Certifikačná autorita

Certifikát pre server je určený v prvom rade pre potreby vytvorenia bezpečného komunikačného kanála cez Internet prostredníctvom SSL protokolu. Umožňuje šifrovaný prenos údajov pre užívateľov pristupujúcich na web, email, alebo inú službu využívajúcu SSL na Vašom serveri. Žiadateľom o certifikát môže byť:

  • Fyzická osoba
  • Právnická osoba (resp. živnostník)

Identifikácia žiadateľa

Certifikát pre server obsahuje povinné údaje CN (CommonName) , čo je názov komponentu resp. zariadenia a C (countryName), čo je dvojznaková skratka štátu napr. SK pre Slovenskú republiku. Ako CN músí byť použité úplné doménové meno komponentu (napr. CN=www.disig.sk). Podmienkou vydania je preukázanie, že príslušná doména patrí subjektu, ktorý je žiadateľom o daný certifikát pre server. Medzi nepovinné položky patria Mesto, Firma, Útvar vo firme a e-mail adresa. Žiadateľ o tento typ certifikátu predkladá:

Fyzická osoba

  • Občan SR - platný občiansky preukaz
  • Občan krajiny EÚ – preukaz totožnosti, t.j. identifikačná karta
  • Občan tretích krajín – povolenie na pobyt na území SR a ďalší doklad s fotografiou potvrdzujúci jeho totožnosť
  • Splnomocnenie – predkladá sa v prípade, pokiaľ budúci držiteľ certifikátu nemôže osobne navštíviť pobočku RA a na účel prevzatia certifikátu splnomocní inú osobu. Akceptované je len notárom overené splnomocnenie!
  • Čestné prehlásenie, ktorého obsahom je prehlásenie o tom, že žiadateľ o certifikát je vlastníkom použitého doménového mena komponentu.

Právnická osoba (resp. živnostník)

  • Doklad totožnosti – štatutár resp. konateľ resp. splnomocnenec
    • Občan SR - platný občiansky preukaz
    • Občan krajiny EÚ – preukaz totožnosti, t.j. identifikačná karta
    • Občan tretích krajín – povolenie na pobyt na území SR a ďalší doklad s fotografiou potvrdzujúci jeho totožnosť
  • Občan tretích krajín – povolenie na pobyt na území SR a ďalší doklad s fotografiou potvrdzujúci jeho totožnosť
  • Splnomocnenie – predkladá sa v prípade, pokiaľ budúci držiteľ certifikátu nemôže osobne navštíviť pobočku RA a na účel prevzatia certifikátu splnomocní inú osobu. Akceptované je len notárom overené splnomocnenie!
  • Originál alebo úradne overená kópia výpisu z OR nie staršia ako tri mesiace (k nahliadnutiu)
  • Fotokópia originálu alebo úradne overenej kópie výpisu z OR (zostáva na RA Disig)

Proces vydania SC

Žiadateľ fyzicky doručí žiadosť na registračnú autoritu prostredníctvom podporovaného nosiča (USB kľúč, disketa, CD) resp. túto po dohode zašle na RA elektronickou poštou. Pracovník RA skontroluje formálnu správnosť žiadosti, následne overí zhodnosť údajov v žiadosti s údajmi v predložených dokladoch. Po overení totožnosti žiadateľa o certifikát pracovník RA danú žiadosť postúpi na spracovanie do CA. Proces vydania certifikátu sa ukončí podpísaním príslušnej dokumentácie. Na žiadosť klienta pracovník RA uloží vydaný certifikát na zariadenie, ktoré si priniesol klient. Proces vydania certifikátu trvá cca 20 minút.

Platnosť SC

Certifikát je platný okamihom vydania. Certifikát pre server je vydaný s platnosťou 1 rok (spravidla 365 dní). Po uplynutí tejto lehoty platnosť certifikátu automaticky zaniká a certifikát už nemožno použiť na účel, pre ktorý bol vydaný. Certifikátu, ktorému platnosť vypršala alebo bol zrušený, nie je možné opätovne obnoviť platnosť. Žiadateľ musí postúpiť celý proces žiadosti ako pri vydávaní pôvodného certifikátu.

Postup vytvorenia a nastavenia certifikátu pre server

Pre vytvorenie certifikátu je potrebné aby klient vytvoril ziadost a vygeneroval kľúč.

  1. Generovanie privátneho 2048 bit kľúča servera uskutočníme nasledovným príkazom:

    $ openssl genrsa -des3 -out server.key 2048

    Uvedený príkaz v bode 1 vygeneruje 2048 bitový privátny kľúč a uloží ho pod názvom server.key

  2. Generovanie samotnej žiadosti o certifikát vygenerujeme nasledovným príkazom:

    $ openssl req -new -key server.key -out server.csr

    Po zadaní príkazu v bode 2 sa je povinné vyplniť položku "Common Name" kde uvediete uplny nazov servera podla DNS záznamu (napr. www.domena.sk alebo subdomena.domena.sk). Medzi ďalšie povinné položky patrí "Country" a "Organization". Nasledujúce položky "Organization Unit, Location, State/province" sú voliteľné.

  3. Po úspešnom vyplení povinných položiek v bode 2 máte vygenerovanú žiadosť o certifikát v súbore server.csr a podľa bodu 1 RSA privátny kľúč.
  4. Nasledne je potrebné sa s vytvorenou žiadosťou (server.csr) dostaviť na registračnú autoritu Citicom, kde bude Vaša žiadosť spracovaná a bude Vám vydaný samotný podpísaný certifikát.
  5. Je potrebné na Vašom servery zvyčajne pre Apache web server nastaviť ( /etc/apache2/mod_ssl.conf alebo /etc/apache2/httpd.conf) cestú k certifikátu napríklad:

    SSLCertificateFile /etc/apache/ssl.crt/server.crt
    SSLCertificateKeyFile /etc/apache/ssl.key/server.key

  6. Po správnom nastavení cesty pre certifikát je nevyhnutné reštartovať Apache server nasledovným príkazom: /etc/init.d/apache restart