CSR

Z Baza Wiedzy cybo.pl

CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, zawierający:

Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL) oraz własnego klucza prywatnego.

Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykład generowania CSR, którego kliknięcie wyświetla przykład polecenia openssl do wygenerowania CSR, dopasowany do danych tego użytkownika.

CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:

  • format PEM,
  • w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać nazwę użytkownika zakończoną znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
  • w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
  • klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
  • podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.

Patrz przykład generowania CSR za pomocą OpenSSL.

Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu w celu wygenerowania certyfikatu dla tego użytkownika.

W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administratora serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator z posiadanego pliku CSR.

Uwagi:

  • Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
  • W przypadku jeśli CSR wskazany do wygenerowania certyfikatu zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu.
  • Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).
  • W przypadku korzystania przez użytkownika abonenta z OpenSSL do generowania kluczy, CSR lub konwersji certyfikatów, w celu ułatwienia użytkownikowi wykonywania tych operacji bez uruchamiania linii poleceń, administratorzy abonenta mogą rozważyć przygotowanie dostosowanych do systemu operacyjnego użytkownika, uruchamianych ikonami skryptów z predefiniowanymi parametrami dostosowanymi do tego użytkownika; np. osobnego skryptu do generowania klucza prywatnego i CSR do ustalonych plików oraz osobnego skryptu do konwersji pliku z certyfikatem w formacie PEM do pliku w formacie wymaganym przez oprogramowanie użytkownika.

Zobacz też:

Źródło: „https://kb.cybo.pl/w/index.php?title=CSR&oldid=292