Požadavek na podpisový certifikát
Požadavek na podpisový certifikát (také Certificate signing request, CSR nebo žádost o certifikaci) je zpráva od žadatele certifikační autoritě k žádosti o certifikát digitální identity. Zpráva obsahuje veřejný klíč, pro který by měl být certifikát vydán, identifikační informace (např. název domény) a ochranu integrity (např. digitální podpis).
V systémech infrastruktury veřejného klíče (PKI) je to zpráva odeslaná žadatelem registračnímu orgánu infrastruktury veřejného klíče za účelem žádosti o certifikát digitální identity. Nejběžnějším formátem CSR je specifikace PKCS #10.
Procedura
Před vytvořením CSR žadatel nejprve vygeneruje pár klíčů, přičemž soukromý klíč zachová v tajnosti. CSR obsahuje informace identifikující žadatele (například v případě certifikátu X.509 je to rozlišovací jméno[1]), které musí být podepsány pomocí soukromého klíče žadatele. CSR také obsahuje veřejný klíč zvolený žadatelem. K CSR mohou být přiložena další pověření nebo doklady totožnosti požadované certifikační autoritou a certifikační autorita může kontaktovat žadatele o další informace. Pokud je žádost úspěšná, certifikační autorita odešle zpět certifikát identity, který byl digitálně podepsán pomocí soukromého klíče certifikační autority.
Struktura
Žádost o certifikaci se skládá ze tří hlavních částí: informace o žádosti o certifikaci, identifikátoru algoritmu podpisu a digitálního podpisu informací v žádosti o certifikaci. První část obsahuje důležité informace včetně veřejného klíče. Podpis žadatele brání entitě požadovat falešný certifikát veřejného klíče někoho jiného.[2] K vytvoření certifikátu je tedy podpis zapotřebí, ale není součástí CSR.[3]
Pro vygenerování veřejného klíče může být požadováno uvést následující:[4]
- Common name: přesný název domény
- Organization: jméno firmy, majitele domény
- Organizational unit: jednotka, účel
- City/locality: město
- State/province: stát
- Country/region: kód země
- Key Size: 2048 bit
Reference
V tomto článku byl použit překlad textu z článku Certificate signing request na anglické Wikipedii.
- Distinguished Names [online]. IBM, 2019-11-05 [cit. 2020-01-16]. Dostupné online. (anglicky)
- IETF RFC|2986 - PKCS #10: Certification Request Syntax Specification Version 1.7
- Nikos Mavrogiannopoulos. PKCS #10 certificate requests [online]. GnuTLS, 2020-01-09 [cit. 2020-01-16]. Dostupné online. (anglicky)
- Veřejný klíč (CSR request)