Generowanie klucza na Unix
Załóżmy, że tworzysz certyfikat dla domeny www.polskiinternet.pl. Klucz prywatny i żądanie podpisania certyfikatu (CSR) zazwyczaj tworzy się w systemie Unix, uruchamiając następujące polecenie:
$ openssl req -new -sha256 -newkey rsa:2048 -nodes -out www.polskiinternet.pl.csr -keyout www.polskiinternet.pl.key
Generating a 2048 bit RSA private key
....................................+++
writing new private key to 'www.polskiinternet.pl.key'
-----
Country Name (2 letter code) [XX]: PL
State or Province Name (full name) []: Podaj województwo
Locality Name (eg, city) [Default City]: Miasto
Organization Name (eg, company) [Default Company Ltd]: Nazwa i
Organizational Unit Name (eg, section) []: Tech Department
Common Name (eg, your name or your server's hostname) []: www.polskiinternet.pl
Email Address []: kontaktowy adres mailowy
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Aplikacja znajduje się teraz w pliku www.polskiinternet.pl.csr. Plik www.polskiinternet.pl.key zawiera klucz prywatny - przechowuj go bezpiecznie i zachowaj w tajemnicy.
Jeśli tworzysz żądanie certyfikatu WildCard, wprowadź gwiazdkę (*.polskiinternet.com) w polu „Common Name”. Certyfikat dla domeny www.polskiinternet.pl będzie również obowiązywał dla nazwy polskiinternet.pl - zasada nie obejmuje jednak CSR dla innych subdomen, np.:
- CSR dla www.polskiinternet.pl - certyfikat będzie obowiązywał dla polskiinternet.pl oraz www.polskiinternet.pl
- CSR for polskiinternet.pl - certyfikat będzie obowiązywał dla polskiinternet.pl, ale nie dla www.polskiinternet.pl
- CSR for www.sklep.polskiinternet.pl - certyfikat będzie obowiązywał dla www.sklep.polskiinternet.pl, ale nie będzie obowiązywał dla sklep.polskiinternet.pl
- CSR for *.polskiinternet.cz - certyfikat WildCard będzie obowiązywał dla polskiinternet.pl, sklep.polskiinternet.pl, www.polskiinternet.pl, ..., ale nie będzie obowiązywał dla www.sklep.polskiinternet.pl
Nie używaj znaków diakrytycznych podczas wypełniania. W przypadku domeny IDN najpierw przekonwertuj ją np. za pomocą narzędzia https://www.punycoder.com/.
Urząd certyfikacji zazwyczaj wymaga potwierdzenia posiadania domeny poprzez link przesłany na adres e-mail skrzynka@polskiinternet.pl (do wyboru są następujące skrzynki: admin, administrator, hostmaster, postmaster, webmaster). Dlatego uruchom usługę pocztową dla jednego z tych adresów na serwerze. Inną opcją weryfikacji jest umieszczenie wymaganego tekstu pod adresem http://www.mydomain.com/.well-known/pki-validation/fileauth.txt.