OpenSSL (Linux, Apache)

Pomocí tohoto návodu vygenerujete soukromý klíč a následně žádost o certifikát s využitím balíčku OpenSSL. Ten běžně najdete nebo můžete doinstalovat do všech distribucí OS Linux. Nejčastěji se s ním v kontextu SSL certifikátů setkáte u webového serveru Apache. Balíček OpenSSL však není výsadou pouze OS Linux - existují i porty pro další OS jako např. MS-Windows.

První z příkazů vygeneruje soukromý klíč bez hesla, druhý pak s heslem. Pozor - pokud vygenerujete serverový certifikát s heslem, musíte pak zadat heslo při každém spuštění serverové služby. Soukromý klíč je nutné chránit proti ztrátě a zneužití. Proto po vygenerování uložte jeho kopii na bezpečné místo a nastavte přístupová práva taková, aby k němu měl přístup jen oprávněný uživatel (zpravidla je vlastníkem uživatel root a UNIXová práva jsou nastavena na 0600).

Následujícím příkazem vygenerujete žádost o certifikát (CSR, certificate signing request). Pod příkazem jsou zobrazena standardní vstupní pole, která OpenSSL umožňuje vyplnit. V případě serverových certifikátů zadávejte do položky Common Name (CN) název plného doménového jména serveru, pro který chcete certifikát použít (např. smtp.webx.cz). U Wildcard certifikátů uvádějte namísto domény třetího řádu hvězdičku (např. *.webx.cz). Obsah a struktura položek u osobního certifikátu vždy závisí na konkrétní politice vystavující certifikační autority. Proto obsah a strukturu jednotlivých položek předem konzultujte s vystavitelem. Pokud nechcete některou z položek vyplňovat, nenechávejte ji prázdnou, ale vyplňte ".".