SSL/TLS tanusítvány igénylés (egy lehetséges) menete

Egy kollegának volt szüksége erre. Gondoltam akkár már jobb ha kirakom a blogomra, mintha csak email-t írnék. A 2010-03-26 -i belső PPKE dokumentáció alapján PPKE-s ssl tanusítvány igénylésre készült. (NIIF - terena ca segítségével.)

Fogalmak

 • Private key: Maga a titkos kulcs. Ezt csak magán a szerveren (esetleg saját gépen) legyen meg. Ne küldjük el senkinek ne kerüljön ki a szerverről!
 • csr: Aláírási kérelem ez a private key-jel együtt jön létre. Nyilvános, a tanusítvány aláírásához erre van szükség.
 • cert: Maga a tanusítvány ami igazolja, hogy a private kulcs a mienk. (Pontosabban, hogy az adott private key az adott szervezet valamilyen szerveréhez tartozik.) A private keyt őrizzük a többit bárki megkaphatja/olvashatja.

Technikai lépések

Letölteni az openssl csomagot http://www.openssl.org/related/binaries.html

openssl req -batch -config servername.config
 -newkey rsa:2048 -out servername_csr.pem

Íme a servername_csr.pem

HOME          = .
oid_section       = new_oids
[ new_oids ]
[ req ]
default_days      = 365      # how long to certify for
default_keyfile     = servername_privatekey.pem
distinguished_name   = req_distinguished_name
encrypt_key       = no
string_mask = nombstr

[ req_distinguished_name ]
0.commonName       = Common Name (eg, YOUR name)
0.commonName_default   = servername
0.commonName_max     = 64

countryName           = Country Name (2 letter code)
countryName_default       = HU
countryName_min         = 2
countryName_max         = 2

0.organizationName       = Organization Name (eg, company)
0.organizationName_default   = write-YOUR-ORGANIZATION-here

Linux esetében a fenti fájlokat felhasználva bekonfigurálható a webszerver, ez elég jól dokumentált.

Windows esetében még szükséges

openssl pkcs12 -inkey servername-privatekey.pem
 -in az-niif-tol-letoltott.pem -name "write-YOUR-ORGANIZATION-here server certificate"
 -certfile terena.pem -caname "Terena CA" -export
 -out servername-all.pfx

terena.pem

Ezt szereti a IIS Certificate Wizardja.