Požadavek na podpisový certifikát

Požadavek na podpisový certifikát (také Certificate signing request, CSR nebo žádost o certifikaci) je zpráva od žadatele certifikační autoritě k žádosti o certifikát digitální identity. Zpráva obsahuje veřejný klíč, pro který by měl být certifikát vydán, identifikační informace (např. název domény) a ochranu integrity (např. digitální podpis).

V systémech infrastruktury veřejného klíče (PKI) je to zpráva odeslaná žadatelem registračnímu orgánu infrastruktury veřejného klíče za účelem žádosti o certifikát digitální identity. Nejběžnějším formátem CSR je specifikace PKCS #10.

Procedura

Před vytvořením CSR žadatel nejprve vygeneruje pár klíčů, přičemž soukromý klíč zachová v tajnosti. CSR obsahuje informace identifikující žadatele (například v případě certifikátu X.509 je to rozlišovací jméno[1]), které musí být podepsány pomocí soukromého klíče žadatele. CSR také obsahuje veřejný klíč zvolený žadatelem. K CSR mohou být přiložena další pověření nebo doklady totožnosti požadované certifikační autoritou a certifikační autorita může kontaktovat žadatele o další informace. Pokud je žádost úspěšná, certifikační autorita odešle zpět certifikát identity, který byl digitálně podepsán pomocí soukromého klíče certifikační autority.

Struktura

Žádost o certifikaci se skládá ze tří hlavních částí: informace o žádosti o certifikaci, identifikátoru algoritmu podpisu a digitálního podpisu informací v žádosti o certifikaci. První část obsahuje důležité informace včetně veřejného klíče. Podpis žadatele brání entitě požadovat falešný certifikát veřejného klíče někoho jiného.[2] K vytvoření certifikátu je tedy podpis zapotřebí, ale není součástí CSR.[3]

Pro vygenerování veřejného klíče může být požadováno uvést následující:[4]

  1. Common name: přesný název domény
  2. Organization: jméno firmy, majitele domény
  3. Organizational unit: jednotka, účel
  4. City/locality: město
  5. State/province: stát
  6. Country/region: kód země
  7. Key Size: 2048 bit

Reference

V tomto článku byl použit překlad textu z článku Certificate signing request na anglické Wikipedii.

  1. Distinguished Names [online]. IBM, 2019-11-05 [cit. 2020-01-16]. Dostupné online. (anglicky) 
  2. IETF RFC|2986 - PKCS #10: Certification Request Syntax Specification Version 1.7
  3. Nikos Mavrogiannopoulos. PKCS #10 certificate requests [online]. GnuTLS, 2020-01-09 [cit. 2020-01-16]. Dostupné online. (anglicky) 
  4. Veřejný klíč (CSR request)

Související články