Pro každou živou webovou stránku se certifikáty SSL staly klíčovým požadavkem. Certifikační autorita (CA) ověřuje a vydává certifikáty SSL. Existují dvě kategorie těchto certifikátů:
- Certifikáty s vlastním podpisem:Jak název napovídá, jedná se o certifikáty, které jsou podepsány identitou, která je vytváří, a nikoli důvěryhodnou certifikační autoritou. Většinou se používá v prostředí intranetu pro zkušební a vývojové účely.
- Certifikáty CA:Tyto certifikáty jsou podepsány důvěryhodnou CA (Certifikační autoritou), jako je Verisign, DigiCert, GoDaddy, Thawte atd.
Chcete-li získat certifikát SSL s vlastním podpisem nebo certifikát podepsaný certifikační autoritou, musíte nejprve vytvořit žádost o podepsání certifikátu (CSR). Po vygenerování CSR je poté odesláno certifikační autoritě k získání certifikátu SSL. CSR je blok zašifrovaného textu, který obsahuje všechny informace včetně názvu organizace, země, města, e-mailové adresy atd. potřebné pro vygenerování certifikátu SSL.
V tomto článku vysvětlíme, jak vygenerovat CSR na linuxovém serveru nebo desktopu pomocí příkazového řádku. Pro popis postupu uvedeného v tomto článku použijeme OS Debian 10.
Začínáme
Pro generování CSR na OS Debian budeme potřebovat nástroj OpenSSL. OpenSSL je open-source nástroj široce používaný pro generování CSR. Chcete-li zkontrolovat, zda je OpenSSL nainstalováno nebo ne, otevřete Terminál ve vašem operačním systému Debian a zadejte následující příkaz:
$ dpkg -l |grep openssl
Pokud je již nainstalován ve vašem systému, vrátí následující výsledky.
Instalace OpenSSL
Pokud nevidíte výše uvedené výsledky, musíte OpenSSL nainstalovat následovně:
Zadáním níže uvedeného příkazu v Terminálu přepnete na super uživatelský účet.
$ su
Zadejte požadované heslo. Poté spusťte níže uvedený příkaz a nainstalujte OpenSSL.
$ apt-get install openssl
Chvíli počkejte, než bude instalace OpenSSL dokončena.
Generování CSR
Spuštěním následujícího příkazu vygenerujte soukromý klíč a CSR. Syntaxe příkazu je následující:
$ openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr
Nahraďte doménu ve výše uvedeném příkazu s vaším vlastním názvem domény.
Zadejte několik podrobností, jako je název země; Stát, název organizace, e-mailová adresa atd. a ujistěte se, že jste zadali správné informace, protože budou později zkontrolovány certifikační autoritou.
Výše uvedený příkaz vygeneruje soukromý klíč v souboru domena.klíč a žádost o certifikát v souboru doména.csr a uložte jej do aktuálního adresáře.
Zobrazte a zkopírujte obsah soukromého klíče
Soukromé klíče, které budete později potřebovat, můžete zobrazit a uložit na svém serveru. Důležité však je se o to s nikým nedělit. Přejděte do adresáře, kde je uložen soubor klíče. Poté spusťte níže uvedenou metodu, abyste viděli obsah souboru soukromého klíče:
$ cat domain.key
Nahraďte doménu ve výše uvedeném příkazu s vaším vlastním názvem domény.
Chcete-li zkopírovat obsah souboru soukromého klíče, vyberte a zkopírujte celý obsah včetně značek „BEGIN PRIVATE KEY“ a „END PRIVATE KEY“.
Zobrazení a kopírování obsahu souboru CSR
Chcete-li získat certifikát SSL, budete muset odeslat žádost o certifikát certifikační autoritě zkopírováním a vložením celého obsahu souboru CSR.
Chcete-li zobrazit obsah souboru CSR, přejděte do adresáře, kde je soubor CSR uložen. Poté spusťte níže uvedenou metodu:
$ cat domain.csr
Nahraďte doménu ve výše uvedeném příkazu s vaším vlastním názvem domény.
Chcete-li zkopírovat obsah souboru CSR, vyberte a zkopírujte celý obsah včetně značek „ZAČÁTEK ŽÁDOST O CERTIFIKÁT“ a „KONEC ŽÁDOST O CERTIFIKÁT“.
To bylo vše, co potřebujete vědět o generování žádosti o podpis certifikátu (CSR) v OS Debian 10. Nyní můžete získat certifikát SSL od certifikační autority vložením obsahu souboru CSR do formuláře objednávky při registraci certifikátu SSL.