Tworzenie Certificate Signing Request (CSR)

Załóżmy, że tworzysz certyfikat dla domeny www.mojadomena.pl. Klucz prywatny i żądanie podpisania certyfikatu (CSR) zazwyczaj tworzy się w systemie Unix, uruchamiając następujące polecenie:

$ openssl req -new -sha256 -newkey rsa: 2048 -nodes -out www.mojadomena.pl.csr -keyout www.mojadomena.pl.key Generating a 2048 bit RSA private key ............. +++ ........................... ......... +++ writing new private key to 'www.mojadomena.pl.key' ----- Country Name (2 letter code) [XX]: PL State or Province Name (full name ) []: Warszawa Locality Name (eg, city) [Default City]: Warszawa Organization Name (eg, company) [Default Company Ltd]: Webhosting Organizational Unit Name (eg, section) []: Tech Department Common Name (eg, your name or your server's hostname) []: www.mojadomena.pl
        Email Address []: kontakt@mojadomena.pl Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Aplikacja znajduje się teraz w pliku www.mojadomena.pl.csr. Plik www.mojadomena.pl.key zawiera klucz prywatny - przechowuj go bezpiecznie i zachowaj w tajemnicy.

Jeśli tworzysz żądanie certyfikatu WildCard, wprowadź gwiazdkę (*.mojadomena.com) w polu „Common Name”. Certyfikat dla domeny www.mojadomena.pl będzie również obowiązywał dla nazwy mojadomena.pl - zasada nie obejmuje jednak CSR dla innych subdomen, np.:
- CSR dla www.mojadomena.pl - certyfikat będzie obowiązywał dla mojadomena.pl oraz www.mojadomena.pl
- CSR for mojadomena.pl - certyfikat będzie obowiązywał dla mojadomena.pl, ale nie dla www.mojadomena.pl
- CSR for www.sklep.mojadomena.pl - certyfikat będzie obowiązywał dla www.sklep.mojadomena.pl, ale nie będzie obowiązywał dla sklep.mojadomena.pl
- CSR for *.mojedomena.cz - certyfikat WildCard będzie obowiązywał dla mojadomena.pl, sklep.mojadomena.pl, www.mojadomena.pl, ..., ale nie będzie obowiązywał dla www.sklep.mojadomena.pl
 

Nie używaj znaków diakrytycznych podczas wypełniania. W przypadku domeny IDN najpierw przekonwertuj ją np. za pomocą narzędzia https://www.punycoder.com/.

Dalsze instrukcje dotyczące tworzenia CSR dla różnych serwerów (Microsoft IIS, Exchange, ...) można znaleźć pod adresem https://www.digicert.com/kb/csr-creation.htm.

Urząd certyfikacji zazwyczaj wymaga potwierdzenia posiadania domeny poprzez link przesłany na adres e-mail skrzynka@mojadomena.pl (do wyboru są następujące skrzynki: admin, administrator, hostmaster, postmaster, webmaster). Dlatego uruchom usługę pocztową dla jednego z tych adresów na serwerze. Inną opcją weryfikacji jest umieszczenie wymaganego tekstu pod adresem http://www.mydomain.com/.well-known/pki-validation/fileauth.txt.