Pro vytvoření privátního klíče a CSR žádosti online v prohlížeči můžete využít rozhraní:
(Váš privátní klíč bude vygenerován v prohlížeči a nebude odeslán na jiný server - prosím ujistěte se, že jej neztratíte.)
Volba domény
Pokud vytváříte žádost o wildcard certifikát, zadejte do pole "Common Name" hvězdičku: *.mojedomena.cz. Certifikát pro doménu www.mojedomena.cz bude platný i pro jméno mojedomena.cz (*). To ale neplatí pro jiné subdomény, např.:
- CSR pro www.mojedomena.cz - cert. bude platný pro mojedomena.cz a www.mojedomena.cz (*)
- CSR pro mojedomena.cz - cert. bude platný pro mojedomena.cz a nebude platný pro www.mojedomena.cz
- CSR pro www.shop.mojedomena.cz - cert. bude platný pro www.shop.mojedomena.cz a nebude platný pro shop.mojedomena.cz
- CSR pro *.mojedomena.cz - wildcard certifikát bude platný pro mojedomena.cz, shop.mojedomena.cz, www.mojedomena.cz, ... a nebude platný pro www.shop.mojedomena.cz
* Pozor, u certifikátu Actalis ověřeného metodou FILE není automaticky přidaná varianta bez www.
Při vyplňování CSR nepoužívejte diakritiku, v případě IDN domény ji nejdříve převeďte např. pomocí nástroje https://www.punycoder.com/ .
Validace
Certifikační autorita obvykle požaduje potvrzení vlastnictví domény prostřednictvím odkazu zaslaného na e-mail schránka@mojedomena.cz (je možné vybrat z následujících schránek: admin, administrator, hostmaster, postmaster, webmaster). Na serveru tedy zprovozněte poštovní služby pro jednu z těchto adres.
Další možnost validace FILE představuje umístění požadovaného textu do souboru na adrese http(s)://www.mojedomena.cz/.well-known/pki-validation/fileauth.txt nebo http(s)://www.mojedomena.cz/.well-known/pki-validation/actalis.txt .
Validovat lze také pomocí DNS umístěním požadovaného TXT záznamu na autoritativní nameservery domény.
Vytvoření žádosti na serveru
Unixové systémy
Předpokládejme, že vytváříte certifikát pro doménu www.mojedomena.cz. Privátní klíč a žádost o podepsání certifikátu (Certificate Signing Request, CSR) vytvoříte spuštěním následujícího příkazu:
$ openssl req -new -sha256 -newkey rsa:2048 -nodes -out www.mojedomena.cz.csr -keyout www.mojedomena.cz.key
Generating a 2048 bit RSA private key
....................................+++
writing new private key to 'www.mojedomena.cz.key'
-----
Country Name (2 letter code) [XX]: CZ
State or Province Name (full name) []: Hlavni mesto Praha
Locality Name (eg, city) [Default City]: Prague
Organization Name (eg, company) [Default Company Ltd]: Webhosting a Syn s.r.o.
Organizational Unit Name (eg, section) []: Tech Department
Common Name (eg, your name or your server's hostname) []: www.mojedomena.cz
Email Address []: kontakt@spravcedomeny.cz
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Žádost se nyní nachází v souboru www.mojedomena.cz.csr. Soubor www.mojedomena.cz.key obsahuje privátní klíč - pečlivě ho uschovejte a držte v tajnosti.
Ztráta privátního klíče
V případě ztráty privátního klíče lze certifikát přegenerovat ("reissue") s novou CSR žádostí podle následujícího návodu: