Musí být minimálně 4 znaky dlouhé. Vyvarujte se použití národních znaků.
openssl genrsa -des3 -out klic-s-heslem.key 2048Jak vygenerovat samotný CSR
Při generování klíče .csr využijete zaheslovaný privátní klíč vygenerovaný v předchozím kroku. Po zadání příkazu jste nejprve dotázáni na heslo privátního klíče pomocí kterého bude CSR podepsán. Spustí se průvodce vytvořením csr kde jste postupně dotazováni na následující údaje. Důležité je vyplnit hlavně kolonku Common Name, na kterou je vystaven autoritou certifikát, ostatní údaje lze ponechat prázdné. To provedete tak, že jako údaj vložíte pouze tečku.
Country Name (2 letter code) [US]: můžete zadat CZ
State or Province Name (full name) []: můžete zadat Cesko, Morava atd.
Locality Name (eg, city) []: můžete zadat název sídla. například Praha
Organization Name (eg, company) []: můžete zadat název společnosti nebo Vaše jméno
Organizational Unit Name (eg, section) []: můžete zadat zařazení, funkci atd.
Common Name (eg, YOUR name) []: nejdůležitější součást certifikátu. Zde vyplňte přesně název domény na které budete certifikát provozovat. Rozdíl je i v www.domena.cz a domena.cz. Certifikát bude vystaven přesně na zadaný název. musí být vyplněno vždy.
Email Address []: emailová adresa.
Následují ještě dva extra atributy:
A challenge password []:
An optional company name []:
openssl req -new -key klic-s-heslem.key -out nazev.csrJak odstranit heslo z privátního klíče
Aby bylo možné zprovoznit získaný certifikát od certifikační autority v rámci administrace webhostingového účtu, je nutné zbavit privátní klíč hesla. Tento soubor pak použijete v administraci webhostingového účtu.
openssl rsa -in klic-s-heslem.key -out klic-bez-hesla.keyJak zkontrolovat údaje v .csr ještě před odesláním žádosti k certifikační autoritě.
Před samotným odesláním CSR doporučuji zkontrolovat správnost údajů které obsahuje.
openssl req -in nazev.csr -noout -text
V praxi pak vypadá takový dotaz na správnost údajů takto.
openssl req -in nazev.csr -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: CN=www.savana.cz
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:ae:0e:83:90:18:3c:63:d6:9a:32:b3:65:4c:5e:
e8:cc:78:f4:3c:13:95:17:f4:df:f4:30:02:3b:0f:
ac:c9:bd:91:6d:e9:d7:07:d4:1f:99:9f:a0:4b:43:
b2:d6:d9:89:14:fb:f7:63:f6:66:f7:f0:3e:e2:f2:
04:c3:27:50:45:c7:5f:b0:12:7f:a2:08:94:ae:9d:
23:99:2d:9b:7f:18:bd:85:a2:1b:a1:47:88:b0:8f:
91:63:70:95:d2:07:fb:d2:71:b3:db:b0:68:77:8e:
f9:ac:d1:89:ee:7e:4d:a7:1c:a7:0d:6d:6f:94:6e:
b4:0f:65:a9:90:6c:54:cf:00:11:df:48:cc:10:86:
50:74:55:93:00:d9:fc:38:de:8f:42:a9:60:74:7f:
ea:c7:77:15:cb:fa:32:21:e2:55:8d:24:0c:31:5d:
3f:87:37:04:a9:14:7d:02:c0:3f:02:6f:10:1a:97:
0a:85:d8:4b:3d:48:bc:0e:1c:ba:eb:75:dc:7c:a0:
81:57:25:75:4e:90:24:28:19:b5:4e:e7:4b:ca:1b:
11:d2:14:27:eb:24:3c:38:b8:78:3b:76:11:e8:89:
33:50:ee:2e:1d:3c:9f:75:18:84:66:84:4e:5d:cd:
46:41:9d:46:d0:79:76:40:6b:21:b2:19:27:7a:df:
ec:e5
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha1WithRSAEncryption
87:ac:35:f1:ea:0e:97:65:bc:b8:4a:e7:04:20:87:a0:3f:88:
ef:94:71:8b:ab:57:4e:78:72:cd:38:23:c4:b4:8a:84:cd:b4:
e4:a4:61:24:62:d6:56:0d:ac:8e:7a:ed:2a:fd:b3:ba:24:43:
97:f0:cb:89:c8:81:8e:cc:b6:61:ee:02:8a:8c:02:87:b2:fa:
bc:69:df:55:b0:33:82:94:f5:2d:d6:39:4b:91:90:ce:52:dc:
cd:b5:96:e7:07:51:4e:32:18:e6:db:6f:fc:cf:41:96:41:eb:
be:b7:78:a7:13:36:99:fb:97:21:73:3a:37:1e:44:1e:16:0a:
3f:64:ec:82:a4:b3:6e:aa:55:fa:83:1b:9e:42:2f:fd:7b:88:
c1:e4:89:21:d6:2b:4b:f3:77:98:4c:34:6e:a3:fb:87:14:33:
2c:0e:c1:a1:68:58:1f:df:04:b6:6d:76:9c:fc:a1:f9:aa:7d:
fe:4a:5c:61:b2:c6:e5:66:b5:bd:d1:29:0f:64:53:5e:23:12:
49:61:b2:3c:18:84:d0:2c:bc:c5:cf:82:fe:4a:15:25:24:7e:
ce:4e:ec:05:06:ad:57:0c:73:f3:28:f1:0f:5a:f1:88:d5:d9:
a6:18:a6:66:d4:bc:47:0a:a2:f8:f9:7b:93:9a:e5:a2:d7:a2:
c6:e6:4a:a5
Pro zkontrolování lze také využít služeb na webu - například http://www.sslshopper.com/csr-decoder.html. protože je obsah souboru vlastně jen text, lze jej otevřít v jakémkoliv textovém editoru. Obsah (text) pak vložíte do pole na uvedené stránce. Po několia vteřinách jsou zobrazena data, která obsahuje CSR certifikat.
Vložení certifikátu v administraci webhostingové účtu.
V sekci DOMENY - SSL CERTIFIKATY kliknete na tlačítko PŘIDAT. Do pole Privátní klíč vložíte obsah privátního klíče zbaveného hesla, který jste si vygenerovali sami a jehož zaheslovanou formou jste podepsali žádost o certifikát. Veřejný klíč a Chain certifikát Vám pak zašle certifikační autorita kterou jste požádali o vystavení certifikátu. Rozeznaáte je od sebe tak že Chain obsahuje více certifikátu. Po vložení je možné u domény aktivovat SSL.
Jak zkontrolovat SSL certifikát webu.
Rychlým způsobem jak zkontrolovat údaje které si nese již zprovoznění konkrétní SSL certifikát lze pak využitím služby http://www.sslshopper.com/ssl-checker.html
