Jaka jest właściwie rola klucza prywatnego i kiedy jest generowany? Odpowiedź na to pytanie będzie kluczowa w momencie, kiedy zdecydujesz się na zakup certyfikatu SSL.
Klucz prywatny jest niezbędny do instalacji certyfikatu SSL na serwerze, a to jak i kiedy się go generuje najłatwiej wytłumaczyć przechodząc przez proces zamawiania certyfikatu.
Proces zamawiania prześledzimy na podstawie naszego serwisu. Pod adresem https://www.mserwis.pl/certyfikaty-ssl wybieramy interesujący nas certyfikat i składamy zamówienie.
Generujemy CSR potrzebny do wydania certyfikatu SSL
Do złożenia zamówienia, a co za tym idzie do wydania certyfikatu SSL potrzebny jest CSR (ang. Certificate Signing Request), potocznie zwany żądaniem wydania certyfikatu. CSR zawiera takie informacje jak: nazwa domeny, dla której ma zostać wydany certyfikat SSL, administracyjny adres e-mail oraz dane organizacji lub osoby fizycznej składającej prośbę o wystawienie certyfikatu. CSR możemy wygenerować podczas składania zamówienia na naszej stronie https://www.mserwis.pl/certyfikaty-ssl/zamowienie, jest on generowany w formie klucza w wersji tekstowej.
Klikamy “NIE POSIADAM CSR”, co przeniesie nas na kolejną stronę, gdzie wygenerujemy CSR.
Podczas uzupełniania danych prosimy pamiętać, żeby nie używać znaków diakrytycznych, w tym polskich znaków. Jeśli dane zostaną uzupełnione, klikamy “GENERUJ CSR”.
Jako pierwszy w kolejności ukaże się nam klucz prywatny, który należy zapisać, ponieważ będzie potrzebny do instalacji certyfikatu SSL na serwerze, a jego późniejsze odzyskanie nie będzie możliwe. W celach bezpieczeństwa, klucz prywatny udostępniany jest tylko podczas generowania klucza CSR.
Kolejny będzie CSR, na podstawie którego można zamówić certyfikat SSL.
Klikamy i wybieramy interesujący nas certyfikat SSL.
Wypełniamy dane oraz kończymy proces zamawiania certyfikatu.
Po opłaceniu zamówienia na weryfikacyjny adres e-mail wysyłamy wiadomość, którą należy zatwierdzić. Po zatwierdzeniu wiadomości, certyfikat SSL przesyłany jest w osobnej wiadomości na administracyjny adres e-mail. Na podstawie powyższego zrzutu ekranu jest to adres “przykladowy@mail.pl”.
Klucz prywatny, a więc istnieje jakiś klucz publiczny?
Certyfikat SSL zawiera w sobie klucz publiczny, który w połączeniu z kluczem prywatnym pozwala na bezpieczny, szyfrowany przesył danych między użytkownikiem, a serwerem.
Postaramy się przedstawić współdziałanie tych dwóch kluczy na przykładzie dowolnego formularza zgłoszeniowego znajdującego się na stronie WWW.
Kiedy po przejściu na stronę WWW, która zabezpieczona jest certyfikatem SSL, będziemy przesyłać dane przez formularz zgłoszeniowy, przeglądarka odpyta serwer o jego klucz publiczny. Przy pomocy klucza publicznego przeglądarka zaszyfruje wszystkie dane przed przesłaniem do serwera. Serwer będzie w stanie odszyfrować dane wyłącznie za pomocą klucza prywatnego.
Ponieważ jedynie klucz prywatny pozwala odszyfrować przesyłane dane, to tak ważne jest, aby nie dostał się w posiadanie osób postronnych. W związku tym, klucz prywatny udostępniany jest tylko raz osobie generującej klucz CSR i dlatego należy go skopiować i zachować.
Co jeśli nie zapisałem klucza prywatnego?
Jeśli certyfikat SSL został pomyślnie wydany, rozpoczynamy proces instalacji na serwerze i musimy podać klucz prywatny. W tym momencie zaczynamy się zastanawiać skąd wziąć klucz prywatny. Co jeśli go nie zapisaliśmy? Czy da się coś z tym zrobić? Oczywiście!
Pierwsza myśl jaka nam przychodzi to napisanie do wydawcy certyfikatu lub pośrednika, u którego zamawialiśmy certyfikat. Niestety żaden z nich nie będzie posiadał naszego klucza prywatnego, a więc nie będzie w stanie nam go przesłać.
W sytuacji, gdy nie zapiszesz klucza prywatnego, będziesz zmuszony do ponownego zainicjowania wydania certyfikatu. Operacja ta jest w pełni darmowa w trakcie całego okresu ważności certyfikatu. Ponowne wydanie certyfikatu możemy zainicjować na podstawie nowo wygenerowanego klucza CSR. Podczas generowania nowego klucza CSR, otrzymamy również nowy klucz prywatny.
Ponowne wydanie certyfikatu SSL
W celu zlecenia ponownego wydania certyfikatu, należy uprzednio skontaktować się z naszym Biurem Obsługi Klienta i przesłać klucz CSR. Można podać pierwotny klucz – ten który użyty był za pierwszym razem lub wygenerować go od nowa na naszej stronie.
Podsumowując
Pamiętajmy o tym, żeby skopiować klucz prywatny i go zachować, a nie przysporzymy sobie później dodatkowej pracy związanej z ponownym wydaniem certyfikatu. Klucz możemy zapamiętać na wiele sposobów, a jednym z nich jest zapisanie go na naszym komputerze, używając do tego programu do przechowywania haseł (np. Password Safe, KeePass). Takie rozwiązanie zapewni, że nasz klucz nie wejdzie w posiadanie osób postronnych.
Pamiętaj, że do przechowywania klucza prywatnego używany jest plik tekstowy z rozszerzeniem *.key, a certyfikat SSL jest zapisywany w pliku z rozszerzeniem *.crt. Takiego formatu (osobne dwa pliki z certyfikatem i kluczem), używają serwery działające z systemami Linux (w przypadku serwerów MSERWIS.pl – CloudLinux).
Systemy Windows Server z rolą IIS (Internet Information Services – serwerem aplikacji www), używają formatu, który łączy certyfikat SSL i klucz w jednym pliku *.pfx.
Możemy konwertować certyfikat SSL do różnych formatów przy pomocy narzędzia OpenSSL dostępnego dla systemów Linux i Windows .
Przykład polecania OpenSSL, które konwertuje certyfikat SSL i klucz prywatny do formatu używanego przez systemy Windows:
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile more.crt
Planujesz zakup certyfikatu SSL?
Zastanawiasz się jaki wpływ ma certyfikat SSL na wskaźniki bezpieczeństwa Google? Wyjaśnialiśmy to już w tym artykule.
Polub nas na Facebooku
Komentarze
3 odpowiedzi na “Gdzie jest mój klucz prywatny? Certyfikat SSL”