Tento článek se zabývá generováním CSR žádosti a privátního klíče k SSL certifikátu. Chcete-li na svém Webhostingu zprovoznit HTTPS automaticky s certifikátem Let’s Encrypt, postupujte podle návodu v článku Webhosting – Rychlé nastavení HTTPS.
V tomto článku se dozvíte:
- Jak vygenerovat privátní klíč a CSR
- Jak vygenerovat certifikát
- Jak zadat certifikát do administrace webhostingu
- Často kladené dotazy
Generování privátního klíče a CSR
Prvním krokem k vygenerování vlastního certifikátu je vygenerování privátního klíče a podání žádosti CSR (Certificate Signing Request). Tuto žádost můžete podat například přes online CSR Generátor ⧉ (externí odkaz). Před vyplněním formuláře si pečlivě přečtěte výstražné pokyny.
Chete-li si vygenerovat privátní klíč a CSR sami, můžete použít linuxový nástroj OpenSSL. V terminálu proveďte následující kroky:
- Vygenerujte privátní klíč:
openssl genrsa -out privatni_klic.key 2048 - Vygenerujte CSR žádost:
openssl req -new -key privatni_klic.key -out CSR_zadost.csr - Vyplňte požadované informace, a to bez diakritiky. Certifikační autorita tyto údaje před udělením certifikátu ověří. Zvláštní pozornost věnujte těmto položkám:
- Country Name (2 letter code): Dvoupísmenný kód země
- State or Province Name (full name): Celý název země
- Locality Name (eg, city): Název města
- Organization Name (eg, company): Celé jméno fyzické osoby, nebo název organizace
- Common Name (e.g. server FQDN or YOUR name): Název webu (doména)
- Email Address: kontaktní e-mail
Systém vygeneruje privátní klíč a žádost a uloží je do nešifrovaných souborů privatni_klic.key a CSR_zadost.csr.
Soubor s privátním klíčem uložte na bezpečné místo, ideálně na externí disk určený pouze k tomuto účelu.
Generování certifikátu
WEDOS nenabízí a nezprostředkovává vystavování certifikátů (mimo certifikátu Let’s Encrypt ⧉).
Pro zabezpečení www stránek doporučujeme zvolit některou ze zahraničních certifikačních autorit. Existuje také množství českých zprostředkovatelů, kteří Vám se získáním certifikátu pomohou, protože to nemusí být vždy jednoduchá a snadno pochopitelná záležitost.
Certifikát žádejte pro doménový název, který používáte v URL adresách vašeho webu. Pokud se názvy přesně neshodují, bude komunikace šifrovaná, ale nebude důvěryhodná (prohlížeč zobrazí varování).
Potřebujete-li zabezpečit více subdomén, žádejte „wildcard“ certifikát *.domena.tld.
Více domén (aliasů) zabezpečíte certifikátem SAN (Subject Alternative Name).
Nasazení certifikátu na Webhosting
Po získání certifikátu jej zadejte do administrace následujícími kroky:
- Přihlaste se do zákaznické administrace ⧉.
- V horním menu vyberte Hostingové služby Webhosting.
- Zvolte webhosting, na kterém chcete SSL certifikát nasadit.
- V levém menu klikněte na HTTPS.
- Vyberte HTTPS s vlastním certifikátem na doméně (SNI).
- Vyplňte do formuláře privátní klíč a certifikát, obojí ve formátu PEM. Položky heslo k privátnímu klíči a certifikační řetěz jsou nepovinné.
- Klikněte na tlačítko Provést změny.
Nastavení certifikátu se typicky projeví do 90 minut.
Často kladené dotazy
Jak mám vytvořit CSR žádost pro doménu i subdomény?
Do CSR žádosti zadávejte pouze název domény. Kvalitní certifikační autorita či zprostředkovatel doplní detaily certifikátu na základě vybrané varianty (wildcard, SAN, …) v průběhu verifikace.