ECC (Elliptic Curve Cryptography, šifrování eliptickou křivkou) má oproti RSA hned několik výhod. Za prvé, typický ECC s 256-bit klíčem je zhruba 10 000 krát silnější než nejrozšířenější RSA 2048-bit. Za druhé, výrazně kratší 256-bit ECC klíč vyžaduje mnohem méně výpočetní kapacity (procesoru i paměti) serveru než 2048-bit RSA. Přechod na ECC znamená mimo jiné i nižší nároky na konektivitu.
CSR Generátor
CSR žádost s 256-bit ECC klíčem můžete pohodlně vygenerovat pomocí nástroje
Generování CSR žádosti (Certificate Signing Request) probíhá ve dvou krocích — generování privátního klíče a poté generování CSR žádosti. V našem příkladu budeme generovat CSR žádost pro doménu www.ssls.cz.
Generování Privátního klíče
Nejprve je potřeba vytvořit tzv. privátní klíč, s jehož pomocí později vygenerujeme CSR žádost. Privátní klíč s 256-bit ECC vygenerujete pomocí OpenSSL příkazem:
openssl ecparam -out www.ssls.cz.key -name prime256v1 -genkey
Privátní klíč nyní máte uložený v souboru www.ssls.cz.key. Tento soubor si uschovejte a ujistěte se, že k němu máte přístup pouze vy, popřípadě oprávněná osoba!
Budete jej potřebovat při instalaci SSL certifikátu na server! Nelze jej generovat dodatečně!
Nyní náš Privátní klíč použijeme pro vytvoření CSR žádosti o podepsání SSL certifikátu:
Generování CSR žádosti
Pozornost dbejte zejména ve chvíli, kdy budete vyzváni k zadání tzv. Common Name, kde musíte zadat přesný název domény, pro kterou bude podepsaný certifikát vystaven. Pokud generujete CSR žádost o vystavení SSL certifikátu pro Wildcard certifikát, pak je nutné jako Common Name uvést doménu s hvězdičkou ve tvaru *.ssls.cz.
Při generování CSR žádosti mějte na paměti, že www.ssls.cz a ssls.cz (s 'www' a bez 'www') jsou dvě různé domény. Před aktivací SSL certifikátu se musíte rozhodnout, kterou variantu chcete zabezpečit. U většiny SSL certifikátů je při poskytnutí CSR žádosti pro doménu s 'www' zdarma přidána i tatáž doména bez 'www', a tudíž jsou jedním SSL certifikátem zabezpečeny obě varianty.
openssl req -new -sha256 -key www.ssls.cz.key -nodes -out www.ssls.cz.csr
Poté budete dotázáni na několik informací, které budou v CSR žádosti uvedeny. Tyto informace později budou uvedeny v SSL certifikátu (výjma DV certifikátů s ověřením domény).
Při vyplňování údajů nepoužívejte diakritiku (háčky a čárky) a znak '&' (nahraďte slovem 'and').
Country Name (2 letter code) [AU]: CZ State or Province Name (full name) [Some-State]: Praha Locality Name (eg, city) []: Praha 10 Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma nebo cele jmeno Organizational Unit Name (eg, section) []: IT oddeleni Common Name (eg, YOUR name) []: www.ssls.cz Email Address []: info@ssls.cz
Please enter the following 'extra' attributes to be sent with your request A challenge password []: nevyplňujte An optional company name []: nevyplňujte
CSR žádost nyní najdete v souboru www.ssls.cz.csr.
Celý obsah .csr souboru, včetně prvního a posledního řádku s ----- pomlčkami, zkopírujte do formuláře při aktivaci SSL certifikátu v sekci Moje certifikáty.
Příklad CSR žádosti:
← Toto je příklad vygenerované ECC CSR žádosti.
Nezapomeňte, že důležité jsou i první řádek s: -----BEGIN CERTIFICATE REQUEST-----
a poslední řádek: -----END CERTIFIFACE REQUEST-----
Přihlášení
