Získání certifikátu SureServer EDU pro webový server
Z HelpDesk
Získání ceritifátu SureServer EDU od Globalsign
V případě že je webový server používán širokou veřejností z PC mimo správu ZČU je účelné pro něj získat certifikát SureServer EDU podepsaný certifikační autoritou Cybertrust CA. Pro získání takového certifikátu je nutné dodržet následující postup a počkat na vydání CA Cybertrust.
- Přesvědčit se, že je instalováno OpenSSL.
- Na stránce http://tools.cesnet-ca.cz/mkserverreq-work.phtml si vygenerujte příslušný konfigurační soubor pro OpenSSL a uložte jej do adresáře kde budete generovat žádost o certifikát pod názvem "server-req.cfg".
- Žádost o certifikát vygenerujte následujícím příkazem
openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg
- Uschovat soubor server.key a zapamatovat si heslo (pass-phrase). Podrobnosti o soukromém klíči RSA se dají zobrazit příkazem:
- openssl rsa -noout -text -in server.key
- Dále lze vytvořit nekryprovanou PEM verzi sokromého klíče RSA (není doporučeno) příkazem:
openssl rsa -in server.key.org -out server.key
- Žádost o certifikát již musí obsahovat všechna doménová jména, která požadujete v certifikátu
- Žádost si můžete pro kontrolu zobrazit:
openssl req -in server.csr -text
Takto žádost může vypadat:
Certificate Request: Data: Version: 0 (0x0) Subject: C=CZ, O=University of West Bohemia, CN=software.zcu.cz, CN=www.software.zcu.cz, CN=multisw.zcu.cz, CN=www.multisw.zcu.cz Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b0:a1:3b:33:7c:36:1e:a3:26:32:b4:45:d1:89: 25:91:a8:ba:38:0e:86:66:c1:3e: ...
- Nyní je třeba poslat CSR žádost (vygenerovaný soubor server.csr) o certifikát do fronty aaa-req@service.zcu.cz, do mailu, kromě žádosti připište i následující údaje:
- Název serveru
- Popis a účel
- Administrátor web. serveru, e-mail
- Používané aliasy
- Délka platnosti cert (standardně 2 roky)
- Obsah souboru server.csr včetně BEGIN a END značek
- Příklad:
Prosím o vydání ceritifikátu pro server: software.zcu.cz Správa licencí + požadavky na licence od uživatelů software.zcu.cz www.software.zcu.cz multisw.zcu.cz www.multisw.zcu.cz indy, indy (at) civ.zcu.cz platnost 2 roky -----BEGIN CERTIFICATE REQUEST----- MIIBxTCCAS4CAQAwgYQxCzAJBgNVBAYTAkNaMSMwIQYDVQQKExpVbml2ZXJzaXR5 IG9mIFdlc3QgQm9oZW1pYTEWMBQGA1UEAxMNa3Jha2VuLnpjdS5jejEbMBkGA1UE AxMSa3Jha2VuMS5jaXYuemN1LmN6MRswGQYDVQQDEZJrcmFrZW4yLmNpdi56Y3Uu Y3owgZ8wDQYJKoZIhvcNAQbBBQADgY0AMIGJAoGBANpH8fcb/OLdGJV+A/yOXL5A tP3avqLeCbId4rGIGv3tyKwk0nKaRD/Hgk4srixdIB+exq6oHvJ7+qd+4JiCp6Um 4QE7Dng1lx/+6DhKnsHoQhWCAGxGwIrDsbXgpRhyOouVN5wOZZW8lNzeib+BT9m3 e5r3ot5AjgpEIjnLJHLBAgMBAAGgADANBgkqhkiG9w0BAQUFAAOBgQAm6qAX4zeR 9h+DTeyUP0WLin4K7P0BdVeVRJLQP1/mpb6qy/YSlzi+wN4SEtcjAlKWfG8vTscb 3PkkhJiIQqWmlb8QB4mjlMDq52EQ5MhpTea+YbrM08wnaa9oiuO+nZ0FXM75zovC wZzsoM4dheOSdwg/wQ0VTMWsBkLrBF+Mqw== -----END CERTIFICATE REQUEST-----
- Po kontrole a zpracování žádosti administrátorem proběhne schvalovací proces mezi Cesnetem a admin kontaktem na ZČU a je vydán pokyn k podpisu CA Cybertrust.
- Po 5-7 dnech přijde mail s certifikátem od Globalsignu a stačí jej vložit na správné místo.