Żądanie certyfikatu CSR

Opublikowano przez

Instrukcja generowania pliku żądania certyfikatu CSR.

Generowanie klucza prywatnego.

Na początku należy wygenerować swój klucz prywatny, który będzie potem używany z certyfikatem. W tym celu, korzystając z pakietu OpenSSL wydajemy poniższe polecenie:

  • Generowanie klucza prywatnego bez hasła
openssl genrsa -out key.pem 2048
  • Generowanie klucza prywatnego z hasłem – podczas każdego uruchamiania serwera będziesz proszony o podanie hasła.
openssl genrsa -des3 -out key.pem 2048

Wygenerowany klucz prywatny należy zachować w bezpiecznym miejscu, uniemożliwiając dostęp do niego osobom trzecim. Powtórne wygenerowanie identycznego klucza prywatnego nie jest możliwe, zatem jego utrata automatycznie uniemożliwia zastosowanie certyfikatu.

Plik żądania certyfikatu (CSR)

Następnie należy utworzyć plik żądania certyfikatu (CSR) na podstawie wcześniej wygenerowanego klucza prywatnego, służy temu polecenie:

openssl req -new -key key.pem -out csr.pem

W trakcie tworzenia pliku CSR, należy podać następujące informacje:

  • Country Name (C) – należy podać dwuliterowy kod kraju [PL].
  • State or Province Name (ST) – należy podać nazwę województwa, w którym mieści się siedziba firmy [Wojewodztwo].
  • Locality Name (L) – należy podać nazwę miejscowości, w którym mieści się siedziba firmy [Miejscowosc].
  • Organization Name (O) – należy podać pełną i dokładną nazwę firmy, nazwa musi się zgadzać z nazwą przedstawioną w dokumentach rejestrowych tj. Regon lub KRS [Nazwa Firmy Sp. z o.o.].
  • Organizational Unit Name (OU) – pole nieobowiązkowe, opcjonalnie można podać nazwę działu firmy odpowiedzialnego za wdrożenie certyfikatu [Nazwa Dzialu IT].
  • Common Name (CN) – należy wpisać nazwę domeny dla której ma być wystawiony certyfikat np. [example.com]. Dla certyfikatów typu Wildcard podajemy nazwę domeny w postaci [*.example.com].
  • Email Address [E] – [email protected] – pole nieobowiązkowe.

Po przejściu przez tę procedurę pojawią się jeszcze dwa dodatkowe pytania (extra attributes), pola te można pozostawić puste zatwierdzając klawiszem Enter.

  • A challenge password – można pominąć, zatwierdzając klawiszem Enter.
  • An optional company name – można pominąć, zatwierdzając klawiszem Enter.

Podczas udzielania odpowiedzi na pojawiające się pytania NIE NALEŻY używać polskich znaków narodowych.

Weryfikacja klucza prywatnego

openssl rsa -noout -text -in key.pem

Weryfikacja pliku CSR

openssl req -noout -text -in csr.pem

Istnieje możliwość wygenerowania CSR-a przy użyciu narzędzi online np.

https://csrgenerator.com