W jaki sposób wygenerować CSR dla panelu administracyjnego Parallels® Plesk już pisałem, dzisiaj natomiast opiszę jak wygenerować CSR dla konkretnej domeny z panelu administracyjnego klienta (właściciela domeny).
Założenia:
- domena dla której chcesz wygenerować CSR jest hostowana na serwerze, na którym jest Plesk
- chcesz zainstalować certyfikat SSL, który zapobiegnie wyświetlaniu okna z ostrzeżeniem Twoim użytkownikom
- opcjonalnie chcesz zainstalować certyfikat obejmujący wszystkie subdomeny w Twojej domenie (*.twoja-domena.pl, przeczytaj kiedy warto wybrać certyfikat typu wildcard)
- chcesz skorzystać z możliwości Pleska, zamiast wykonywać komendy ręcznie lub prosić firmę hostingową o wykonanie tych czynności
Wszystkie zrzuty ekranowe zostały zrobione w angielskiej wersji interfejsu ze względu na niedoskonałości polskiego tłumaczenia. Nie powinno to jednak sprawić żadnych kłopotów — układ graficzny jest identyczny, a hasła bardzo proste.
Klikając na zrzuty ekranów uzyskach ich powiększenie.
- Panel administracyjny
Po zalogowaniu się do panelu Plesk wybierz z listy domenę, dla której chcesz wygenerować CSR:
- Konfiguracja domeny
Na ekranie z konfiguracją domeny wybierz “Certificates”:
- Lista certyfikatów
Na ekranie z listą certyfikatów wybierz opcję “Add New Certificate”:
- Uzupełnij dane w CSR
Uzupełnij dane niezbędne do wygenerowania CSR, możesz skorzystać z opisu poszczególnych pól w CSR, a następnie kliknij przycisk “Request”, żeby wygenerować CSR:
- Wyświetl zawartość CSR
Z listy certyfikatów wybierz utworzony przed chwilą certyfikat. Zwróć uwagę, że w przeciwieństwie do domyślnie zainstalowanego, tymczasowego certyfikatu “default certificate”, aktywne są ikony oznaczające, że dostępny jest CSR oraz plik klucza, który został automatycznie stworzony przez Pleska:
Kliknij w nazwę nowego certyfikatu, żeby uzyskać dostęp do zawartości CSR:
Zaznacz cały tekst CSR i wklej go do pliku tekstowego.
- CSR gotowy do wysłania
CSR jest gotowy do użycia. Wyślij go na adres certi@certi.pl wraz z informacją jaki certyfikat chcesz kupić.
Jeśli chcesz wygenerować CSR dla panelu administracyjnego Plesk, to przeczytaj ten post
Kontynuując cykl opisujący generowanie Certificate Signing Request w różnych programach (zobacz jak wygenerować CSR pod Linuksem) opiszę jak to zrobić w popularnym panelu hostingowym Parallels® Plesk.
Założenia:
- jesteś administratorem serwera z Pleskiem (opis na podstawie wersji 8.4 i 8.6, ale w starszych wersjach nie powinno być różnicy)
- chcesz zainstalować certyfikat SSL, który zapobiegnie wyświetlaniu okna z ostrzeżeniem Twoim klientom logującym się do panelu administracyjnego Plesk, serwera poczty
- opcjonalnie chcesz udostępnić klientom szyfrowane połączenie w adresach KLIENT.twoja-domena.pl (kupujesz certyfikat wildcard dla domeny *.twoja-domena.pl, przeczytaj kiedy warto wybrać certyfikat typu wildcard)
- chcesz skorzystać z możliwości Pleska, zamiast wykonywać komendy ręcznie
Wszystkie zrzuty ekranowe zostały zrobione w angielskiej wersji interfejsu ze względu na niedoskonałości polskiego tłumaczenia. Nie powinno to jednak sprawić żadnych kłopotów — układ graficzny jest identyczny, a hasła bardzo proste.
Klikając na zrzuty ekranów uzyskach ich powiększenie.
- Panel administracyjny
Po zalogowaniu się do panelu Plesk jako administrator, z menu po lewej stronie wybierz opcję “Server”, a następnie “Certificates”:
- Lista certyfikatów
Na ekranie z listą certyfikatów wybierz opcję “Add New Certificate”:
- Uzupełnij dane w CSR
Uzupełnij dane niezbędne do wygenerowania CSR, możesz skorzystać z opisu poszczególnych pól w CSR, a następnie kliknij przycisk “Request”, żeby wygenerować CSR:
- Wyświetl zawartość CSR
Z listy certyfikatów wybierz utworzony przed chwilą certyfikat. Zwróć uwagę, że w przeciwieństwie do domyślnie zainstalowanego, tymczasowego certyfikatu “default certificate”, aktywne są ikony oznaczające, że dostępny jest CSR oraz plik klucza, który został automatycznie stworzony przez Pleska:
Kliknij w nazwę nowego certyfikatu, żeby uzyskać dostęp do zawartości CSR:
Zaznacz cały tekst CSR i wklej go do pliku tekstowego.
- CSR gotowy do wysłania
CSR jest gotowy do użycia. Wyślij go na adres certi@certi.pl wraz z informacją jaki certyfikat chcesz kupić.
Aktualizacja: Jeśli chcesz wygenerować CSR dla domeny klienta, to przeczytaj ten post.
Zgodnie z zapowiedzią z ubiegłego tygodnia, poniżej opis krok po kroku jak wygenerować Certificate Signing Request (CSR) pod Linuksem.
Generowanie klucza i CSR jest niezwykle wygodne i przebiega tak samo, niezależnie od tego certyfikat będzie wykorzystywany w serwerze WWW, serwerach poczty czy innych. Procedura jest niezmienna.
Będziemy korzystali z pakietu OpenSSL. Musisz posiadać dostęp do powłoki (shella) na przykład przez ssh. Istnieje duże prawdopodobieństwo, że OpenSSL jest już zainstalowany na Twoim serwerze. Wykonując poniższą komendę powineneś otrzymać zbliżoną odpowiedź serwera:
$ openssl version
OpenSSL 0.9.8e 23 Feb 2007
Jeśli tak się nie stało, bardzo możliwe, że openssl nie jest jednak dostępny. Skorzystaj z podręcznika dla dystrybucji, z której korzystasz lub skontaktuj się z administratorem serwera.
Jeśli się udało, to przechodzimy do właściwej procedury:
- Generowanie klucza prywatnego RSA (klucz bez hasła)
W pierwszym kroku musimy wygenerować klucz prywatny niezbędny do działania kryptografii asymetrycznej.
Wykonaj komendę:
$ openssl genrsa -out twoja-domena.pl.key 2048
W efekcie otrzymasz plik twoja-domena.pl.key o przykładowej zawartości:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
- Generowanie CSR, korzystając z wygenerowanego wcześniej klucza prywatnego
Wykonaj komendę:
$ openssl req -new -key twoja-domena.pl.key -out twoja-domena.pl.csr
Korzystając z opisu poszczególnych pól podaj wszystkie wymagane informacje. Pomiń (pozostaw puste) pola “A challenge password” i “An optional company name“. Przykład wypełnienia:
$ openssl req -new -key twoja-domena.pl.key -out twoja-domena.pl.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:dolnoslaskie
Locality Name (eg, city) []:Wroclaw
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IMAGIN IT Marcin Engelmann
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:twoja-domena.pl
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
W efekcie otrzymasz plik twoja-domena.pl.csr o przykładowej zawartości:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
- Weryfikacja informacji znajdujących się w CSR
Przed wysłaniem pliku CSR warto sprawdzić czy wszystkie informacje zostały poprawnie podane.
Wykonaj komendę:
$ openssl req -noout -text -in twoja-domena.pl.csr
W efekcie otrzymasz informacje zbliżone do:
$ openssl req -noout -text -in twoja-domena.pl.csr
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=PL, ST=Dolny Slask, L=Wroclaw,
O=IMAGIN IT Marcin Engelmann, CN=twoja-domena.pl
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:ad:2c:24:2b:e5:22:d3:0f:b0:fe:69:cd:e0:9e:
1c:c1:f8:e9:83:7e:12:93:a1:1b:e2:51:b8:6b:ec:
fc:c8:46:29:c8:d8:b3:cf:20:c4:0b:18:14:ae:6f:
c7:c6:3a:db:5f:f5:5e:83:8b:8c:87:1f:5b:17:ba:
c9:90:c7:72:a5:97:fe:ff:4d:fd:72:d2:77:38:82:
bf:8d:39:f5:af:39:ef:2b:f8:b8:15:f7:50:42:e5:
96:fb:0e:de:a9:1d:0b:76:46:26:51:c9:47:eb:dc:
f4:11:a7:a8:05:dc:2a:58:23:4a:7f:7c:cf:e4:72:
5b:d9:7e:f9:af:0b:85:f7:95
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha1WithRSAEncryption
6d:2d:e7:07:37:be:83:e8:56:74:0f:58:30:8a:38:5a:93:35:
8f:6e:c2:70:60:e0:82:22:fb:35:d6:70:f7:e5:8c:6b:a8:b5:
b6:a5:da:2b:b3:75:2e:68:31:c8:78:20:99:29:d3:65:77:8a:
54:41:a8:46:71:14:31:0d:6d:2d:16:19:0e:50:d9:d6:40:ac:
9f:5f:18:53:cd:db:46:69:dd:1e:5f:e5:8a:17:a7:bf:1b:e0:
fd:cb:7f:02:11:08:ea:8e:d8:9f:72:95:93:85:81:eb:53:3f:
2c:a9:52:a3:cd:13:d8:59:de:a0:2e:61:df:10:77:e4:91:5e:
8c:c8
- CSR gotowy do wysłania
Plik twoja-domena.pl.csr zawierający Certificate Signing Request (CSR) jest gotowy do użycia. Wyślij go na adres certi@certi.pl wraz z informacją jaki certyfikat chcesz kupić.
