Nyilvános kulcs (CSR kérés)

A nyilvános kulcs (CSR) nélkülözhetetlen az SSL tanúsítvány kiállításához. Ezt a nyilvános kulcsot az Ön számára az oldalai karbantartója (webhosting vállalat) vagy maga a szerver adminisztrátora generálja ki, amelyen azon domain van elhelyezve, amely számára az SSL tanúsítvány ki lesz állítva.

A CSR generálásának pontos menetét a közismert Apache és a IIS webszerverekre lejjebb találják.

A nyilvános kulcs kigenerálásának pontos folyamatát az adott tanúsítvány hatóság részletes útmutatójában találja. 

Csak ki kell választania az Ön által használt webplatformot: Thawte, Symantec (VeriSign), GeoTrust, RapidSSL.

A nyilvános kulcs kigenerálásához az alábbiak ismerete szükséges:

Common name: a domain pontos neve
Organization: a vállalat, domain tulajdonosának neve
Organizational unit: egység, cél
City/locality: város
State/province: állam
Country/region: államkód
Key Size: 2048 bit

A feltüntetett információk példája:

Common name: www.zoner.hu
Organization: ZONER software Kft.
Organizational unit: Internet
City/locality: Győr
State/province: Hungary
Country/region: HU
Key Size: 2048 bit

 
Figyelmeztetés: Van különbség a között, ha egy domain neve "www"-vel íródik (pl. www.zoner.hu) és a között, ha nem. (pl. zoner.hu). A tanúsítványban szereplő nevektől eltérő nevezetű oldalakra való látogatáskor egy hibaüzenet jelenik meg a tanúsítvánnyal kapcsolatban egy másik domain számára. Ezért fontos, hogy olyan nevet válasszon, mely azon weboldalak neveinek felel meg, amelyeket SSL tanúsítvánnyal szeretne bebiztosítani. A vállalat nevének meg kéne egyeznie a kereskedelmi nyilvántartásban szereplő névvel. A NYILVÁNOS KULCSBAN NE HAZNÁLJON ÉKEZETEKET.

A CSR generálása az SSLmarket-ben

A CSR request-et egyenesen az SSLmarket adminjában is létrehozhatja. Ez a lehetőség nagy segítség, ha nincs hozzáférésünk a szerverhez, nem érhető el a szerver adminisztrátora, hogy létre hozza nekünk a CSR-t, vagy a készülékünk nem támogatja a CSR létrehozását (NAS-ok, hálózati elemek).


CSR generálás az Apache és nginx számára



A Linux szerverek a titkosításhoz, illetve a kulcsokkal való munkához OpenSSL könyvtárat használnak. Bennük a linux szerveren generálhatja ki a CSR request-et azon tanusítvány számára, amelyet az Apache vagy a nginx szerver fog használni.

A szerverre való sikeres kapcsolódást követően szükséges a CSR request-nyilvános kulcs generálása. Ez egy tanusítvány kérvény, amelyet szükséges a tanusítvány kibocsátónak (CA) eljuttatni, illetve az SSL tanusítvány megrendelésbe kell elmenteni.

Tehát, CSR-t generálunk az OpenSSL-ben. Hogy legyen áttekintésünk a tanusítványok elhelyezkedéséről, létrehozunk számukra egy "ssl" mappát az "/etc" könyvtárban és átlépünk ebbe az új mappába.

mkdir /etc/ssl/teszt.hu && cd /etc/ssl/teszt.hu

Jelen esetben az újonnan létrehozott mappában vagyunk. A következő parancsal elindítsuk az OpenSSL-t és kigeneráljuk a 2048 bites privát kulcsot.

openssl genrsa -out teszt.hu.key 2048

A privát kulcs a tanusítvánnyal titkosított kommunikáció kikódolására szolgál, ezért illetéktelen személy nem juthat hozzá. A hozzáférés csak a tulajdonosnak engedélyezett és mint tulajdonost a webszervert állítjuk be, amely használni fogja.

chmod 600 teszt.hu.key

chown www-data teszt.hu.key

Magát a nyilvános kulcsot a következő parancsal kell kigenerálni:

openssl req -new -key teszt.hu.key -out teszt.hu.csr

Szükséges lesz pár adat megadása a kulcshoz és a jövőbeli tanusítványhoz. A legfontosabb a Common name - a domain neve, amelyiken a tanusítvány futni fog, és a Country - HU. Ezek az adatok nélkül a tanusítvány kérelmezése nem lehetséges. Ha próba vagy DV tanusítványt kérelmez, akkor elég ezt a két adatot megadni. Ha magasabb szintű ellenőrzésű tanusítványt igényel, szükséges a többi adat megadása. Azok jelentése megtalálható ennek a cikknek az elején. A Challenge password-ot az utolsó lépésnél ne adják meg.

A létrehozott CSR-t be kell másolni a megrendelésbe. Nyissuk meg nano editorban és másoljuk.

root@navod:/etc/ssl/teszt.hu# nano teszt.hu.csr

A Ctrl + X rövidítéssel térjünk vissza a terminálba és a másolt szöveget a CSR-vel illesszük be az SSL tanusítvány rendelésbe. A tanusítvány az Ön CSRjével lesz kérvényezve. Amint megtörténik az ellenőrzés, a DV tanusítvány és a FreeSSL esetében az ellenőrző e-mail visszaigazolását követően, a tanusítvány kibocsátására kerül sor, melyet e-mailben kapnak meg az SSLmarket-től.

 

CSR generálása Windows Szerveren

A Windows Szerver IIS webszervert használ. A 7 verziótól egészen a 8.5 verzióig a CSR request generálásának menete teljesen megegyezik. A Szerver kéri majd  a CSR-be elmentett adatokat és ezt követően a tanusítvány kérelemmel együtt elmenti a szöveges fájlt.

 

A CSR elmentése a SSLmarketbe

A kigenerált nyilvános kulcsot helyezze a megrendelt SSL tanúsítvány adminisztratív felelütére, amelyhez már kapott hozzáférést. Bejelentkezés után jelenítse meg a megrendelés részleteit és a "Nyilvános kulcs (CSR)" tételnél válassza az "Új beillesztése" opciót.

Ha a hozzáadott nyilvános kulcs rendben van, akkor megjelennek a részletei az adminisztratív felületen. A CSR request tartalmát és helyességét ellenőrizheti úgyszintén itt .

Szükség esetén kérjük vegye fel a kapcsolatot az SSLmarket ügyfélszolgálatával.