Získání serverového certifikátu TCS COMODO pro webový server

Z HelpDesk

Získání certifikátu TCS od CA DigiCERT

Provozujete-li webový SSL server je nutné jej opatřit příslušným certifikátem. Certifikát který můžete získat dle následujícího postupu je podepsán kořenovou CA DigiCert, která je standardně předinstalovaná ve většině prohlížečů. Pro vydání správného certifikátu budete potřebovat doménové jméno serveru a všechna doménová jména aliasů, která hodláte pro danou aplikaci využívat.


  • Přesvědčit se, že je instalováno OpenSSL.
  • Na stránce https://tcs.cesnet.cz/requestconfig/ si vygenerujte příslušný konfigurační soubor pro OpenSSL a uložte jej do adresáře kde budete generovat žádost o certifikát pod názvem "server-req.cfg". Nevyžaduje-li to povaha serveru jinak doporučuji vybrat název organizace česky s diakritikou.

Vytvoření konfiguračního souboru pro OpenSSL

  • Uložte konfigurační soubor ssl např:
 cat>server-req.cfg
  • Žádost o certifikát vygenerujte následujícím příkazem
openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg
  • Uschovat soubor server.key.org a zapamatovat si heslo (pass-phrase).
  • Dále lze vytvořit nekryprovanou PEM verzi soukromého klíče RSA (pro secure aplikace není doporučeno) příkazem:
openssl rsa -in server.key.org -out server.key
  • Žádost o certifikát již musí obsahovat hlavní doménové jméno, ostatní jména mohou být přidána při zpracování žádosti dále. Žádost si můžete pro kontrolu zobrazit:
openssl req -in server.csr -text

Žádost může vypadat následovně:

 Certificate Request:
     Data:
       Version: 0 (0x0)
       Subject: C=CZ, O=Západočeská univerzita v Plzni, CN=whois.zcu.czsoftware.zcu.czCN=www.multisw.zcu.cz
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (2048 bit)
               Modulus (2048 bit):
                   00:b0:a1:3b:33:7c:36:1e:a3:26:32:b4:45:d1:89:
                   25:91:a8:ba:38:0e:86:66:c1:3e: ...
  • Nyní můžete postupovat dvěma způsoby:

1. Podat žádost přímo na Registrační autoritu

    • Přihlásit se na stránce https://shib-sp.zcu.cz/meta/tcs.html vložit údaje o své osobě a CSR žádost vybrat Západočeská univerzita. Žádost o TCS serverový certifikát může vypadat např. takto:

Podání žádosti o TCS certifikát

  • Nyní máte poslední možnost upravit doménová jména, která budou v certifikátu, dále je nutné nastavit název organizace v certifikátu (doporučuji česky s diakritikou), nastavte platnost certifikátu a stiskněte pokračovat.
  • Jakmile stiknete pokračovat systém na vaší e-mailovou adresu pošle informaci o podaném certifikátu.
  • Nyní je vhodné poslat žádost o schválení certifikátu na adresu aaa-req@service.zcu.cz. Žádost by měla obsahovat následující údaje o názvu serveru, účelu použítí a administrátorovi:
Prosím o vydání ceritifikátu pro server:
software.zcu.cz
Správa licencí + požadavky na licence od uživatelů
indy, indy (at) civ.zcu.cz
  • Jakmile bude vaše žádost schválena dostanete e-mail s odkazem, kde si můžete stáhnout certifikát serveru a certifikát všech certifikačních autorit v řetězci.


2. Zašlete CSR žádost administrátorům. Hotový certifikát vám zašlou po jeho podepsání mailem zpět.

  • Nyní je třeba poslat CSR žádost (vygenerovaný soubor server.csr) o certifikát do fronty aaa-req@service.zcu.cz, do mailu, kromě žádosti připište i následující údaje:
Název serveru
Popis a účel
Administrátor web. serveru, e-mail
Používané aliasy
Délka platnosti cert (standardně 2 roky)
Obsah souboru server.csr včetně BEGIN a END značek
Příklad:
Prosím o vydání ceritifikátu pro server:
software.zcu.cz
Správa licencí + požadavky na licence od uživatelů
software.zcu.cz www.software.zcu.cz multisw.zcu.cz www.multisw.zcu.cz
indy, indy (at) civ.zcu.cz
platnost 3 roky

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
  • Po kontrole a zpracování žádosti administrátorem proběhne schvalovací proces.
  • Jakmile bude vaše žádost zpracována dostanete na uvedenou e-mailovou adresu hotový certifikát, nebo odkaz odkud certifikát stáhnout.


  • Pro použití certifikátu ve webovém serveru Apache uložte certifikát typu v textovém formátu (odkaz text) do souboru např. server.crt. Dále budete potřebovat soubor s certifikátem kořenové autority a všech příslušných autorit.
cd /etc/apache2/ssl/
wget -O - "https://pki.cesnet.cz/_media/certs/chain_geant_ov_rsa_ca_4.pem" >ca-chain.pem
  • Většina moderních webserverů vyžaduje řetězec certifikátů certifikačních autorit jako součást souboru s certifikátem.
cat ca-chain.pem >> server.crt
  • Následně do konfigurace apache v definici ssl je nutné vložit tyto volby"
     SSLVerifyDepth 3
     SSLCertificateFile /etc/apache2/ssl/server.crt
     SSLCertificateKeyFile /etc/apache2/ssl/server.key
  • Pro zobrazení detailů certifikátu můžeme využít webový prohlížeč, kde klikneme na detaily použítého certifikátu dané webové stránky, případně na serveru můžeme zavolat následující příkaz:
openssl x509 -in server.crt -noout -text