Preskoči na vsebino

Kreiranje CSR zahtevka za Linux strežnik

Navodila opisujejo primer generiranja zahtevka za izdajo certifikata preko SSH odjemalca. Postopek se prične z generiranjem javnega in zasebnega ključa za strežnik ter CSR zahtevka za certifikat. Zahteva mora biti generirana s ključem, ki je dolg vsaj 2048 bitov. V spodnjih primerih se uporablja odprtokodni paket OpenSSL.

1.

Prenesite konfiguracijsko datoteko

Pri generiranju ključev in zahtevka za certifikat si lahko pomagate z dvema konfiguracijskima datotekama:

  • SCSreq.cnf – enostavna konfiguracijska datoteka za strežnik z enim imenom (FQDN)
  • multiSCSreq.cnf – konfiguracijska datoteka za strežnik z več imeni (FQDN)

V primeru generiranja zahtevka s pomočjo multiSCSreq.cnf, morate v konfiguracijsko datoteko pod razdelkom [alt_names] vpisati dodatna imena kot vrednosti elementov DNS.x (podana primera v konfiguracijski datoteki multiSCSreq.cnf DNS.1 = ime.arnes.si in DNS.2 = ime-dodatno.arnes.si ustrezno nadomestite).

Če želite privatni ključ zaščititi z geslom, v konfiguracijski datoteki zakomentirajte vrstico encrypt_key = no.

2.

Ustvarite privatni ključ in CSR zahtevek

Ko izberete ustrezno konfiguracijsko datoteko in imate nameščen OpenSSL programski paket, lahko pričnete z generiranjem zahtevka. 

Pred izvajanjem ukaza openssl z ukazom umask dodelite privilegij za branje za vse datoteke, ki nastanejo po izvršenem ukazu. Na ta način zaščitite privatni ključ strežnika, ki je tajni in ne sme biti javno dostopen.

Pri klicu ukaza openssl je potrebno podati pot do konfiguracijske datoteke, ki ste jo ustrezno pripravili za izdajo zahtevka. V našem primeru myserver.key in myserver.csr predstavljata naziv datotek, v kateri se zapišeta ustvarjen privatni ključ in zahteva za certifikat. Priporočljivo je, da datoteki poimenujete po strežniku.

Bodite pozorni, da tekom postopka vnašate ustrezne, točne podatke. Podatki (npr. ime organizacije) morajo biti identični podatkom za domeno (whois podatki). FQDN strežnika je odvisen od vrste certifikata, za katerega generirate zahtevek:

Generiranje zahtevka z enim imenom (FQDN):

$ umask 0377
$ openssl req -new -config SCSreq.cnf -keyout mojserver.key -out mojserver.csr

Generiranje zahtevka z več imeni (FQDN):

$ umask 0377
$ openssl req -new -config multiSCSreq.cnf -keyout mojserver.key -out mojserver.csr

3.

Preverite CSR zahtevek

Ustreznost zahtevka lahko preverite s spodnjim ukazom ali s pomočjo orodja Red Kestrel na povezavi https://redkestrel.co.uk/tools/decoder. 

openssl req -in mojserver.csr -text
4.

Posredujte CSR zahtevek

Zahtevek CSR morate iz enega izmed elektronskih naslovov, ki so zavedeni v TCS sporazumu, posredovati na elektronski naslov helpdesk@arnes.si.

Vam je bil ta članek v pomoč?

Orodna vrstica za dostopnost