Jak vytvořit Certificate Signing Request (CSR)?


 Předpokládejme, že vytváříte certifikát pro doménu www.mojedomena.cz. Privátní klíč a žádost o podepsání certifikátu (Certificate Signing Request, CSR) vytvoříte typicky na unixovém systému spuštěním následujícího příkazu:
 
$ openssl req -new -sha256 -newkey rsa:2048 -nodes -out www.mojedomena.cz.csr -keyout www.mojedomena.cz.key

Generating a 2048 bit RSA private key
.............+++
....................................+++
writing new private key to 'www.mojedomena.cz.key'
-----
Country Name (2 letter code) [XX]: CZ
State or Province Name (full name) []: Hlavni mesto Praha
Locality Name (eg, city) [Default City]: Prague
Organization Name (eg, company) [Default Company Ltd]: Webhosting a Syn s.r.o.
Organizational Unit Name (eg, section) []: Tech Department
Common Name (eg, your name or your server's hostname) []: www.mojedomena.cz
Email Address []: kontakt@spravcedomeny.cz
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 
 Žádost se nyní nachází v souboru www.mojedomena.cz.csr. Soubor www.dmojedomena.cz.key obsahuje privátní klíč - pečlivě ho uschovejte a držte v tajnosti.

 Certifikát pro doménu www.mojedomena.cz bude platný i pro jméno bez www. Pokud vytváříte žádost o wildcard certifikát, zadejte do pole "Common Name" hvězdičku (*.mojedomena.cz). Při vyplňování nepoužívejte diakritiku, v případě IDN domény ji nejdříve převeďte např. pomocí nástroje https://www.punycoder.com/ .
 
 Další návody na vytvoření CSR pro různé servery (Microsoft IIS, Exchange, ...) nalezenete na adrese https://www.digicert.com/kb/csr-creation.htm.
 
 Certifikační autorita obvykle požaduje potvrzení vlastnictví domény prostřednictvím odkazu zaslaného na e-mail schránka@mojedomena.cz (je možné vybrat z následujících schránek: admin, administrator, hostmaster, postmaster, webmaster). Na serveru tedy zprovozněte poštovní služby pro jednu z těchto adres. Další možnost validace představuje umístění požadovaného textu na adresu 
http://www.mojedomena.cz/.well-known/pki-validation/fileauth.txt .