Webhosting – Nasazení vlastního SSL certifikátu

  Nastavení, Webhosting

Tento článek se zabývá generováním CSR žádosti a privátního klíče k SSL certifikátu.

Chcete-li na svém webhostingu zprovoznit HTTPS automaticky s certifikátem Let’s Encrypt, postupujte podle návodu v článku Webhosting – Základní nastavení HTTPS.

V tomto článku se dozvíte:

Generování privátního klíče a CSR

Prvním krokem k vygenerování vlastního certifikátu je vygenerování privátního klíče a podání žádosti CSR (Certificate Signing Request). Tuto žádost můžete podat například přes online CSR Generátor. Před vyplněním formuláře si pečlivě přečtěte výstražné pokyny.

Chete-li si vygenerovat privátní klíč a CSR sami, můžete použít linuxový nástroj OpenSSL. V terminálu proveďte následující kroky:

  1. Vygenerujte privátní klíč:
  2. openssl genrsa -out privatni_klic.key 2048
  3. Vygenerujte CSR žádost:
  4. openssl req -new -key privatni_klic.key -out CSR_zadost.csr
  5. Vyplňte požadované informace, a to bez diakritiky. Certifikační autorita tyto údaje před udělením certifikátu ověří. Zvláštní pozornost věnujte těmto položkám:
    • Country Name (2 letter code): Dvoupísmenný kód země
    • State or Province Name (full name): Celý název země
    • Locality Name (eg, city): Název města
    • Organization Name (eg, company): Celé jméno fyzické osoby, nebo název organizace
    • Common Name (e.g. server FQDN or YOUR name): Název webu (doména)
    • Email Address: kontaktní e-mail
Příklad: CSR informace pro doménu wds-test.cz
Country Name (2 letter code) [AU]: CZ
State or Province Name (full name) [Some-State]: Cesko
Locality Name (eg, city) []: Hluboka nad Vltavou
Organization Name (eg, company) [Internet Widgits Pty Ltd]: WEDOS INTERNET a.s.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: wds-test.cz
Email Address []: admin@wds-test.cz
A challenge password []:
An optional company name []:

Systém vygeneruje privátní klíč a žádost a uloží je do nešifrovaných souborů privatni_klic.key a CSR_zadost.csr.

Soubor s privátním klíčem uložte na bezpečné místo, ideálně na externí disk určený pouze k tomuto účelu.

Generování certifikátu

WEDOS nenabízí a nezprostředkovává vystavování certifikátů (mimo certifikátu Let’s Encrypt). Pro zabezpečení www stránek doporučujeme zvolit některou ze zahraničních certifikačních autorit, například:

Existuje také množství českých zprostředkovatelů, kteří Vám se získáním certifikátu pomohou, protože to nemusí být vždy jednoduchá a snadno pochopitelná záležitost.

Certifikát žádejte pro doménový název, který používáte v URL adresách vašeho webu. Pokud se názvy přesně neshodují, bude komunikace šifrovaná, ale nebude důvěryhodná (prohlížeč zobrazí varování).

Potřebujete-li zabezpečit více subdomén, žádejte „wildcard“ certifikát *.domena.tld.

Více domén (aliasů) zabezpečíte certifikátem SAN (Subject Alternative Name).

Příklady: Certifikáty pro doménu a subdomény wds-test.cz

Certifikát pro wds-test.cz bude fungovat pouze pro https://wds-test.cz. Nebude fungovat pro  https://www.wds-test.cz, protože www je subdoména, pro kterou není certifikát vystavený.

Certifikát pro www.wds-test.cz bude fungovat pouze pro https://www.wds-test.cz. Nebude fungovat pro https://wds-test.cz, ani žádnou jinou subdoménu, protože je vystavený pouze pro subdoménu www domény wds-test.cz.

Certifikát pro *.wds-test.cz (hvězdičkový „wildcard“ certifikát) bude fungovat pro https://www.wds-test.cz a libovolnou další subdoménu hlavní domény (https://eshop.wds-test.cz atd.). Nebude ale fungovat pro https://wds-test.cz, protože nejde o subdoménu, ani pro https://www.eshop.wds-test.cz, protože nejde o subdoménu hlavní domény.

Zadání certifikátu do administrace webhostingu

Po získání certifikátu jej zadejte do administrace následujícími kroky:

  1. Přihlaste se do zákaznické administrace.
  2. V horním menu vyberte Hostingové služby >> Webhosting.
  3. Zvolte webhosting, na kterém chcete SSL certifikát nasadit.
  4. V levém menu klikněte na HTTPS.
  5. Na hlavní stránce vyberte HTTPS s vlastním certifikátem na doméně (SNI).
  6. Vyplňte do formuláře privátní klíč a certifikát, obojí ve formátu PEM. Položky heslo k privátnímu klíči a certifikační řetěz jsou nepovinné.
  7. Klikněte na tlačítko Provést změny.
WEDOS Nastavení HTTPS s vlastníám certifikátem na doméně (SNI)
Nastavení HTTPS s vlastníám certifikátem na doméně (SNI)

Nastavení certifikátu se projeví do 90 minut.

Co je formát PEM?

PEM je formát pro ukládání kryptografických dat, zejména klíčů a certifikátů. Může vypadat například takto:

—–BEGIN CERTIFICATE REQUEST—–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—–END CERTIFICATE REQUEST—–

První a poslední řádek jsou informativní hlavička a patička, text mezi nimi je zašifrovaná CSR žádost.

Často kladené dotazy

Otázka: Jak mám vytvořit CSR žádost pro doménu i subdomény?
Odpověď: Do CSR žádosti zadávejte pouze název domény. Kvalitní certifikační autorita či zprostředkovatel doplní detaily certifikátu na základě vybrané varianty (wildcard, SAN, …) v průběhu verifikace.

Byl pro Vás tento návod užitečný?