CSR: Różnice pomiędzy wersjami
Z Baza Wiedzy cybo.pl
Nie podano opisu zmian |
Nie podano opisu zmian |
||
| Linia 1: | Linia 1: | ||
CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], zawierający: | CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], zawierający: | ||
* klucz publiczny użytkownika, | * klucz publiczny użytkownika, | ||
* | * ID użytkownika | ||
* nazwę [[Domena certyfikatów|domeny certyfikatów]] | * nazwę [[Domena certyfikatów|domeny certyfikatów]] | ||
| Linia 9: | Linia 9: | ||
CSR stosowane do generowania [[Certyfikat|certyfikatów]] w [[Serwis cybo.pl|serwisie cybo.pl]] muszą spełniać następujące wymagania: | CSR stosowane do generowania [[Certyfikat|certyfikatów]] w [[Serwis cybo.pl|serwisie cybo.pl]] muszą spełniać następujące wymagania: | ||
* format [https://pl.wikipedia.org/wiki/Certyfikat_X.509 PEM], | * format [https://pl.wikipedia.org/wiki/Certyfikat_X.509 PEM], | ||
* w przypadku certyfikatu użytkownika pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać | * w przypadku certyfikatu użytkownika pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać ID użytkownika zakończone znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>439d@demo.cybo.pl</tt>), | ||
* w przypadku certyfikatu aplikacji pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać identyfikator aplikacji z prefiksem <tt>a_</tt>, zakończony znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>a_its@demo.cybo.pl</tt>), | * w przypadku certyfikatu aplikacji pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać identyfikator aplikacji z prefiksem <tt>a_</tt>, zakończony znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>a_its@demo.cybo.pl</tt>), | ||
* klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit, | * klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit, | ||
Wersja z 23:20, 14 gru 2023
CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, zawierający:
- klucz publiczny użytkownika,
- ID użytkownika
- nazwę domeny certyfikatów
Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL) oraz własnego klucza prywatnego.
Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykład generowania CSR, którego kliknięcie wyświetla przykład polecenia openssl do wygenerowania CSR, dopasowany do danych tego użytkownika.
CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:
- format PEM,
- w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać ID użytkownika zakończone znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
- w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
- klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
- podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.
Patrz przykład generowania CSR za pomocą OpenSSL.
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu w celu wygenerowania certyfikatu dla tego użytkownika.
W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administratora serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator z posiadanego pliku CSR.
Uwagi:
- Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
- W przypadku jeśli CSR wskazany do wygenerowania certyfikatu zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu.
- Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).
- W przypadku korzystania przez użytkownika abonenta z OpenSSL do generowania kluczy, CSR lub konwersji certyfikatów, w celu ułatwienia użytkownikowi wykonywania tych operacji bez uruchamiania linii poleceń, administratorzy abonenta mogą rozważyć przygotowanie dostosowanych do systemu operacyjnego użytkownika, uruchamianych ikonami skryptów z predefiniowanymi parametrami dostosowanymi do tego użytkownika; np. osobnego skryptu do generowania klucza prywatnego i CSR do ustalonych plików oraz osobnego skryptu do konwersji pliku z certyfikatem w formacie PEM do pliku w formacie wymaganym przez oprogramowanie użytkownika.
Zobacz też:
