Kreiranje para ključeva i zahtjeva za certifikatom (CSR)

Slijedi opis generiranja privatnog ključa i zahtjeva za certifikatom (CSR datoteke). Postupak će biti opisan za Linux OS (dva načina) i Windows OS korištenjem DigiCertovog alata.

  1. generiranje para ključeva i CSR datoteke pomoću konfiguracijskih datoteka (Linux)
  2. generiranje naredbe za izradu para ključeva i CSR datoteke online DigiCertovima alatom (Linux)
  3. generiranje para ključeva i CSR datoteke DigiCertUtil alatom (Windows).

Generiranje para ključeva i CSR datoteke pomoću konfiguracijskih datoteka (Linux)

Modifikacijom OpenSSL konfiguracijske datoteke, osnovne postavke generiranih ključeva i zahtjeva za certifikatom jednostavno se mogu prilagoditi Vašim potrebama. Prilikom generiranja ključeva i zahtjeva za certifikatom, možete koristiti jednu od preddefiniranih konfiguracijskih datoteka koje smo za Vas pripremili jednostavno navodeći je u pozivu OpenSSL-a. Moguće je generirati zahtjeve za certifikatima koji sadrže jedno FQDN ime te zahtjeve koji sadrže više FQDN imena, što je posebno korisno ukoliko će se certifikat koristiti na web poslužitelju s više web sjedišta smještenih na istoj IP adresi.

TCSreq.cnf - jednostavna konfiguracijska datoteka za potrebe izdavanja poslužiteljskog certifikata za poslužitelj s jednim FQDN imenom
MultiTCSreq.cnf - jednostavna konfiguracijska datoteka za potrebe izdavanja poslužiteljskog certifikata za poslužitelj s više FQDN imena.

Prije generiranja zahtjeva za certifikatom koji sadrži više od jednog FQDN imena, u datoteku MultiTCSreq.cnf je potrebno dodatna FQDN imena upisati u dijelu [ alt_names ] kao vrijednosti elemenata DNS.x. Navedena datoteka predviđa tri dodatna FQDN imena, no taj broj, ovisno o potrebi, može biti veći ili manji. DigiCertov sustav omogućuje izdavanje certifikata s maksimalno 25 dodatnih FQDN imena. Ukoliko je broj dodatnih FQDN imena manji od tri, potrebno je obrisati suvišne DNS.x elemente (obrisati cijelu liniju koja počinje s DNS.x).

Ukoliko želimo izbjeći da nam je datoteka s ključevima kriptirana (što nam može prouzročiti probleme prilikom automatskog startanja poslužitelja jer je potrebno unijeti zaporku) to možemo učiniti na dva načina:

  • dodavanjem prije generiranja zahtjeva u OpenSSL konfiguracijskoj datoteci u sekciji [ req ] izraza encrypt_key = no
  • nakon generiranja zahtjeva pokretanjem naredbe "openssl rsa -in mojserver.key -out mojserver.key".

Unaprijed pripremljene OpenSSL konfiguracijske datoteke koje odgovaraju Vašim potrebama preuzmite s gore navedenih poveznica i navedite ih prilikom poziva OpenSSL naredbe:

$ umask 0377
$ openssl req -new -config TCSreq.cnf -keyout mojserver.key -out mojserver.csr

Napomena: Pojedini servisi, poput servisa AOSI, zahtijevaju ovlasti čitanja za grupu datoteke mojserver.key pa će biti potrebno prilagoditi naredbu umask. Npr. za postavljanje ovlasti čitanja za grupu:

$ umask 0337

Naredba će generirati 2048 bitni RSA par ključeva i pohraniti ih u datoteku mojserver.key. S obzirom da se radi o osjetljivim podacima, potrebno je adekvatno zaštititi generiranu datoteku s parom RSA ključeva od neovlaštenog pristupa postavljanjem ispravnih prava pristupa datoteci. Također, u datoteci mojserver.csr nalazi se zahtjev za certifikatom.

Sam izgled generiranog zahtjeva za certifikatom možete provjeriti naredbom:

$ openssl req -in mojserver.csr -text|more

Dio koji počinje s -----BEGIN CERTIFICATE REQUEST----- bit će potrebno kopirati i kasnije u postupku podnošenja zahtjeva prilijepiti u za to predviđeno mjesto u web formi.

CSR zahtjev izgledat će slično ovome:

-----BEGIN CERTIFICATE REQUEST-----
MIICtDCCAZwCAQAwbzELMAkGA1UEBhMCSFIxDTALBgNVBAcTBFB1bGExJTAjBgNV
BAoTHEZha3VsdGV0IGVrb25vbWlqZSBpIHR1cml6bWExETAPBgNVBAsTCEludGVy
bmV0MRcwFQYDVQQDEw5vbGl2ZXIuZWZwdS5ocjCCASIwDQYJKoZIhvcNAQEBBQAD
ggEPADCCAQoCggEBANu99ZABqwA16/zWN0p9BPifq5BcIrDeuSHwMictrPLkl08Z
IZuPosmoVig4d5G1Y/lKLpDobliLJYYwQK7Urp3iYGKplvhNpKfP4wZt5EdqImmU
OuBE9ZrQNzFyQRXiKLGSG4AICEANtiQF5xW2dLAhMLwrjJ98Dj5504MwMKrdNY89
PwZo9QsqOvZpEtZZGwFUFaHli9nueqLRTF9oQjufwBiUOwsLBuC6WJ0H4nuI4FEf
fVXGV+XCg7biC0IsUTQYXltKC3x/1ITPhNoYTpvyieg5UQdJ6FP6IVkIBlvz6cba
By4xRJ3fO7TIpcy25WtujNyJ3DQGrTg+LuDK2aMCAwEAAaAAMA0GCSqGSIb3DQEB
BQUAA4IBAQCSqkQ1w8qv7eZEZlrjbd9t7Mw3DOveYvSzFmK7aHJiA1GmP211Nuy8
GCK4xoDvpgp81W38T+jYguxLrkP/OBf443fSQxsb8LLTEdftsSYWiZOo+w1A+rRy
pLY3puYi4FsQXLQlGButZYys/+nd06xFzwpCU2HpNFceeL66UdBzNuCrqsfWdESs
bsQT9p49+Fs8sISGVgLzEH6cxflctOoYvt9vDkcnx/QH7RMiD+Z/HNN/+luQcts1
laTD1RaLxRC+EbCMLF6IjTBsJqVaSSdSoIeO3mM7OSNiMrohGezeRvMOwCbglPAl
M1Z2XFprW5AUAUmvrL1pobPh318Z5O0a
-----END CERTIFICATE REQUEST-----


Generiranje naredbe za izradu para ključeva i CSR datoteke online DigiCertovima alatom (Linux)

Ključeve i CSR datoteku jednostavnije je kreirati DigiCertovim alatom gdje odaberite Generate a CSR for OpenSSL za Apache poslužitelj, ili direktno ovom poveznicom.

U web formu upišite tražene podatke i kliknite na gumb Generate:

csr linux

Generiranu naredbu kopirajte i iskoristite na Linux terminalu. Pomoću generirane naredbe bit će kreirana CSR datoteka i pripadajući ključ.

 


Generiranje para ključeva i CSR datoteke DigiCertUtil alatom (Windows)

Alat DigiCert Certificate Utility for Windows možete preuzeti na ovoj stranici.

Nakon pokretanja programa odaberite SSL → Create CSR:

csr win

Zatim upišite potrebne podatke i kliknite gumb Generate:

csr win 2

Nakon toga kopirajte CSR ili spremite u datoteku:

csr win 3