CSR: Różnice pomiędzy wersjami

Z Baza Wiedzy cybo.pl
Nie podano opisu zmian
Nie podano opisu zmian
 
(Nie pokazano 13 pośrednich wersji utworzonych przez tego samego użytkownika)
Linia 1: Linia 1:
CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], zawierający:
CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], potrzebny do wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika, zawierający:
* klucz publiczny użytkownika,
* klucz publiczny użytkownika,
* nazwę użytkownika
* ID użytkownika,
* nazwę [[Domena certyfikatów|domeny certyfikatów]]
* nazwę [[Domena certyfikatów|domeny certyfikatów]].


Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. [[Generowanie CSR za pomocą OpenSSL|OpenSSL]]) oraz własnego klucza prywatnego z umieszczeniem w CN (common name) tematu (subject) nazwy użytkownika zakończonej znakiem <tt>@</tt> oraz nazwą domeny certyfikatów.
Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. [[OpenSSL]], [[WCT]]) oraz własnego klucza prywatnego.


Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika.
{{Informacja|Po kliknięciu pola ''Żądanie podpisania certyfikatu'' na stronie generowania nowego certyfikatu dla danego użytkownika w <u>[[Adm|panelu administracyjnym]]</u>, pod polem tym pojawia się link ''przykłady generowania CSR'', którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia <u>[[OpenSSL|openssl]]</u> i odnośniki do aplikacji <u>[[WCT|WCT]]</u>.}}
CSR stosowane do generowania [[Certyfikat|certyfikatów]] w [[Serwis cybo.pl|serwisie cybo.pl]] muszą spełniać następujące wymagania:
* format [https://pl.wikipedia.org/wiki/Certyfikat_X.509 PEM],
* w przypadku certyfikatu użytkownika pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać ID użytkownika zakończone znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>439d@demo.cybo.pl</tt>),
* w przypadku certyfikatu aplikacji pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać identyfikator aplikacji z prefiksem <tt>a_</tt>, zakończony znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>a_its@demo.cybo.pl</tt>),
* klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
* podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.


{{Informacja|W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu administratora]]</u> serwisu cybo.pl, natomiast właściciel CSR może <u>[[Wyświetlanie identyfikatora klucza z CSR za pomocą OpenSSL|odczytać]]</u> ten identyfikator z posiadanego pliku CSR.}}
Przykłady generowania CSR:
* [[Generowanie CSR za pomocą OpenSSL|za pomocą OpenSSL]],
* [[Generowanie CSR za pomocą WCT|za pomocą WCT]],
* [[Dostęp do serwisu cybo.pl za pomocą YubiKey w systemie Windows|za pomocą klucza sprzętowego YubiKey 5 NFC]].
 
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] (lub wprowadzany do [https://www.cybo.pl/zamowienie formularza zamówienia] w przypadku zamawiania usługi cybo.pl) w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika.
 
{{Informacja|'''Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika.''' W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu administracyjnym]]</u> serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z <u>[[Wyświetlanie identyfikatora klucza z CSR za pomocą OpenSSL|posiadanego pliku CSR]]</u> lub z danych klucza w aplikacji  <u>[[WCT]]</u>.}}
Uwagi:
Uwagi:
* Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
* Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
* W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu [[Certyfikat|certyfikatu do serwisu cybo.pl]].
* Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).
* Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).


Zobacz też:
Zobacz też:
*[[Generowanie CSR za pomocą OpenSSL]]
*[[Generowanie CSR za pomocą WCT]]
*[[Certyfikat]]
*[[Certyfikat]]
*[[Konwersja formatu klucza prywatnego i certyfikatu]]
*[[Konwersja formatu klucza prywatnego i certyfikatu]]

Aktualna wersja na dzień 21:53, 26 maj 2025

CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, potrzebny do wygenerowania certyfikatu dla tego użytkownika, zawierający:

Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL, WCT) oraz własnego klucza prywatnego.

Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykłady generowania CSR, którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia openssl i odnośniki do aplikacji WCT.

CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:

  • format PEM,
  • w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać ID użytkownika zakończone znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
  • w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
  • klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
  • podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.

Przykłady generowania CSR:

Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu (lub wprowadzany do formularza zamówienia w przypadku zamawiania usługi cybo.pl) w celu wygenerowania certyfikatu dla tego użytkownika.

Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika. W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administracyjnym serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z posiadanego pliku CSR lub z danych klucza w aplikacji WCT.

Uwagi:

  • Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
  • W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu do serwisu cybo.pl.
  • Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).

Zobacz też:

Źródło: „https://kb.cybo.pl/w/index.php?title=CSR&oldid=387