Vytvoření CSR je nyní ještě jednodušší

29. 5. 2017 | Jindřich Zechmeister

Zákazníci SSLmarketu mají nyní možnost vytvořit si CSR request a privátní klíč přímo ve své objednávce. Tuto možnost ocení ve chvíli, kdy nemají přístup na server, nebo na něm nedokáží CSR vygenerovat. Častá komplikace při získání certifikátu je tak odstraněna.

Vygenerování CSR v SSLmarketu

Zákazníci SSLmarketu si mohou CSR vygenerovat přímo v detailu objednávky SSL certifikátu. Nemusí tak o CSR žádat administrátora serveru nebo svůj hosting. Někdy je potřeba vytvořit CSR request pro zařízení, které přímo nenabízí jeho vytvoření - například síťové prvky, NASy a podobně. V těchto případech nemusíte přemýšlet nad tím, jakým způsobem CSR vygenerovat. Stačí uložit privátní klíč vytvořený v administraci SSLmarketu a použít ho po vystavení nového certifikátu k jeho instalaci.

Možnost vytvoření CSR je k dispozici všude tam, kde dosud byla pouze možnost jeho vložení. Kromě vložení vlastního CSR můžete kliknout na Vygenerovat CSR a dialog s vložením CSR bude vyplněn novou žádostí. Údaje jsou vyplněny dle detailů objednávky.

Po vygenerování CSR, které uvidíte v dialogu před sebou, je nutné zkopírovat a uložit příslušný privátní klíč (horní pole). SSLmarket ho samozřejmě neukládá a pokud si ho neuložíte Vy, nebude možné certifikát nasadit. Privátní klíč vidíte v textové podobě (Base64) a můžete ho uložit jako prostý text; na příponě webovému serveru nebude záležet.

Vygenerování CSR na serveru

Běžně se CSR získává vytvořením žádosti přímo na serveru pomocí nástrojů dostupných v serverovém operačním systému. Obecně lze tvrdit, že pokud umí server používat SSL/TLS, bude umět vytvořit i CSR request.

Vytvoření CSR pro Apache (a ostatní servery s OpenSSL)

Webový server Apache se skoro vždy používá v kombinaci s linuxovým serverem (a pouze výjimečně na Windows). Apache využívá díky modulu mod_ssl pro SSL/TLS protokol knihovnu OpenSSL. V něm je také možné vytvořit privátní klíč budoucího certifikátu a CSR request. Apache není jediný webový server, který se spoléhá na OpenSSL. Dalším oblíbeným je nginx, který tuto knihovnu používá také.

V OpenSSL se CSR vytvoří jednoduše - pomocí příkazu req v OpenSSL. Přesný postup najdete v článku Veřejný klíč (CSR request). Po zadání údajů, které si OpenSSL vyžádá, vytvoří v daném umístění CSR request jako soubor s příponou CSR. Obsah tohoto souboru (text) pak vložíte v SSLmarketu do své objednávky.

Na svém webovém serveru můžete využívat i jinou knihovnu než OpenSSL. Příkladem alternativních knihoven jsou projekty LibreSSL nebo BoringSSL (od Google). Před nasazením alternativních knihoven je potřeba prozkoumat podporu ze strany webového serveru, protože nasazení může vyžadovat přizpůsobení serveru.

Vytvoření CSR v IIS (na Windows serveru)

Microsoft server využívá webový server IIS a od verze 7 je podoba IIS prakticky stejná. Výrobce v nových verzích pouze přidává nové funkce jako SNI nebo protokol HTTP/2, ale postupy zůstávají víceméně stejné.

Webový server IIS obsahuje průvodce pro vytvoření žádosti o certifikát, který po vyplnění údajů o držiteli budoucího certifikátu vytvoří a uloží CSR request. Známým "chytákem" je nutnost vytvořit pokaždé nový CSR request. IIS sice nabízí možnost obnovy certifikátu, ale CSR pocházející z tohoto dialogu není možné použít (vytvořená žádost je v nesprávném formátu PKCS#7 místo PKCS#10). Proto je nutné vždy vytvořit žádost o nový certifikát.

Vytvoření CSR v IIS je snadné, ale přesto jsme pro Vás připravili videonávod, na který navazuje i instalace SSL certifikátu na IIS. Obě videa najdete v článku Jak udělat CSR a nainstalovat certifikát na server IIS.

Manuální vytvoření CSR

Žádost o certifikát můžete samozřejmě vytvořit i manuálně. V takovém případě je jedno, zdali ji tvoříte z existujícího privátního klíče, nebo vytvoříte nový. Doporučuji však privátní klíč měnit, například při obnově certifikátu.

Uživatelé linuxu a unixových systémů obecně mohou využít k vygenerování CSR program OpenSSL (viz odstavec CSR pro Apache výše). Uživatelům Windows doporučuji místo ekvivalentu v podobě OpenSSL zkompilovaného pro Windows raději nástroj s GUI; například opensource nástroj XCA pro správu certifikátů a klíčů.

Jak vidíte výše, možností získání CSR je několik. Nemusíte se tedy obávat toho, že je získání certifikátu složité. Pokud byste měli i tak problém s jeho získání, obraťte se na podporu SSLmarketu, která Vám ráda poradí.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz