• FAQ
• SubmitCsr
• CZ

• česky | english

Krátký úvod: Generování žádosti o certifikát k odeslání do CA

Viz též:

• Co je to CSR?

• Moje CSR žádost má binární tvar P10 (.p10) - co s tím?

• Použití OpenSSL k generování CSR

Pozor, prosím:

Pokud v podstatě nezaručujete svoji společnost, nebude na Vašich certifikátech nic jiného, než commonNames a subjectAltNames, ostatní pole budou odstraněna!

Žádost o podání certifikátu

Abyste si mohli vyžádat certifikát serveru/SSL pro doménu, musíte si napřed tu doménu zaregistrovat. Na Vaši privilegovanou adresu (postmaster, webmaster,... @mydomain.net) pošleme testovací e-mail. Pak můžete předložit CSR. Protože tato registrace ověřuje pouze doménu, musí být použita určitá omezení obsahu polí v certifikátu.

Příklad:

Obecný název (CommonName, cn): *.mydomain.net

pro pokročilé uživatele - můžete vygenerovat jediný SSL certifikát pro několik domén a/nebo názvů počítačů pomocí subjectAltName, podle RFC 2818

Žádost o certifikát (CSR):

Subject: C=Au, ST=NSW, L=Sydney, O=CAcert Inc.,
 CN=*.cacert.org/emailAddress=support@cacert.org
 /subjectAltName=DNS:*.cacert.org/subjectAltName=DNS:cacert.org

Podepsaný certifikát:

Subject: C=Au, ST=NSW, L=Sydney, O=CAcert Inc.,
 CN=*.cacert.org/emailAddress=support@cacert.org
 X509v3 Subject Alternative Name:
 DNS:*.cacert.org, othername:<unsupported>, DNS:cacert.org, othername:<unsupported>

Další informace o virtuálních strojích VHOSTS

• Prosím, podívejte se na Více informací o virtuálech (Virtual Hosts) a skriptech k vygenerování CSR

• Indikace názvu serveru (Server Name Indication, SNI) v MS IIS8 a MS IIS8.5: Více certifikátů s použitím SNI

Technické poznámky:

Co je to subjectAltName?

• subjectAltName udává další identity subjektu, ale jen pro názvy strojů (a všechno ostatní definované pro subjectAltName)
• subjectAltName musí být vždy použito (RFC 2818 4.2.1.7, 1. odstavec). CN se vyhodnocuje, jen když subjectAltName není uvedeno a pouze jako kompatibilita se starým, nepřizpůsobeným softwarem. Takže když nastavíte subjectAltName, musíte ho použít pro všechny názvy počítačů, e-mailové adresy, atd., nejen ty "přídavné".

subjectAltName a CAcert CSR analyzátor

• Analyzátor CSR odstraní všechny commonNames a subjectAltNames, jestliže nemůže najít v systému (DNS) doménu z Vašeho účtu. (Seznam domén na Vašem účtu můžete vidět po přihlášení k webu v sekci domény po kliknutí na Zobrazit [aby odkaz fungoval, je třeba přihlásit se uživatelským jménem a heslem, nikoli certifikátem!]).

• Vzhledem ke standardům bude commonName ignorováno, pokud poskytnete v certifikátech subjectAltName, ověřené, že funguje v obou posledních verzích MS Internet Exploreru a Firefoxu (z 12.05.2005)...

Další četba

• Práce s více subjectAltName(s) v CSR pomocí OpenSSL

• CategoryCommunity

• CategoryConfiguration

• CategoryGuide

• CategorySoftware

• CategorySupport