OpenSSL - Opret CSR

For at kunne sende en anmodning om et SSL certifikat skal der bruges en Certificate Signing Request (CSR). Denne CSR og privatnøglen kan genereres på webserveren.

Generel information

OpenSSL er en commandline-program til at oprette og administrere certifikater. Dert er almindeligt anvendt af UNIX, Linux og BSD distributioner og det er også blevet porteret til Windows. OpenSSL anvendes i kombination med mange serverprodukter, herunder Apache, Lighttpd og forskellige routere og andet hardware. Denne vejledning beskriver, hvordan du bruger OpenSSL til at oprette en privat nøgle og et CSR.

Af praktiske overvejelser anbefales det at gemme alle filer og nøgler i én mappe, dog kan standardmappen til formålet være distributionsafhængig. Som eksempel i denne vejledning bliver /etc/ssl/cert/ brugt.
Bemærk: Det er yderst vigtigt at denne mappe er godt sikret.

Det kan anbefales at logge ind på serveren ved at bruge SSH, så CSR'en nemt kan kopieres til webbrowseren til certifikatanmodningen.

Opret CSR igennem OpenSSL-kommandoen

  1. Opret en forbindelse til serveren igennem SSH og log ind som bruger med root rettigheder. Brug cd-kommandoen til at tage til den mappe certifikaterne skal gemmes i: [root@server]# cd /etc/ssl/cert/
  2. Brug følgende kommando til at generere privatnøglen og CSR'en: [root@server cert]# openssl req -nodes -newkey rsa:2048 -keyout www_ditdomaene_dk.key -out www_ditdomaene_dk.csrBemærk: www_ditdomaene_dk erstattes af det domænenavn certifikatet skal bestilles for.
  3. Der skal nu udfyldes data som vil blive brugt til anmodningen af SSL Certifikatet. Det er meget vigtigt at dataen er identisk med det som står i domænets whois-information (som så skal være identisk med informationen på CVR registeret). Standardværdien er indikeret mellem parenteser til nogle felter, for eksempel: [standardværdien].Country Name (2 letter code) [AU]: DKState or Province Name (full name) [Some-State]: SjællandLocality Name (eg, city) []: KøbenhavnOrganization Name (eg, company) [Internet Widgits Pty Ltd]: Virksomhedens NavnOrganizational Unit Name (eg, section) []: ITCommon Name (eg, YOUR name) []: www.ditdomaene.dkEmail Address []:A challenge password []:An optional company name []:Navnet til den webserver som klienten skal kommunikeres med skal udfyldes ved Common Name (CN). I de fleste tilfælder er dette den komplette domæneneavn, som for eksempel: www.ditdomaene.dkBemærk: dog tilføjelsen (eg. YOUR name) er forvirrende i det er ikke mening at man udfylder sit eget navn i dette felt.Ved spørgsmålet om at udfylde en challenge password kan man bare tage videre uden at udfylde noget ved at trykke på Enter, ellers vil der blive bedt om denne adgangskode hver gang man starter webserveren.
  4. OpenSSL vil opretter to filer: privatnøglen (med navnet www_ditdomaene_dk.key) og CSR'en (med navnet www_ditdomaene_dk.csr).
  5. Sikker filen så kun brugere med root rettigheder kan komme til dem: [root@server cert]# chmod 600 *.key *.csr
  6. CSR'en kan nu vises ved at bruge cat-kommandoen: [root@server cert]# cat www_ditdomaene_dk.csr

Felterne e-mailadresse, og de valgfrie felter virksomhedsnavn og challenge-adgangskode skal forblive tom i anmodningsformularen til certifikatet (hvis man udfylder en challenge-adgangskode vil man blive bedt om den hver gang man starter serveren).

Lav et kopi af alt indholdet af den netop genererede CSR, inklusiv start- og slutlinjer og tag til anmodningssiden på vores hjemmeside for at bruge den til at sende en anmodning om et certifikat.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.