CSR

Z Baza Wiedzy cybo.pl

CSR to podpisany cyfrowo przez użytkownika dokument (plik) zgodny ze standardem X.509, potrzebny do wygenerowania certyfikatu dla tego użytkownika, zawierający:

Użytkownik generuje CSR za pomocą wybranego przez siebie oprogramowania (np. OpenSSL, WCT) oraz własnego klucza prywatnego.

Po kliknięciu pola Żądanie podpisania certyfikatu na stronie generowania nowego certyfikatu dla danego użytkownika w panelu administracyjnym, pod polem tym pojawia się link przykłady generowania CSR, którego kliknięcie wyświetla dopasowane do danych tego użytkownika polecenia openssl i odnośniki do aplikacji WCT.

CSR stosowane do generowania certyfikatów w serwisie cybo.pl muszą spełniać następujące wymagania:

  • format PEM,
  • w przypadku certyfikatu użytkownika pole CN (ang. common name) w temacie (ang. subject) musi zawierać ID użytkownika zakończone znakiem @ i nazwą domeny certyfikatów (np. 439d@demo.cybo.pl),
  • w przypadku certyfikatu aplikacji pole CN (ang. common name) w temacie (ang. subject) musi zawierać identyfikator aplikacji z prefiksem a_, zakończony znakiem @ i nazwą domeny certyfikatów (np. a_its@demo.cybo.pl),
  • klucz publiczny musi być typu RSA 2048, 3072 lub 4096 bit,
  • podpis musi prawidłowy i być typu SHA256WithRSA, SHA384WithRSA lub SHA512WithRSA.

Przykłady generowania CSR:

Wygenerowany przez użytkownika CSR jest przekazywany administratorowi serwisu (lub wprowadzany do formularza zamówienia w przypadku zamawiania usługi cybo.pl) w celu wygenerowania certyfikatu dla tego użytkownika.

Przed wygenerowaniem certyfikatu administrator powinien upewnić się, że CSR został utworzony przez właściwego użytkownika aby nie nadać dostępu dla nieupoważnionego użytkownika. W celu zabezpieczenia przed wygenerowaniem certyfikatu do CSR podstawionego przez nieupoważnioną osobę, administrator generujący certyfikat może wymagać dodatkowej weryfikacji pochodzenia CSR np. poprzez porównanie w trakcie rozmowy telefonicznej z właścicielem CSR identyfikatora klucza publicznego z tego CSR. Administrator może odczytać ten identyfikator pod treścią CSR na stronie generowania certyfikatu w panelu administracyjnym serwisu cybo.pl, natomiast właściciel CSR może odczytać ten identyfikator np. z posiadanego pliku CSR lub z danych klucza w aplikacji WCT.

Uwagi:

  • Treść klucza prywatnego powinna być znana jedynie użytkownikowi, który jest jego właścicielem.
  • W przypadku jeśli CSR zawiera dodatkowe dane względem opisanych powyżej, wtedy dane te są pomijane przy generowaniu certyfikatu do serwisu cybo.pl.
  • Choć istnieje techniczna możliwość generowania różnych certyfikatów w oparciu o ten sam klucz prywatny lub ten sam CSR, to warto przed każdym generowaniem certyfikatu rozważyć wygenerowanie nowego klucza prywatnego i CSR dla tego certyfikatu, szczególnie w przypadku jeśli istnieje ryzyko, że dotychczas używany klucz prywatny został skompromitowany (np. ujawniony osobie nieupoważnionej).

Zobacz też:

Źródło: „https://kb.cybo.pl/w/index.php?title=CSR&oldid=347