Jaka jest właściwie rola klucza prywatnego i kiedy jest generowany? Odpowiedź na to pytanie będzie kluczowa w momencie, kiedy zdecydujesz się na zakup certyfikatu SSL.

Klucz prywatny jest niezbędny do instalacji certyfikatu SSL na serwerze, a to jak i kiedy się go generuje najłatwiej wytłumaczyć przechodząc przez proces zamawiania certyfikatu.

Proces zamawiania prześledzimy na podstawie naszego serwisu. Pod adresem https://www.mserwis.pl/certyfikaty-ssl wybieramy interesujący nas certyfikat i składamy zamówienie.

Generujemy CSR potrzebny do wydania certyfikatu SSL

Do złożenia zamówienia, a co za tym idzie do wydania certyfikatu SSL potrzebny jest CSR (ang. Certificate Signing Request), potocznie zwany żądaniem wydania certyfikatu. CSR zawiera takie informacje jak: nazwa domeny, dla której ma zostać wydany certyfikat SSL, administracyjny adres e-mail oraz dane organizacji lub osoby fizycznej składającej prośbę o wystawienie certyfikatu. CSR możemy wygenerować podczas składania zamówienia na naszej stronie  https://www.mserwis.pl/certyfikaty-ssl/zamowienie, jest on generowany w formie klucza w wersji tekstowej.  

Klikamy “NIE POSIADAM CSR”, co przeniesie nas na kolejną stronę, gdzie wygenerujemy CSR.

Podczas uzupełniania danych prosimy pamiętać, żeby nie używać znaków diakrytycznych, w tym polskich znaków. Jeśli dane zostaną uzupełnione, klikamy “GENERUJ CSR”.

Jako pierwszy w kolejności ukaże się nam klucz prywatny, który należy zapisać, ponieważ będzie potrzebny do instalacji certyfikatu SSL na serwerze, a jego późniejsze odzyskanie nie będzie możliwe. W celach bezpieczeństwa, klucz prywatny udostępniany jest tylko podczas generowania klucza CSR.

Kolejny będzie CSR, na podstawie którego można zamówić certyfikat SSL.

Klikamy i wybieramy interesujący nas certyfikat SSL.

Wypełniamy dane oraz kończymy proces zamawiania certyfikatu.

Po opłaceniu zamówienia na weryfikacyjny adres e-mail zostanie wysłana wiadomość, którą należy zatwierdzić. Po zatwierdzeniu wiadomości, certyfikat SSL zostanie przesłany w osobnej wiadomości na administracyjny adres e-mail. Na podstawie powyższego zrzutu ekranu jest to adres “przykladowy@mail.pl”.

Klucz prywatny, a więc istnieje jakiś klucz publiczny?

Certyfikat SSL zawiera w sobie klucz publiczny, który w połączeniu z kluczem prywatnym pozwala na bezpieczny, szyfrowany przesył danych między użytkownikiem, a serwerem.

Postaramy się przedstawić współdziałanie tych dwóch kluczy na przykładzie dowolnego formularza zgłoszeniowego znajdującego się na stronie WWW.

Kiedy po przejściu na stronę WWW, która zabezpieczona jest certyfikatem SSL, będziemy przesyłać dane przez formularz zgłoszeniowy, przeglądarka odpyta serwer o jego klucz publiczny. Przy pomocy klucza publicznego przeglądarka zaszyfruje wszystkie dane przed przesłaniem do serwera. Serwer będzie w stanie odszyfrować dane wyłącznie za pomocą klucza prywatnego.

Ponieważ jedynie klucz prywatny pozwala odszyfrować przesyłane dane, to tak ważne jest, aby nie dostał się w posiadanie osób postronnych. W związku tym, klucz prywatny udostępniany jest tylko raz osobie generującej klucz CSR i dlatego należy go skopiować i zachować.

Co jeśli nie zapisałem klucza prywatnego?

Certyfikat SSL został pomyślnie wydany, rozpoczynamy jego proces instalacji na serwerze i musimy podać klucz prywatny. W tym momencie zaczynamy się zastanawiać skąd wziąć klucz prywatny. Co jeśli go nie zapisaliśmy? Czy da się coś z tym zrobić? Oczywiście!

Pierwsza myśl jaka nam przychodzi to napisanie do wydawcy certyfikatu lub pośrednika, u którego zamawialiśmy certyfikat. Niestety żaden z nich nie będzie posiadał naszego klucza prywatnego, a więc nie będzie w stanie nam go przesłać.

W sytuacji, gdy nie zapiszemy klucza prywatnego, będziemy zmuszeni do ponownego zainicjowania wydania certyfikatu. Operacja ta jest w pełni darmowa w trakcie całego okresu ważności certyfikatu. Ponowne wydanie certyfikatu możemy zainicjować na podstawie nowo wygenerowanego klucza CSR. Podczas generowania nowego klucza CSR, otrzymamy również nowy klucz prywatny.

Ponowne wydanie certyfikatu SSL

Dla większości certyfikatów SSL, ponowne jego wydanie jest możliwe bezpośrednio w panelu wystawcy certyfikatu.

Link do panelu ponownego wydania certyfikatu danej marki dostępny jest pod poniższym adresem.

GeoTrust:

https://products.geotrust.com/orders/orderinformation/authentication.do

RapidSSL:

https://products.geotrust.com/orders/orderinformation/authentication.do

Symantec:

https://products.websecurity.symantec.com/orders/orderinformation/authentication.do

Thawte:

https://products.thawte.com/orders/orderinformation/authentication.do

Przechodzimy pod odpowiedni adres, zgodny z marką naszego certyfikatu, a następnie podajemy nazwę domeny oraz administracyjny adres e-mail. Zatwierdzamy klikając “Kontynuuj”.

Administracyjny adres e-mail to ten, który został podany do kontaktu podczas składania zamówienia na certyfikat SSL. Jest to adres, na który został przesłany poprzednio wydany certyfikat SSL. Nie należy go mylić z adresem weryfikacyjnym, którym domyślnie jest adres admin@nazwa_domeny.pl, administrator@nazwa_domeny.pl, hostmaster@nazwa_domeny.pl, webmaster@nazwa_domeny.pl lub postmaster@nazwa_domeny.pl.

W późniejszym kroku klikamy “Request access”.

Na adres administracyjny zostanie wysłany link do panelu administracyjnego. Należy odebrać wiadomość i kliknąć w link, który przeniesie nas do panelu zarządzania certyfikatem. Panel dostępny jest również w języku polskim, gdzie znajduje się opcja “Ponowne wydanie certyfikatu”. Po przejściu do tej opcji należy wkleić nowy, wygenerowany wcześniej CSR, w polu: “Żądanie podpisania certyfikatu”.

Następnym krokiem będzie akceptacja warunków i kliknięcie przycisku „Prześlij” w dolnej części strony. Wówczas wydanie certyfikatu zostanie ponownie zainicjowane.

Nowy CSR można wygenerować na naszej stornie: https://www.mserwis.pl/certyfikaty-ssl/generuj-csr.

Comodo (Sectigo):

W przypadku certyfikatów Comodo (Sectigo), będzie potrzebny bezpośredni kontakt z nami w celu ponownego wydania certyfikatu. Tutaj również niezbędny będzie nowo wygenerowany CSR, który należy do nas przesłać drogą mailową.

Podsumowując

Pamiętajmy o tym, żeby skopiować klucz prywatny i go zachować, a nie przysporzymy sobie później dodatkowej pracy związanej z ponownym wydaniem certyfikatu. Klucz możemy zapamiętać na wiele sposobów, a jednym z nich jest zapisanie go na naszym komputerze, używając do tego programu do przechowywania haseł (np. Password Safe). Takie rozwiązanie zapewni, że nasz klucz nie wejdzie w posiadanie osób postronnych.

Planujesz zakup certyfikatu SSL?

Zastanawiasz się jaki wpływ ma certyfikat SSL na wskaźniki bezpieczeństwa Google? Wyjaśnialiśmy to już w tym artykule👇

Komentarze