Domovská stránka OpenSSL: www.openssl.org
Pro svůj účet vedený u Savana.cz máte možnost přiřadit vlastní SSL certifikát. A to buď podepsaný certifikační autoritou nebo podepsaný sám sebou (u takového budou internetové prohlížeče hlásit nedůvěryhodnost) . V tomto návodu se dočtete jak vygenerovat CSR pro podpis certifikační autoritou.
Pozor: Podmínkou k užívání vlastního SSL certifikátu je přiřazení veřejné IPv4 adresy nebo balíček SSL PLUS pro Váš hostingový účet. Žádost o přidělení veřejné IPv4 adresy nebo balíčku SSL PLUS předávejte v administraci hostingového účtu v sekci “ÚČET - POŽADAVEK”.
Získání OpenSSL:
Získejte a nainstalujte si OpenSSL pro Váš operační systém. Pokud pracujete v prostředí UNIXu máte jej pravděpodobně již nainstalován. Aktuální verzi zjistíte v terminálu příkazem:
openssl version
Kompletní informace o verzi pak příkazem:
openssl version -a
Jak vygenerovat privátní klíč s heslem.
Pro vygenerování Certificate Signing Request (dále jen CSR) pro webserver, který je vyžadován při žádosti o vygenerování certifikátu od certifikační autority je nutné zadat následující příkaz, který vygeneruje privátní RSA klíč se šifrou des3 o síle 2048 bitů. Při vytváření budete požádáni o zadání hesla. Musí být minimálně 4 znaky dlouhé. Vyvarujte se použití národních znaků.
openssl genrsa -des3 -out klic-s-heslem.key 2048
Jak vygenerovat samotný CSR
Při generování klíče .csr využijete zaheslovaný privátní klíč vygenerovaný v předchozím kroku. Po zadání příkazu jste nejprve dotázáni na heslo privátního klíče pomocí kterého bude CSR podepsán. Spustí se průvodce vytvořením csr kde jste postupně dotazováni na následující údaje. Důležité je vyplnit hlavně kolonku Common Name, na kterou je vystaven autoritou certifikát, ostatní údaje lze ponechat prázdné. To provedete tak, že jako údaj vložíte pouze tečku.
Country Name (2 letter code) [US]: můžete zadat CZ
State or Province Name (full name) []: můžete zadat Cesko, Morava atd.
Locality Name (eg, city) []: můžete zadat název sídla. například Praha
Organization Name (eg, company) []: můžete zadat název společnosti nebo Vaše jméno
Organizational Unit Name (eg, section) []: můžete zadat zařazení, funkci atd.
Common Name (eg, YOUR name) []: nejdůležitější součást certifikátu. Zde vyplňte přesně název domény na které budete certifikát provozovat. Rozdíl je i v www.domena.cz a domena.cz. Certifikát bude vystaven přesně na zadaný název. musí být vyplněno vždy.
Email Address []: emailová adresa.
Následují ještě dva extra atributy:
A challenge password []:
An optional company name []:
openssl req -new -key klic-s-heslem.key -out nazev.csr
Jak odstranit heslo z privátního klíče
Aby bylo možné zprovoznit získaný certifikát od certifikační autority v rámci administrace hostingového účtu, je nutné zbavit privátní klíč hesla. Tento soubor pak použijete v administraci hostingového účtu.
openssl rsa -in klic-s-heslem.key -out klic-bez-hesla.key
Jak zkontrolovat údaje v .csr ještě před odesláním žádosti k certifikační autoritě.
Před samotným odesláním CSR doporučuji zkontrolovat správnost údajů které obsahuje.
openssl req -in nazev.csr -noout -text
V praxi pak vypadá takový dotaz na správnost údajů takto.
openssl req -in nazev.csr -noout -text Data:Version: 0 (0x0) Subject: CN=www.savana.cz Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:ae:0e:83:90:18:3c:63:d6:9a:32:b3:65:4c:5e: e8:cc:78:f4:3c:13:95:17:f4:df:f4:30:02:3b:0f: ac:c9:bd:91:6d:e9:d7:07:d4:1f:99:9f:a0:4b:43: b2:d6:d9:89:14:fb:f7:63:f6:66:f7:f0:3e:e2:f2: 04:c3:27:50:45:c7:5f:b0:12:7f:a2:08:94:ae:9d: 23:99:2d:9b:7f:18:bd:85:a2:1b:a1:47:88:b0:8f: 91:63:70:95:d2:07:fb:d2:71:b3:db:b0:68:77:8e: f9:ac:d1:89:ee:7e:4d:a7:1c:a7:0d:6d:6f:94:6e: b4:0f:65:a9:90:6c:54:cf:00:11:df:48:cc:10:86: 50:74:55:93:00:d9:fc:38:de:8f:42:a9:60:74:7f: ea:c7:77:15:cb:fa:32:21:e2:55:8d:24:0c:31:5d: 3f:87:37:04:a9:14:7d:02:c0:3f:02:6f:10:1a:97: 0a:85:d8:4b:3d:48:bc:0e:1c:ba:eb:75:dc:7c:a0: 81:57:25:75:4e:90:24:28:19:b5:4e:e7:4b:ca:1b: 11:d2:14:27:eb:24:3c:38:b8:78:3b:76:11:e8:89: 33:50:ee:2e:1d:3c:9f:75:18:84:66:84:4e:5d:cd: 46:41:9d:46:d0:79:76:40:6b:21:b2:19:27:7a:df: ec:e5 Exponent: 65537 (0x10001) Attributes: a0:00 Signature Algorithm: sha1WithRSAEncryption 87:ac:35:f1:ea:0e:97:65:bc:b8:4a:e7:04:20:87:a0:3f:88: ef:94:71:8b:ab:57:4e:78:72:cd:38:23:c4:b4:8a:84:cd:b4: e4:a4:61:24:62:d6:56:0d:ac:8e:7a:ed:2a:fd:b3:ba:24:43: 97:f0:cb:89:c8:81:8e:cc:b6:61:ee:02:8a:8c:02:87:b2:fa: bc:69:df:55:b0:33:82:94:f5:2d:d6:39:4b:91:90:ce:52:dc: cd:b5:96:e7:07:51:4e:32:18:e6:db:6f:fc:cf:41:96:41:eb: be:b7:78:a7:13:36:99:fb:97:21:73:3a:37:1e:44:1e:16:0a: 3f:64:ec:82:a4:b3:6e:aa:55:fa:83:1b:9e:42:2f:fd:7b:88: c1:e4:89:21:d6:2b:4b:f3:77:98:4c:34:6e:a3:fb:87:14:33: 2c:0e:c1:a1:68:58:1f:df:04:b6:6d:76:9c:fc:a1:f9:aa:7d: fe:4a:5c:61:b2:c6:e5:66:b5:bd:d1:29:0f:64:53:5e:23:12: 49:61:b2:3c:18:84:d0:2c:bc:c5:cf:82:fe:4a:15:25:24:7e: ce:4e:ec:05:06:ad:57:0c:73:f3:28:f1:0f:5a:f1:88:d5:d9: a6:18:a6:66:d4:bc:47:0a:a2:f8:f9:7b:93:9a:e5:a2:d7:a2: c6:e6:4a:a5
Pro zkontrolování lze také využít služeb na webu - například //www.sslshopper.com/csr-decoder.html. protože je obsah souboru vlastně jen text, lze jej otevřít v jakémkoliv textovém editoru. Obsah (text) pak vložíte do pole na uvedené stránce. Po několia vteřinách jsou zobrazena data, která obsahuje CSR certifikat.
Jak zkontrolovat SSL certifikát webu.
Rychlým způsobem jak zkontrolovat údaje které si nese již zprovoznění konkrétní SSL certifikát lze pak využitím služby //www.sslshopper.com/ssl-checker.html