Tworzenie Certificate Signing Request (CSR)

Klucz CSR można wygenerować za pomocą przeglądarkowego interfejsu, który znajduje się pod adresem: https://extwebra.actalis.it/portal/uapub/tools/generatecsr?reqid=&lang=en (Klucz prywatny zostanie wygenerowany w przeglądarce i nie będzie przesłany na inny serwer - zachowaj klucz we własnym zakresie).

Generowanie klucza na Unix
Załóżmy, że tworzysz certyfikat dla domeny www.polskiinternet.pl. Klucz prywatny i żądanie podpisania certyfikatu (CSR) zazwyczaj tworzy się w systemie Unix, uruchamiając następujące polecenie:

$ openssl req -new -sha256 -newkey rsa:2048 -nodes -out www.polskiinternet.pl.csr -keyout www.polskiinternet.pl.key

Generating a 2048 bit RSA private key
....................................+++
writing new private key to 'www.polskiinternet.pl.key'
-----
Country Name (2 letter code) [XX]: PL
State or Province Name (full name) []: Podaj województwo
Locality Name (eg, city) [Default City]: Miasto
Organization Name (eg, company) [Default Company Ltd]: Nazwa i
Organizational Unit Name (eg, section) []: Tech Department
Common Name (eg, your name or your server's hostname) []: www.polskiinternet.pl
Email Address []: kontaktowy adres mailowy
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Aplikacja znajduje się teraz w pliku www.polskiinternet.pl.csr. Plik www.polskiinternet.pl.key zawiera klucz prywatny - przechowuj go bezpiecznie i zachowaj w tajemnicy.

Jeśli tworzysz żądanie certyfikatu WildCard, wprowadź gwiazdkę (*.polskiinternet.com) w polu „Common Name”. Certyfikat dla domeny www.polskiinternet.pl będzie również obowiązywał dla nazwy polskiinternet.pl - zasada nie obejmuje jednak CSR dla innych subdomen, np.:
- CSR dla www.polskiinternet.pl - certyfikat będzie obowiązywał dla polskiinternet.pl oraz www.polskiinternet.pl 
- CSR for polskiinternet.pl - certyfikat będzie obowiązywał dla polskiinternet.pl, ale nie dla www.polskiinternet.pl 
- CSR for www.sklep.polskiinternet.pl - certyfikat będzie obowiązywał dla www.sklep.polskiinternet.pl, ale nie będzie obowiązywał dla sklep.polskiinternet.pl 
- CSR for *.polskiinternet.cz - certyfikat WildCard będzie obowiązywał dla polskiinternet.pl, sklep.polskiinternet.pl, www.polskiinternet.pl, ..., ale nie będzie obowiązywał dla www.sklep.polskiinternet.pl 
 

Nie używaj znaków diakrytycznych podczas wypełniania. W przypadku domeny IDN najpierw przekonwertuj ją np. za pomocą narzędzia https://www.punycoder.com/.

Dalsze instrukcje dotyczące tworzenia CSR dla różnych serwerów (Microsoft IIS, Exchange, ...) można znaleźć pod adresem https://www.digicert.com/kb/csr-creation.htm.

Urząd certyfikacji zazwyczaj wymaga potwierdzenia posiadania domeny poprzez link przesłany na adres e-mail skrzynka@polskiinternet.pl (do wyboru są następujące skrzynki: admin, administrator, hostmaster, postmaster, webmaster). Dlatego uruchom usługę pocztową dla jednego z tych adresów na serwerze. Inną opcją weryfikacji jest umieszczenie wymaganego tekstu pod adresem http://www.mydomain.com/.well-known/pki-validation/fileauth.txt.