Jak vytvořit Certificate Signing Request (CSR)?


 Předpokládejme, že vytváříte certifikát pro doménu www.mojedomena.cz. Privátní klíč a žádost o podepsání certifikátu (Certificate Signing Request, CSR) vytvoříte typicky na unixovém systému spuštěním následujícího příkazu:

$ openssl req -new -sha256 -newkey rsa:2048 -nodes -out www.mojedomena.cz.csr -keyout www.mojedomena.cz.key

Generating a 2048 bit RSA private key
....................................+++
writing new private key to 'www.mojedomena.cz.key'
-----
Country Name (2 letter code) [XX]: CZ
State or Province Name (full name) []: Hlavni mesto Praha
Locality Name (eg, city) [Default City]: Prague
Organization Name (eg, company) [Default Company Ltd]: Webhosting a Syn s.r.o.
Organizational Unit Name (eg, section) []: Tech Department
Common Name (eg, your name or your server's hostname) []: www.mojedomena.cz
Email Address []: kontakt@spravcedomeny.cz
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  
 Žádost se nyní nachází v souboru www.mojedomena.cz.csr. Soubor www.mojedomena.cz.key obsahuje privátní klíč - pečlivě ho uschovejte a držte v tajnosti.

 Pokud vytváříte žádost o wildcard certifikát, zadejte do pole "Common Name" hvězdičku (*.mojedomena.cz). Certifikát pro doménu www.mojedomena.cz bude platný i pro jméno mojedomena.cz - to ale neplatí pro CSR jiné subdomény, např.:
- CSR pro www.mojedomena.cz - cert. bude platný pro mojedomena.cz a www.mojedomena.cz
- CSR pro mojedomena.cz - cert. bude platný pro mojedomena.cz a nebude platný pro www.mojedomena.cz
- CSR pro www.shop.mojedomena.cz - cert. bude platný pro www.shop.mojedomena.cz a nebude platný pro shop.mojedomena.cz
- CSR pro *.mojedomena.cz - wildcard cert. bude platný pro mojedomena.cz, shop.mojedomena.cz, www.mojedomena.cz, ... a nebude platný pro www.shop.mojedomena.cz

 Při vyplňování CSR nepoužívejte diakritiku, v případě IDN domény ji nejdříve převeďte např. pomocí nástroje https://www.punycoder.com/ .
 
 Další návody na vytvoření CSR pro různé servery (Microsoft IIS, Exchange, ...) nalezenete na adrese https://www.digicert.com/kb/csr-creation.htm.
 
 Certifikační autorita obvykle požaduje potvrzení vlastnictví domény prostřednictvím odkazu zaslaného na e-mail schránka@mojedomena.cz (je možné vybrat z následujících schránek: admin, administrator, hostmaster, postmaster, webmaster). Na serveru tedy zprovozněte poštovní služby pro jednu z těchto adres. Další možnost validace představuje umístění požadovaného textu na adresu 
http://www.mojedomena.cz/.well-known/pki-validation/fileauth.txt .

V případě ztráty privátního klíče lze provést jeho přegenerování ("reissue") s novou CSR žádostí podle následujícího návodu: