Krátký úvod: Generování žádosti o certifikát k odeslání do CA

Viz Co je to CSR ?

Použití OpenSSL k generování CSR

Pozor, prosím:

Pokud v podstatě nezaručujete svoji společnost, nebude na Vašich certifikátech nic jiného, než commonNames a subjectAltNames, ostatní pole budou odstraněna!

Žádost o podání certifikátu

Abyste si mohli vyžádat certifikát serveru/SSL pro doménu, musíte si napřed tu doménu zaregistrovat. Na Vaši privilegovanou adresu (postmaster, webmaster,... @mydomain.net) pošleme testovací e-mail. Pak můžete předložit CSR. Protože tato registrace ověřuje pouze doménu, musí být použita určitá omezení obsahu polí v certifikátu.

Příklad:

Obecný název (CommonName, cn): *.mydomain.net

pro pokročilé uživatele - můžete vygenerovat jediný SSL certifikát pro několik domén a/nebo názvů počítačů pomocí subjectAltName, podle RFC 2818

Žádost o certifikát (CSR):

Subject: C=Au, ST=NSW, L=Sydney, O=CAcert Inc.,
 CN=*.cacert.org/emailAddress=support@cacert.org
 /subjectAltName=DNS:*.cacert.org/subjectAltName=DNS:cacert.org

Podepsaný certifikát:

Subject: C=Au, ST=NSW, L=Sydney, O=CAcert Inc.,
 CN=*.cacert.org/emailAddress=support@cacert.org
 X509v3 Subject Alternative Name:
 DNS:*.cacert.org, othername:<unsupported>, DNS:cacert.org, othername:<unsupported>

Další informace o virtuálních strojích VHOSTS

Prosím, podívejte se na Více informací o virtuálech (Virtual Hosts) a skriptech k vygenerování CSR

Technické poznámky:

Co je to subjectAltName?

subjectAltName udává další identity subjektu, ale jen pro názvy strojů (a všechno ostatní definované pro subjectAltName):

subjectAltName musí být vždy použito (RFC 2818 4.2.1.7, 1. odstavec). CN se vyhodnocuje, jen když subjectAltName není uvedeno a pouze jako kompatibilita se starým, nepřizpůsobeným softwarem. Takže když nastavíte subjectAltName, musíte ho použít pro všechny názvy počítačů, e-mailové adresy, atd., nejen ty "přídavné".

subjectAltName a CAcert CSR analyzátor

Analyzátor CSR odstraní všechny commonNames a subjectAltNames, jestliže nemůže najít v systému (DNS) doménu z Vašeho účtu. (Seznam domén na Vašem účtu můžete vidět po přihlášení k webu v sekci domény po kliknutí na Zobrazit).

Vzhledem ke standardům bude commonName ignorováno, pokud poskytnete v certifikátech subjectAltName, ověřené, že funguje v obou posledních verzích MS Internet Exploreru a Firefoxu (z 12.05.2005)...