CSR: Różnice pomiędzy wersjami
Z Baza Wiedzy cybo.pl
Nie podano opisu zmian |
Nie podano opisu zmian |
||
| Linia 20: | Linia 20: | ||
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] (lub wprowadzany do [https://www.cybo.pl/zamowienie formularza zamówienia] w przypadku zamawiania usługi cybo.pl) w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika. | Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] (lub wprowadzany do [https://www.cybo.pl/zamowienie formularza zamówienia] w przypadku zamawiania usługi cybo.pl) w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika. | ||
{{Informacja|'''Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika.''' W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu administracyjnym]]</u> serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z <u>[[Wyświetlanie identyfikatora klucza z CSR za pomocą OpenSSL|posiadanego pliku CSR]]</u> lub z danych klucza w aplikacji [[WCT]].}} | {{Informacja|'''Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika.''' W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu administracyjnym]]</u> serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z <u>[[Wyświetlanie identyfikatora klucza z CSR za pomocą OpenSSL|posiadanego pliku CSR]]</u> lub z danych klucza w aplikacji <u>[[WCT]]</u>.}} | ||
Uwagi: | Uwagi: | ||
* Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem. | * Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem. | ||
Wersja z 18:01, 26 kwi 2024
CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, potrzebny do wygenerowania certyfikatu dla tego użytkownika, zawierający:
- klucz publiczny użytkownika,
- ID użytkownika,
- nazwę domeny certyfikatów.
Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL, WCT) oraz własnego klucza prywatnego.
Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykłady generowania CSR, którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia openssl i odnośniki do aplikacji WCT.
CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:
- format PEM,
- w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać ID użytkownika zakończone znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
- w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
- klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
- podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.
Przykłady generowania CSR:
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu (lub wprowadzany do formularza zamówienia w przypadku zamawiania usługi cybo.pl) w celu wygenerowania certyfikatu dla tego użytkownika.
Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika. W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administracyjnym serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z posiadanego pliku CSR lub z danych klucza w aplikacji WCT.
Uwagi:
- Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
- W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu do serwisu cybo.pl.
- Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).
Zobacz też:
