Tento článek se zabývá generováním CSR žádosti a privátního klíče k SSL certifikátu. Chcete-li na svém webhostingu zprovoznit HTTPS automaticky s certifikátem Let’s Encrypt, postupujte podle návodu v článku Webhosting – Rychlé nastavení HTTPS.
V tomto článku se dozvíte:
- Jak vygenerovat privátní klíč a CSR
- Jak vygenerovat certifikát
- Jak zadat certifikát do administrace webhostingu
- Často kladené dotazy
Generování privátního klíče a CSR
Prvním krokem k vygenerování vlastního certifikátu je vygenerování privátního klíče a podání žádosti CSR (Certificate Signing Request). Tuto žádost můžete podat například přes online CSR Generátor. Před vyplněním formuláře si pečlivě přečtěte výstražné pokyny.
Chete-li si vygenerovat privátní klíč a CSR sami, můžete použít linuxový nástroj OpenSSL. V terminálu proveďte následující kroky:
- Vygenerujte privátní klíč:
- Vygenerujte CSR žádost:
- Vyplňte požadované informace, a to bez diakritiky. Certifikační autorita tyto údaje před udělením certifikátu ověří. Zvláštní pozornost věnujte těmto položkám:
- Country Name (2 letter code): Dvoupísmenný kód země
- State or Province Name (full name): Celý název země
- Locality Name (eg, city): Název města
- Organization Name (eg, company): Celé jméno fyzické osoby, nebo název organizace
- Common Name (e.g. server FQDN or YOUR name): Název webu (doména)
- Email Address: kontaktní e-mail
Příklad: CSR informace pro doménu wds-test.cz
State or Province Name (full name) [Some-State]: Cesko
Locality Name (eg, city) []: Hluboka nad Vltavou
Organization Name (eg, company) [Internet Widgits Pty Ltd]: WEDOS INTERNET a.s.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: wds-test.cz
Email Address []: admin@wds-test.cz
A challenge password []:
An optional company name []:
Systém vygeneruje privátní klíč a žádost a uloží je do nešifrovaných souborů privatni_klic.key a CSR_zadost.csr.
Soubor s privátním klíčem uložte na bezpečné místo, ideálně na externí disk určený pouze k tomuto účelu.
Generování certifikátu
WEDOS nenabízí a nezprostředkovává vystavování certifikátů (mimo certifikátu Let’s Encrypt).
Pro zabezpečení www stránek doporučujeme zvolit některou ze zahraničních certifikačních autorit. Existuje také množství českých zprostředkovatelů, kteří Vám se získáním certifikátu pomohou, protože to nemusí být vždy jednoduchá a snadno pochopitelná záležitost.
Certifikát žádejte pro doménový název, který používáte v URL adresách vašeho webu. Pokud se názvy přesně neshodují, bude komunikace šifrovaná, ale nebude důvěryhodná (prohlížeč zobrazí varování).
Potřebujete-li zabezpečit více subdomén, žádejte „wildcard“ certifikát *.domena.tld.
Více domén (aliasů) zabezpečíte certifikátem SAN (Subject Alternative Name).
Příklady: Certifikáty pro doménu a subdomény wds-test.cz
Certifikát pro wds-test.cz bude fungovat pouze pro https://wds-test.cz. Nebude fungovat pro https://www.wds-test.cz, protože www je subdoména, pro kterou není certifikát vystavený.
Certifikát pro www.wds-test.cz bude fungovat pouze pro https://www.wds-test.cz. Nebude fungovat pro https://wds-test.cz, ani žádnou jinou subdoménu, protože je vystavený pouze pro subdoménu www domény wds-test.cz.
Certifikát pro *.wds-test.cz (hvězdičkový „wildcard“ certifikát) bude fungovat pro https://www.wds-test.cz a libovolnou další subdoménu hlavní domény (https://eshop.wds-test.cz atd.). Nebude ale fungovat pro https://wds-test.cz, protože nejde o subdoménu, ani pro https://www.eshop.wds-test.cz, protože nejde o subdoménu hlavní domény.
Zadání certifikátu do administrace webhostingu
Po získání certifikátu jej zadejte do administrace následujícími kroky:
- Přihlaste se do zákaznické administrace.
- V horním menu vyberte Hostingové služby >> Webhosting.
- Zvolte webhosting, na kterém chcete SSL certifikát nasadit.
- V levém menu klikněte na HTTPS.
- Na hlavní stránce vyberte HTTPS s vlastním certifikátem na doméně (SNI).
- Vyplňte do formuláře privátní klíč a certifikát, obojí ve formátu PEM. Položky heslo k privátnímu klíči a certifikační řetěz jsou nepovinné.
- Klikněte na tlačítko Provést změny.
Nastavení certifikátu se projeví do 90 minut.
Co je formát PEM?
PEM je formát pro ukládání kryptografických dat, zejména klíčů a certifikátů. Může vypadat například takto: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—–END CERTIFICATE REQUEST—–
První a poslední řádek jsou informativní hlavička a patička, text mezi nimi je zašifrovaná CSR žádost.
Často kladené dotazy
Otázka: Jak mám vytvořit CSR žádost pro doménu i subdomény?
Odpověď: Do CSR žádosti zadávejte pouze název domény. Kvalitní certifikační autorita či zprostředkovatel doplní detaily certifikátu na základě vybrané varianty (wildcard, SAN, …) v průběhu verifikace.