Till innehåll på sidan
Till KTH:s startsida Till KTH:s startsida

Att skapa en formell certifikatbegäran (CSR/PKCS#10)

Här finns information om att skapa en formell certifikatbegäran (CSR/PKCS#10).

En utförlig beskrivning för olika system finns i Sectigos instruktioner för CSR . För information om OpenSSL se Apache (OpenSSL)  eller Nginx (OpenSSL) .

Kort summering för Linux och motsvarande Unix-system:

Gör en nyckel med OpenSSL, obligatoriska fält står nedan (övriga kan lämnas tomma, eller fylls i av Sectigo).

  openssl req -new -newkey rsa:2048 -utf8 -nodes -keyout server.key -out server.csr

  • C (Country Name) = SE
  • ST (State or Province) = .  OBS: punkt
  • O (Organization Name) = Kungliga Tekniska högskolan
  • CN (Common Name) = server-fqdn.kth.se

Notera att

  • OU (Organizational Unit) ska vara tomt! Tidigare kan man ha använt en skola eller avdelning.
  • ST ska vara tomt, och "." (punkt) behövs för att openssl inte ska använda default-värdet "Some-State".
  • O måste vara på svenska, med korrekt stavning . Flaggan -utf8 behövs för att stava KTH:s namn rätt. (Nästan alla system använder idag lokalinställningar med UTF-8.)

Titta på filen server.csr med hjälp av kommandot

 openssl req -text -in server.csr -noout

Om det verkar korrekt, klistra in den i ansökan på Sectigos beställningssida.

När certifikatet är utfärdat får du e-post med länkar att ladda ner certifikatet.

Installation av OpenSSL i Windows

  1. Hämta hem senaste OpenSSL för windows från http://slproweb.com/products/Win32OpenSSL.html
  2. Starta installation och välj att installera under C:\OpenSSL
  3. Välj att placera inställningsfil (openssl.cfg) under C:\OpenSSL\bin\ katalogen, installationen slutförs

  4. Skapa katalogen C:\ssl_certs

  5. Sätt miljövariabler i Windows eller skriv in de i cmd-fönstret när certifikat skapas

    Miljövariabler

    set opensslbin=C:\OpenSSL\bin

    set RANDFILE=C:\OpenSSL\bin\.rnd

    set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg

  Katalogstruktur

  C:\OpenSSL ← innehåller openssl
  C:\ssl_certs ← Katalog som man skapar certifikat på

Skapa certifikat i Windows

  1. Starta ett kommandofönster och gå till katalogen C:\ssl_certs

  2. Skapa en privatnyckel samt CSR genom att skriva in följande kommandorad där servernamnet skall vara FQDN. OBS: du ska inte sätta OU (se ovan).

    %opensslbin%\openssl req -out .\servernamn_datum.csr -new -sha256 -newkey rsa:2048 -nodes -subj "/ST=Stockholm/L=Stockholm/CN=servernamn.ug.kth.se/O=Kungliga Tekniska högskolan/C=SE" -keyout .\servernamn_datum.key
  3. Klistra in CSR filens innehåll i Sectigos portal. Du kan vid behov lägga in flera namn (Subject Alternate Names, SAN), ifall du inte gjorde det i openssl-kommandot ovan.

Installation av certifikat

  1. När certifikatet är godkänt kopiera pem filen till C:\ssl_certs och döp om den till servernamn_datum.pem
  2. Lägg till certifikatskedjan i certifikatet (för java keystores mm)
    1. Ta en kopia på pem filen och spara den som fqdn.pem.backup
    2. Öppna upp den i Notepad++ och klistra in den fulla certifikatskedjan (finns där du hämtar certifikatet, välj inte de enstaka certifikatet utan hela kedjan ) efter certifikatet som redan finns i pemfilen

  3. Skapa sedan en pfxfil genom att skriva in följande kommando och skriv in lösenord för pfx filen när du skapat

    %opensslbin%\openssl pkcs12 -export -out servernamn_datum.pfx -inkey servernamn_datum.key -in servernamn_datum.pem
  4. Kopiera pfx filen till servern och installera den på datorkontot under personal