Certificate Signing Request (CSR) eli varmennepyyntö

Certificate Signing Request (CSR) eli varmennepyyntö

Mikä CSR on ja mihin sitä tarvitaan?

Jos tiedät jo peruspasiat varmennepyyntöön liittyen ja tarvitset palvelinkohtaisia ohjeita, pääset alla olevalla painikkeella suoraan Entrust:in ohjesivulle.

Siirry tästä

CSR:n Luominen

Listauksessa palvelinkohtaiset ohjeet valikoituihin ympäristöihin.

Avaa listaksesta oikea palvelinympäristö päästäksesi oikeaan ohjeeseen. Lisää palvelinkohtaisia ohjeita varmennepyyntöön muodostamiseen löytyy Entrustin sivuilta, jonne pääset alla olevasta linkistä.

Siirry Entrustin sivulle

F5 BIG IP

F5 BIG-IP Loadbalancer (versio 11.3.0)
1. Käynnistä F5 BIG-IP web käyttöliittymä.
2. Klikkaa Main-välilehdellä System, valitse File Management ja valitse sitten SSL Certificate List
3. Näkyviin tulee luettelo olemassa olevista varmenteista.
4. Napsauta näytön oikeassa yläkulmassa Create.
5. "General Properties" kohtaan anna varmenteelle nimi. Tätä käytetään jatkossa varmenteen tunnistamiseen järjestelmässä.
6. Valinnan "Certificate Properties" alla, anna seuraavat tiedot:

Issuer: Certificate Authority (oma CA:si, esim.Entrust)
Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
Division: Osasto, esim. ICT
Organization: Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
Locality, State or Province, Country: Kunta/Kaupunki sekä maa, jossa organisaatiosi sijaitsee. Maakoodi on esim. FI
E-mail Address: Sähköpostiosoitteesi. Tässä voi olla hyvä käyttää esim. geneerisiä sähköposteja, kuten admin@domain.com, postmaster@domain.com, hostmaster@domain.com tai webmaster@domain.com ("domain.com" tulee korvata haettavan domainin tiedoilla ja sähköpostiosoitteen tulee olla voimassa oleva sähköpostiosoite).
Challenge Password, Confirm Password: Salasana varmennehakemusta varten.

7. "Key Properties", valitse 2048. Käytettävien avainten koko on tänä päivänä minimissään 2048, pienempiä arvoja ei enää hyväksytä.
8. Klikkaa näytön alareunasta Finished.
9. Varmennepyynnön teksti tulee näkyviin. Kopioi koko teksti tiedostoon tai lataa pyyntötiedosto tallentaaksesi CSR:n.
10. Klikkaa näytön alareunassa Finished.

Tämän tuloksena sinulla pitäisi olla käytettävissäsi CSR tiedosto, eli varmennepyyntö, jolla voit tehdä varmennehakemuksen varmennetoimittajallesi. Tämä on normaali tekstitiedosto, voit kopioida sen sisällön vaikka sähköpostiin tai suoraan varmennetoimittajasi järjestelmään sille varattuun kenttään. Kun varmenteesi on toimitettu, voit asentaa sen paikoilleen.

Huomioi, että varmennepyyntöä tehdessä, laitteelle jossa em. komento ajetaan muodostuu varmennetta vastaava Private Key jota ilman varmenne ei toimi. Varmenteen voi siis asentaa nimenomaan sille laitteelle, jossa varmennepyyntö on tehty. Joissain tapauksissa on mahdollista viedä sekä varmenne, että sen Private Key pakettina ulos ja kopioida se toiseen laitteeseen.

Microsoft Exchange

Microsoft Exchange 2010:
1. Käynnistä Exchange-hallintakonsoli (järjestelmänvalvoja-roolissa).
2. Valitse Palvelimen määritykset ja valitse sitten Uusi Exchange-varmenne.
3. Kirjoita varmenteen kutsumanimi esim. "exchange" ja valitse Seuraava.
4. Toimialuevaikutusalue:

Jos varmennehakemus on yleisvarmennetta varten, valitse Ota käyttöön yleisvarmenne, kirjoita yleisvarmennetta varten päätoimialueen nimi ja valitse Seuraava.
Jos varmennehakemus ei ole yleisvarmennetta varten, napsauta Seuraava jättämällä valintaruutu tyhjäksi.

5. Jos varmennehakemus on yleisvarmennetta varten, ohita seuraava vaihe.
6. Valitse Exchange-asetukset-osassa palvelut, jotka haluat varmenteella suojata, ja valitse Seuraava.
Ajettavien palvelujen valinta edellyttää, että tiedät palvelimen tarkat kokoonpanomääritykset.

Jakaminen - Valitse tämä, jos haluat käyttää varmennetta organisaatioiden väliseen federointiin.
Client Access -palvelin (Outlook Web App) – Varmennetta käytetään myös Outlook Web App:ssa (OWA)
Client Access -palvelin (Exchange ActiveSync) – Jos ActiveSync on otettu käyttöön, kirjoita se verkkotunnus, jota käytät ActiveSyncille.
Client Access palvelin (WWW-palvelut, Outlook Anywhere ja automaattinen haku) – Exchange-WWW-palveluille ja/tai Outlook Anywhere -ohjelma, kirjoita isäntänimi. Tämä vaihtoehto on valittava jos haluat käyttää Internetissä automaattista hakupalvelua. Valitse pitkä tai lyhyt URL-osoite ja kirjoita verkkotunnus.
Client Access -palvelin (POP/IMAP) – jos käytössä on POP/IMAP-palveluita. Kirjoita verkkotunnus, jota käytät sekä POP- että IMAP-palveluille.
Yhdistetyn viestiliikenteen palvelin – jos varmennetta käytetään yhdistetyn viestiliikenteen ja kirjoita sitten yhdistetyn viestiliikenteen palvelinten verkkotunnus.
Keskitinsiirto-palvelin – Valitse tämä, jos Internet-posti suojataan TLS:llä tai käytetään POP/IMAP-palvelinta postien lähetykseen. Tähän on kirjoitettava palvelimen täydellinen verkkotunnus (FQDN). Vanha Exchange-palvelin – jos haluat käytetään vanhoja verkkotunnuksia. Syötä myös vanhoihin palvelimiin liittyvä verkkotunnus.

Valitse yleinen nimi (CN=), tämä on palvelimen FQDN nimi, esimerkiksi mail.domain.com. Jatka valitsemalla Seuraava.
Täytä seuraavat tiedot:

Organisaatio (O=): Yrityksen nimi, siinä muodossa kuin se on rekisteröity esim. kaupparekisteriin ja varmennettu.
Organisaatioyksikkö (OU=): Yrityksen sisäinen, ei varmennettu, organisaatioyksikkö.
Maa/alue (COUNTRY=): Valitse maa, jossa organisaatio on juridisesti rekisteröity.

Kaupunki/paikka/kunta (L=)

Osavaltio/provinssi: Suomessa näitä ei ole, voit käyttää tässä Kaupunkia/Kuntaa.

7. Valitse tallennuskohde Selaa painikkeella, kirjoita tiedoston nimi ja Tallenna.
8. Valitse vielä Uusi "Exchange-varmenne" -osassa b>Seuraava - ≻ Uusi - ≻ Valmis.

Lähetä varmennehakemus varmenteesi toimittajalle tai kopio syntyneen tiedoston sisältö käyttämääsi palveluun sille varattuun paikkaan.

OpenSSL (Apache, NGINX)

CSR:n luonti OpenSSL-työkalulla

Entrustin aputyökalu OpenSSL-komennon luomiseen

1. Kirjaudu palvelimelle, terminaaliin (Unix/Linux) tai Komentokehotteeseen (Windows).
2. Kirjoita seuraava komento: openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
3. OpenSSL kysyy varmenteelle tarvittavat tiedot. Pakollisina tietoina katsotaan olevan MAA (kaksi merkkinen lyhenne) missä varmennetta tullaan käyttämään, Organisaation nimi sellaisena kuin se kaupparekisteriin on merkitty, COMMON NAME (CN) eli palvelun nimi, joka halutaan varmentaa, esimerkiksi: www.omadomain.fi.

Maakoodit löytyvät täältä.

Microsoft IIS

Microsoft IIS 8
(Windows 2012 Server/IIS 8.x, englanninkielinen palvelinversio)

1. Käynnistä IIS Manager ja etsi "Connections panelista", palvelin jolle varmennepyyntö halutaan tehdä..

2. Palvelimen kotisivulta, "Home page" (keskimmäinen paneli) IIS osion alta valitse tuplanapsauttamalla "Server Certificates".

3. "Actions menu" (oikean puoleinen paneli), valitse: "Create Certificate Request".

4. "Request Certificate wizard" käynnistyy ja pyytää sinua antamaan seuraavat tiedot:

Common name: Palvelimen FQDN (fully-qualified domain name) (esim., www.domain.com, mail.domain.com, tai *.domain.com)
Organization: Yrityksen tai organisaation virallinen, rekisteröity nimi (YTJ:n mukainen nimi on yleisesti ottaen paras)
Organizational unit: Osasto, esim. ICT.
City/locality: Kunta/Kaupunki
State/province: Kunta/Kaupunki
Country/region: Maakoodi on esim. FI

5. "Cryptographic Service Provider Properties" sivulla, anna seuraavat tiedot ja paina sitten "Next"

Cryptographic service provider: Valitse listalta "Microsoft RSA SChannel Cryptographic Provider" (ellet jostain syystä halua käyttä jotain muuta kryptausmenetelmää).
Bit length: Valitse listalta 2048, ellet jostain syystä halua käyttää jotain muuta avaimen pituutta. Tämä on pienin tänä päivänä hyväksyttävä RSA arvo, vaikka saatatkin vielä joissain palveluissa nähdä esim. 1024 avaimen pituuksia. Varmennetta ei pienemmälle RSA avaimen pituudelle enää voida myöntää.

Tiedoston nimeä annettaessa huomio, että ellet valitse polkua (painike jossa on kolme pistettä ...) tallentuu CSR tiedosto oletusarvoisesti "C:\Windows\System32" kansioon.

6. Lopuksi klikkaa "Finish"

MMC (Microsoft Management Console)/ Windows 8

Entrustin ohjevideo

1Mihin tarvitsen CSR:n?

CSR (Certificate Signing Request) tarvitaan, jotta varmennetoimittajasi pystyy muodostamaan tarvitsemasi varmenteen. CSR sisältää varmenteen julkisen avaimen ja toimii vastaparina CSR:n muodostamisen yhteydessä syntyneelle Private Key:lle.

2Voiko CSR:n tehdä muualla kuin kohdepalvelimella?

Kyllä. CSR voidaan tehdä periaatteessa millä tahansa laitteella, mutta tällöin muodostamisen yhteydessä syntyvä Private Key täytyy siirtää erikseen asennuskohteeseen, missä piilee riski. Suositeltavinta on muodostaa CSR samalla palvelimella kuin mille varmenne ollaan asentamassa.

3Haluan tarkistaa luomani CSR:n. Miten teen sen?

CSR:n tarkistamiseen löytyy verkosta työkaluja useilta eri sivuiltoilta. Entrustilla on myös tähän tarjolla oma ratkaisunsa joka löytyy tämän linkin takaa.

Tällä esimerkillä voit testata työkalun toimivuutta. Kopioi alla oleva kokonaisuudessaan:

-----BEGIN NEW CERTIFICATE REQUEST----- MIIDizCCAnMCAQAwSTELMAkGA1UEBhMCRkkxITAfBgNVBAoMGEV4YW1wbGUgT3Jn YW5pemF0aW9uIEx0ZDEXMBUGA1UEAwwOZXhhbXBsZS5jc3IuZmkwggEiMA0GCSqG SIb3DQEBAQUAA4IBDwAwggEKAoIBAQDvnHB41qHPntBiAHxA2em+uzZf3MZW+xq7 6rXMDDjosXHDfc/SEr+ZzKKUaswbP//n372uertj/Gin/nia0Z61MDuILGebN1pC gly/bkYZuUX7+3CwjR587ejUK8F5JWoOpTyTE8thbPlpf+rS7PXw49RBLbWQBhon ufJZKtAcMyVwLvZM47Z3hCh8RXRaq4je+n4gB2VCUL7pvStQAvrFLQIUWdvFl0HY tj2S1JuI9N8ZtMxxMC1frHVCvHvEeCbIcMPmvDpk4Ss3KXGh3/4HVvpfYmmI0ik8 IaeBal6awQPlD5F5zt1wkVoDnezEfCjxnP9fdstZnn03+YlZxRZRAgMBAAGggfww HAYKKwYBBAGCNw0CAzEOFgwxMC4wLjE5MDQxLjIwLgYJKoZIhvcNAQkOMSEwHzAd BgNVHQ4EFgQUEvc6rlZPpATlueIvaYvRRTwToeYwRAYJKwYBBAGCNxUUMTcwNQIB BQwPREVTS1RPUC1TMENIQzlDDBZERVNLVE9QLVMwQ0hDOUNcSGVsZW5hDAdNTUMu RVhFMGYGCisGAQQBgjcNAgIxWDBWAgEAHk4ATQBpAGMAcgBvAHMAbwBmAHQAIABT AG8AZgB0AHcAYQByAGUAIABLAGUAeQAgAFMAdABvAHIAYQBnAGUAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQELBQADggEBAGJOZAvs1+b8/rbvaMDHMIIg 9Fd/HEhMJ9WB3mxxMKpAiAhv5fmQ9FCBFgudYpHZ2OAPvgjP1trbpjyvAE8AXMpy eDEjI37R9JC3Gz44aAOE6Kl7VrBPjib5x5ms2kUs90DPhSXLGP0PhHf1oX9PRZG7 ed28VIvNbIbbcPVO9MEkToK8nfmqgJR+e0cPpk9da4DDeeds3fAPi9ErunIgX8xh 2SrVjKfx/pvJTKculIqF6f9sIgZc6xYPPq2HXKPjdrIh1NQparQh0Qt0WMIbVCGa t7xNUGrU8XejlTrEseO4WyXbO2gWb/n6An/KbG3Y31AGRUuAcXnyJMtN5TOgKOQ=
-----END NEW CERTIFICATE REQUEST-----

4Tarvitseeko varmennetoimittajani myös CSR:n kanssa muodostuneen Private Keyn?

Ei. Private Key tulee pitää hyvässä tallessa suojatussa sijainnissa, eikä sitä tulee jakaa kenellekään. Kun CSR muodostetaan suoraan palvelimella, Private Key jää usein automaattisesti palvelimelle.

5Mistä löydän ohjeet CSR:n muodostamiseen?

Entrust on koonnut palvelinkohtaiset ohjeet CSR:n muodostamisesta verkkosivuilleen. Pääset heidän ohjeisiinsa tästä. Valitse oikea palvelintyyppi listalta ja klikkaa "View" tämän kohdalta sarakkeesta "CSR Guide".

Varmenteen anominen

Varmenteeseen sisältyvä organisaatioidentiteetti edellyttää tarkkaan auditoitua verifiointiprosessia, johon saat tarkemmat ohjeet varmennetoimittajaltasi. Verifiointien ollessa ajantasalla, varmenteen hakuprosessi on yksinkertaisettuna seuraava: Varmennehakemus (CSR) tehdään palvelimella, ja tämän yhteydessä muodostuu salainen sekä julkinen avain. Julkinen kulkee varmennepyynnön mukana varmentajalle (Entrust), joka tarkastaa pyynnön oikeutuksen. Varmentaja lähettää takaisin SSL/TLS-varmenteen, joka sisältää mm. julkisen avaimen. SSL/TLS-varmenne asennetaan web-palvelimelle ja se lukittuu salaiseen avaimeen.

Huom. CSR:n luomisen aikana muodostunut Private Key on säilytettävä suojatussa ympäristössä, eikä sitä saa jakaa muille, edes varmennetoimittajalle.