Stvaranje para ključeva i zahtjeva za elektroničkim certifikatom

Slijedi opis generiranja privatnog ključa i zahtjeva za certifikatom (CSR datoteke). Postupak će biti opisan za Linux OS (dva načina) i Windows OS korištenjem DigiCertovog alata.

  1. stvaranje para ključeva i CSR datoteke pomoću konfiguracijskih datoteka (Linux)
  2. generiranje naredbe za izradu para ključeva i CSR datoteke online DigiCertovima alatom (Linux)
  3. stvaranje para ključeva i CSR datoteke DigiCertUtil alatom (Windows).

Stvaranje para ključeva i CSR datoteke pomoću konfiguracijskih datoteka (Linux)

Osnovne postavke generiranih ključeva i zahtjeva za elektroničkim certifikatom modifikacijom OpenSSL konfiguracijske datoteke jednostavno se mogu prilagoditi Vašim potrebama. Prilikom generiranja ključeva i zahtjeva za elektroničkim certifikatom, možete koristiti jednu od preddefiniranih konfiguracijskih datoteka koje smo za Vas pripremili navodeći je u pozivu OpenSSL-a. Moguće je generirati zahtjeve za certifikatima koji sadrže jedno i više FQDN imena, što je posebno korisno ako će se certifikat koristiti na web poslužitelju s više web sjedišta smještenih na istoj IP adresi.

TCSreq.cnf - jednostavna konfiguracijska datoteka za potrebe izdavanja poslužiteljskog certifikata za poslužitelj s jednim FQDN imenom
MultiTCSreq.cnf - jednostavna konfiguracijska datoteka za potrebe izdavanja poslužiteljskog certifikata za poslužitelj s više FQDN imena.

Prije generiranja zahtjeva za elektroničkim certifikatom koji sadrži više od jednog FQDN imena, u datoteku MultiTCSreq.cnf je potrebno dodatna FQDN imena upisati u dijelu [ alt_names ] kao vrijednosti elemenata DNS.x. Navedena datoteka predviđa tri dodatna FQDN imena, no njihov broj, ovisno o potrebi, može biti veći ili manji. Sectigov sustav omogućuje izdavanje certifikata s maksimalno 25 dodatnih FQDN imena. Ako je broj dodatnih FQDN imena manji od tri, potrebno je obrisati suvišne DNS.x elemente (obrisati cijelu liniju koja počinje s DNS.x).

Ako želite izbjeći kriptiranje datoteke s ključevima kriptiranja (što može prouzročiti probleme prilikom automatskog pokretanja poslužitelja jer je potrebno unijeti zaporku) to možete učiniti na dva načina:

  • dodavanjem izraza “encrypt_key = no” u sekciji [ req ] unutar OpenSSL konfiguracijske datoteke prije generiranja zahtjeva u OpenSSL konfiguracijskoj datoteci
  • nakon generiranja zahtjeva pokretanjem naredbe "openssl rsa -in mojserver.key -out mojserver.key".

Unaprijed pripremljene OpenSSL konfiguracijske datoteke koje odgovaraju Vašim potrebama preuzmite s gore navedenih poveznica i navedite ih prilikom poziva OpenSSL naredbe:

$ umask 0377
$ openssl req -new -config TCSreq.cnf -keyout mojserver.key -out mojserver.csr

Napomena: Pojedini servisi, poput servisa AOSI, zahtijevaju ovlasti čitanja za grupu datoteke mojserver.key pa će biti potrebno prilagoditi naredbu umask. Npr. za postavljanje ovlasti čitanja za grupu:

$ umask 0337

NNaredba će generirati 2048 bitni RSA par ključeva i pohraniti ih u datoteku mojserver.key. S obzirom da je riječ o osjetljivim podacima, potrebno je adekvatno zaštititi generiranu datoteku s parom RSA ključeva od neovlaštenog pristupa postavljanjem ispravnih prava pristupa datoteci. Također, u datoteci mojserver.csr nalazi se zahtjev za elektroničkim certifikatom.

Sam izgled generiranog zahtjeva za certifikatom možete provjeriti naredbom:

$ openssl req -in mojserver.csr -text|more

Dio koji počinje s -----BEGIN CERTIFICATE REQUEST----- bit će potrebno kopirati i kasnije u postupku podnošenja zahtjeva prilijepiti u za to predviđeno mjesto u web formi.

CSR zahtjev izgledat će slično ovome:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


Generiranje naredbe za izradu para ključeva i CSR datoteke online DigiCertovima alatom (Linux)

Ključeve i CSR datoteku jednostavnije je kreirati DigiCertovim alatom alatom odabirom opcije „Generate a CSR with the OpenSSL CSR Wizard“ za Apache poslužitelj, ili izravnoovdje.

U web formu upišite tražene podatke i kliknite na gumb Generate:

csr linux

Generiranu naredbu kopirajte i upišite u sučelju Linux terminala. Pomoću generirane naredbe bit će stvorena CSR datoteka i pripadajući ključ.

 


Generiranje para ključeva i CSR datoteke DigiCertUtil alatom (Windows)

Alat DigiCert Certificate Utility for Windows možete preuzeti na ovoj stranici.

Nakon pokretanja programa odaberite SSL → Create CSR:

csr win

Zatim upišite potrebne podatke i kliknite gumb Generate:

csr win 2

Nakon toga kopirajte CSR ili spremite u datoteku:

csr win 3