Szegedi Tudományegyetem - Ahol tudás és szándék találkozik

I. Előkészületek

A tanúsítvány kérést a legegyszerűbben az KIFÜ (volt NIIF) honlapján is javasolt openssl szoftverrel készíthetjük el.
Ha ilyen nem lenne a gépünkön, akkor azt a http://www.openssl.org honlap útmutatásai alapján installáljuk.

A tanúsítvány kérés elkészítéséhez az openssl-nek szükségé van egy konfigurációs filera. Egy, a legtöbb esetben megfelelő konfigurációs file innen letölthető. Ez a file az NIIF-étől csak egy-két default értékben illetve megjegyzésben tér el. A letöltött filet használat előtt nevezzük át openssl.cnf-re, az _.txt-s kiterjesztés csak a letöltés megkönnyítése végett szerepel a filenév végén. A konfigurációs file módosítható.

II. A tanúsítvány kérés elkészítése

1. A tanúsítvány kérést és a privát kulcsot az alábbi paranccsal készíthetjük el:

openssl req -new -newkey rsa:2048 -out www.valami.u-szeged.hu.csr \
 -keyout www.valami.u-szeged.hu.key -nodes -config openssl.cnf

A www.valami.u-szeged.hu helyett tetszőleges más név is szerepelhet, többnyire azonban az elsődleges nevet (Common Name) szokás megadni (lásd alább).

Ha az innét letöltött openssl konfigurácíós filet használjuk, akkor a kulcs legenerálódása után a következő kérdésekre kell válaszolni. Fontos: a mezők megadásakor ne használjunk ékezetes karaktereket!

Country Name (Orszag neve, 2 betus kod) [HU]:
 Organization Name (Intezmeny neve, pl. SZTE) [SZTE]:
 Common Name (A szerver FQDN neve a szolgaltatashoz) []:www.valami.u-szeged.hu

Ha egy szerver kanonikus (DNS A rekordban megadott) neve server.valami.u-szeged.hu, de a tanúsítványra a https szolgáltatáshoz van szükség, és azt (egy DNS CNAME rekordban megadott) www.valami.u-szeged.hu host-aliassal hirdetjük, akkor ez az utóbbi legyen az elsődleges név (Common Name).

2. Az elkészült tanúsítvány kérés (.csr kiterjesztésű file) tartalmát az alábbi paranccsal ellenőrizhetjük:

openssl req -in www.valami.u-szeged.hu.csr -noout -verify -text

A megjelenő outputban a Subject: sorban látjuk viszont az általunk megadott, vagy default-ként elfogadott értékeket, de a mezők nevei csak rövidítésként íródnak vissza:

verify OK
 Certificate Request:
     Data:
         Version: 0 (0x0)
         Subject: C=HU, O=SZTE, CN=www.valami.u-szeged.hu
         Subject Public Key Info:
             Public Key Algorithm: rsaEncryption
             RSA Public Key: (2048 bit)
                 Modulus (2048 bit):
 ...

Ha valamit elrontottunk, generáljunk új kulcsot és tanúsítvány kérést a fentebbi lépést megismételve.

3. Ha minden rendben, védjük le a privát kulcsot (.key kiterjesztésű file), hogy ahhoz mások ne férhessenek hozzá:

chmod 400 www.valami.u-szeged.hu.key

A tanúsítványkérést (.csr kiterjesztésű file) fel kell adni a Modulo rendszerben.
A privát kulcsot a megkapott, Sectigo által aláírt tanúsítvánnyal és a tanústványlánccal együtt a TLS/SSL felett szolgáltató szoftver leírásának megfelelően kell majd installálni. Az Apache webszerver például külön fileba kéri ezeket (SSLCertificateKeyFile, SSLCertificateFile, SSLCertificateChainFile ), míg a University of Washington IMAP/POP szerveréhez egyetlen fileba kell konkatenálni a kulcsot, a szerver tanúsítvány és a tanúsítványlánc "CERTIFICATE" részeit, ebben a sorrendben.