CSR: Różnice pomiędzy wersjami
Z Baza Wiedzy cybo.pl
Nie podano opisu zmian |
Nie podano opisu zmian |
||
| (Nie pokazano 11 pośrednich wersji utworzonych przez tego samego użytkownika) | |||
| Linia 1: | Linia 1: | ||
CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], zawierający: | CSR to podpisany cyfrowo przez [[Użytkownik|użytkownika]] dokument (plik) zgodny ze standardem [https://en.wikipedia.org/wiki/X.509 X.509], potrzebny do wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika, zawierający: | ||
* klucz publiczny użytkownika, | * klucz publiczny użytkownika, | ||
* | * ID użytkownika, | ||
* nazwę [[Domena certyfikatów|domeny certyfikatów]] | * nazwę [[Domena certyfikatów|domeny certyfikatów]]. | ||
Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. [[OpenSSL]]) oraz własnego klucza prywatnego. | Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. [[OpenSSL]], [[WCT]]) oraz własnego klucza prywatnego. | ||
{{Informacja|Po kliknięciu pola ''Żądanie podpisania certyfikatu'' na stronie generowania nowego certyfikatu dla danego użytkownika w <u>[[Adm|panelu administracyjnym]]</u>, pod polem tym pojawia się link '' | {{Informacja|Po kliknięciu pola ''Żądanie podpisania certyfikatu'' na stronie generowania nowego certyfikatu dla danego użytkownika w <u>[[Adm|panelu administracyjnym]]</u>, pod polem tym pojawia się link ''przykłady generowania CSR'', którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia <u>[[OpenSSL|openssl]]</u> i odnośniki do aplikacji <u>[[WCT|WCT]]</u>.}} | ||
CSR stosowane do generowania [[Certyfikat|certyfikatów]] w [[Serwis cybo.pl|serwisie cybo.pl]] muszą spełniać następujące wymagania: | CSR stosowane do generowania [[Certyfikat|certyfikatów]] w [[Serwis cybo.pl|serwisie cybo.pl]] muszą spełniać następujące wymagania: | ||
* format [https://pl.wikipedia.org/wiki/Certyfikat_X.509 PEM], | * format [https://pl.wikipedia.org/wiki/Certyfikat_X.509 PEM], | ||
* w przypadku certyfikatu użytkownika pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać | * w przypadku certyfikatu użytkownika pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać ID użytkownika zakończone znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>439d@demo.cybo.pl</tt>), | ||
* w przypadku certyfikatu aplikacji pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać identyfikator aplikacji z prefiksem <tt>a_</tt>, zakończony znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>a_its@demo.cybo.pl</tt>), | * w przypadku certyfikatu aplikacji pole CN (ang. <i>common name</i>) w temacie (ang. <i>subject</i>) musi zawierać identyfikator aplikacji z prefiksem <tt>a_</tt>, zakończony znakiem <tt>@</tt> i nazwą [[Domena certyfikatów|domeny certyfikatów]] (np. <tt>a_its@demo.cybo.pl</tt>), | ||
* klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit, | * klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit, | ||
* podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA. | * podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA. | ||
Przykłady generowania CSR: | |||
* [[Generowanie CSR za pomocą OpenSSL|za pomocą OpenSSL]], | |||
* [[Generowanie CSR za pomocą WCT|za pomocą WCT]], | |||
* [[Dostęp do serwisu cybo.pl za pomocą YubiKey w systemie Windows|za pomocą klucza sprzętowego YubiKey 5 NFC]]. | |||
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika. | Wygenerowany przez użytkownika CSR jest przekazywany administratorowi [[Serwis cybo.pl|serwisu]] (lub wprowadzany do [https://www.cybo.pl/zamowienie formularza zamówienia] w przypadku zamawiania usługi cybo.pl) w celu wygenerowania [[Certyfikat|certyfikatu]] dla tego użytkownika. | ||
{{Informacja|W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu | {{Informacja|'''Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika.''' W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w <u>[[Adm|panelu administracyjnym]]</u> serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z <u>[[Wyświetlanie identyfikatora klucza z CSR za pomocą OpenSSL|posiadanego pliku CSR]]</u> lub z danych klucza w aplikacji <u>[[WCT]]</u>.}} | ||
Uwagi: | Uwagi: | ||
* Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem. | * Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem. | ||
* W przypadku jeśli CSR | * W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu [[Certyfikat|certyfikatu do serwisu cybo.pl]]. | ||
* Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej). | * Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej). | ||
Zobacz też: | Zobacz też: | ||
*[[Generowanie CSR za pomocą OpenSSL]] | *[[Generowanie CSR za pomocą OpenSSL]] | ||
*[[Generowanie CSR za pomocą WCT]] | |||
*[[Certyfikat]] | *[[Certyfikat]] | ||
*[[Konwersja formatu klucza prywatnego i certyfikatu]] | *[[Konwersja formatu klucza prywatnego i certyfikatu]] | ||
Aktualna wersja na dzień 21:53, 26 maj 2025
CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, potrzebny do wygenerowania certyfikatu dla tego użytkownika, zawierający:
- klucz publiczny użytkownika,
- ID użytkownika,
- nazwę domeny certyfikatów.
Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL, WCT) oraz własnego klucza prywatnego.
Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykłady generowania CSR, którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia openssl i odnośniki do aplikacji WCT.
CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:
- format PEM,
- w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać ID użytkownika zakończone znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
- w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
- klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
- podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.
Przykłady generowania CSR:
Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu (lub wprowadzany do formularza zamówienia w przypadku zamawiania usługi cybo.pl) w celu wygenerowania certyfikatu dla tego użytkownika.
Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika. W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administracyjnym serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z posiadanego pliku CSR lub z danych klucza w aplikacji WCT.
Uwagi:
- Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
- W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu do serwisu cybo.pl.
- Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).
Zobacz też:
