Jak vytvořit a otestovat CSR request

14. 5. 2013 | Jindřich Zechmeister

Žádost o certifikát, jinak též CSR request, je nutné vytvořit při objednávce SSL certifikátu. Postup pro generování CSR requestu závisí na platformě serveru, kde bude certifikát umístěn. Připravili jsme pro vás návod pro dvě nejpoužívanější platformy, se kterým vygenerujete CSR rychle a snadno.

K čemu je CSR request potřeba?


CSR request potřebuje certifikační autorita pro vystavení vašeho SSL certifikátu. Bez této žádosti nemůže certifikát vydat.

SSL certifikáty fungují na principu asymetrického šifrování, kdy se používají dva šifrovací klíče - privátní a veřejný. Při komunikaci pomocí SSL certifikátu a SSL/TLS protokolu slouží certifikát jako veřejný klíč pro zašifrování dat a privátní klíč k jejich dešifrování. Váš SSL certifikát obsahuje váš veřejný klíč a návštěvník vašeho webu tímto klíčem data zašifruje před jejich přenosem přes internet. Tyto data může dešifrovat jen vlastník privátního klíče, což je váš server.

Důvěryhodnost vašeho veřejného klíče a jeho skutečný původ je v certifikátu potvrzen podpisem certifikační autority. Ta před vydáním certifikátu ověřila, že klíč skutečně pochází od vás a  že uvedené údaje jsou správné.

Vytvoření privátního klíče

Pokud žádáte o nový SSL certifikát, pravděpodobně budete generovat i privátní klíč. Ten zůstane na serveru a bude sloužit k dešifrování dat. Je důležité, aby server neopouštěl a nedostal se do nepravých rukou.

Pokud je váš server linuxový či unixový, použijte ke generování program OpenSSL. Privátní klíč vytvoříte v OpenSSL následujícím příkazem:

openssl genrsa -des3 -out klic-s-heslem.key 2048

Z tohoto privátního klíče vygenerujete CSR request.

Pokud máte server založený na platformě Microsoft, vygeneruje se privátní klíč automaticky při vytvoření žádost o certifikát (CSR).

Vygenerování CSR requestu

Postup pro generování CSR requestu závisí na platformě serveru, kde bude certifikát umístěn. Připravili jsme pro vás návod pro dvě nejpoužívanější platformy.

Postup pro OpenSSL

Žádost o certifikát (CSR request), tedy váš veřejný klíč, se generuje z vašeho privátního klíče.

Pokud používáte program OpenSSL, zadejte následující příkaz:

req -new -key klic-s-heslem.key -out nazev.csr

Parametr -key určuje název souboru s privátním klíčem a parametr -out název výstupu, tedy soubor s CSR requestem.

Následně vás program vyzve k zadání údajů pro CSR request.

Country Name (2 letter code) [US]: Název státu velkými písmeny dle normy ISO, například CZ
State or Province Name (full name) []: Například Czech Republic
Locality Name (eg, city) []: Město, kde máte sídlo. Například Praha, Brno
Organization Name (eg, company) []: Název organizace či osoby žádající o certifikát
Organizational Unit Name (eg, section) []: Název organizační jednotky či oddělení. Můžete zadat například Internet, Software, Marketing.
Common Name (eg, YOUR name) []: Nejdůležitější údaj - doména, pro kterou bude certifikát vystaven. Rozlišuje se tvar domény s WWW a bez, stejně jako domény nižšího řádu. Například www.sslmarket.cz.

Email Address []: E-mailová adresa - není požadováno, nevyplňujte.

Následují ještě dva rozšiřující atributy, které nevyplňujte (jen potvrďte Enterem):

A challenge password []: Heslo, které se dle standardu používá pro revokaci. Nevyplňujte!
An optional company name []: Jiný název společnosti.

V souboru s CSR requestem najdete žádost o certifikát zakódovanou ve formátu Base64, který slouží pro uložení binárních dat v textové podobě. Na první pohled vám proto přijdou data jako nesmyslný text. Chcete-li si údaje v CSR ověřit, použijte příkaz req -noout -text -in nazev.csr

Postup pro Microsoft server

Využíváte-li server na platformě Microsoft, budete CSR request generovat s pomocí webového serveru IIS (IIS je také součástí Windows, takže můžete stejný postup požít i na svém PC).

Postup je jednoduchý a můžete se na něj podívat ve videotutoriálu, který jsme pro vás připravili.

Kontrola údajů v CSR requestu

Pokud CSR request vložíte přímo do administrace SSLmarket, uvidíte hned i údaje, které obsahuje. Pokud však chcete CSR request zkontrolovat ještě před vložením do SSLmarketu, můžete použít webový nástroj CSR Decoder And Certificate Decoder.

Vygenerovaný CSR request můžete vložit do administrace SSLmarket do objednávky vašeho certifikátu, nebo poslat naší podpoře na admin@zoner.cz.

Potřebujete pomoci ?

Neváhejte se v případě potřeby obrátit na naši zákaznickou podporu, nově i přes živý online chat


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz