česky | english
Jak vytvořit nový pár klíčů a žádost o certifikát (CSR) v IIS 5.0
Vytvoření klíčů a žádosti o certifikát (CSR) pro Microsoft Internet Information Server (IIS) 5.0.
Postup vygenerování veřejného a privátního klíče a CSR pro a MS web server IIS-5
Proces generování klíčů
- Pod 'Administrative Tools' (Nástroji pro správu) otevřete 'Internet Services Manager' (Správce IIS). Pak otevřete okno vlastností webu, pro který si chcete vyžádat certifikát. Vlastnosti otevřete pravým klikem myši na kořen příslušného webu.
Otevřete záložku Directory Security
- V záložce 'Directory Security' (Zabezpečení adresáře) stiskněte tlačítko 'Server Certificate' (Certifikát serveru) v sekci 'Secure communications' (Zabezpečená komunikace). Pokud jste ještě neposkytli certifikát pro SSL, bude tlačítko 'Edit' (Upravit) neaktivní a port HTTPS (standardně 443) se nebude používat.
Zvolte "Create a new certificate" (Vytvořit nový certifikát)
- Nyní vytvořte nový certifikát. Tj. připravte žádost o certifikát (CSR) a nechte ji podepsat certifikační autoritou, například CAcert. Kromě žádosti, jejíž součástí je veřejný klíč, vznikne také privátní klíč. Do CA se odesílá pouze CSR! Privátní klíč zůstane uložen v systému serveru!
Příprava žádosti o certifikát (CSR)
- Nyní připravíte žádost, ale certifikát podepsaný CAcert z ní můžete získat jen tak, že ji předložíte k podepsání na on-line formulářích. Žádosti (CSR) nepřijímáme e-mailem.
- Druhá možnost předložení on-line slouží pro CA v místní síti, tedy ne pro CAcert nebo jiné veřejně působící CA.
Zadejte název certifikátu a zvolte jeho "sílu"
- Síla certifikátu je přímo úměrná délce klíčů v bitech (Bit length). Čím delší klíč, tím menší je možnost jeho prolomení (zjištění jeho hodnoty nějakým výpočetním postupem). Doporučujeme délku 1024 nebo 2048 bitů.
- Právě jste vytvořili pár klíčů - veřejný a privátní klíč. Privátní klíč je uložen lokálně, tj. na Vašem webovém serveru. Veřejný klíč s doplňujícími údaji bude odeslán CAcert ve tvaru žádosti o certifikát (CSR).
- Nyní vytvoříte žádost o certifikát (CSR). Tyto údaje budou zobrazeny ve Vašem certifikátu, identifikují majitele klíče uživatelům. CSR se používá jen jako žádost o certifikát. V polích údajů se nesmí vyskytnout následující znaky, jinak nemusí certifikát správně fungovat:
! @ # $ % ^ * ( ) ~ ? > < & / \
Zadejte údaje o Vaší organizaci
- Zadejte název organizace: musí to být plný, právně platný název organizace, která se hlásí o certifikát.
- Pole "Organisational Unit" (organizační jednotka) je 'volné'. Je to často oddělení "IT", "VT" (výpočetní techniky) nebo i název serveru - pro odkazy.
Zadejte obecný název (Common Name)
- Obecný název je plně kvalifikovaný doménový název (FQDN) serveru nebo adresa webu, který chcete zabezpečit. Jak 'www.CAcert.org', tak 'secure.CAcert.com' jsou platné obecné názvy. IP adresy se obvykle nepoužívají.
Zadejte zeměpisné údaje
- Je to Vaše země, stát či jiná správní jednotka (kraj, okres, župa, provincie atd.) a město nebo obec.
Zvolte si název souboru pro uložení žádosti
- Zvolte složku, kterou pak bude snadné najít. Soubor se žádostí budete muset později otevřít v programu Poznámkový blok (Notepad). Musíte žádost - která je kódována v BASE64, tedy do samých znaků - kopírovat ze souboru a vložit do našeho on-line formuláře. Po úspěšném podání žádosti už nebudete její soubor nikdy potřebovat, protože IIS nepoužívá staré žádosti (CSR) ke generování nových certifikátů ani k obnově starých.
Potvrďte podrobnosti své žádosti
Dokončete a zavřete průvodce certifikáty IIS. Žádost se vytvoří a uloží do souboru, jehož název a umístění jste zadali.
Instalace certifikátu v IIS 5.0
Nový certifikát dostanete e-mailem nebo si ho stáhnete z webových stránek svého účtu CAcert. Pak je třeba certifikát nainstalovat.
Uložení certifikátu do souboru
- Zkopírujte obsah z e-mailu popř. svého účtu na webu CAcert, a to včetně řádků
-----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----
Nekopírujte prázdné řádky (znaky CR-LF na začátku nebo na konci certifikátu. Uložte certifikát v textovém editoru, například Poznámkový blok (Notepad). Uložte certifikát do souboru s příponou .cer a vypovídajícím názvem, například certifikát-číslo.cer
Kroky instalace
- Vraťte se k zobrazení 'Internet Information Services' (IIS), položky 'Administrative Tools' (Nástroje správy) v 'Control Panel' (Ovládacích panelech). Pravým klikem na 'Default Web Site' (Výchozí web) se zobrazí menu; vyberte 'Properties' (Vlastnosti).
Vyberte záložku Directory Security (zabezpečení adresáře)
- Zvolte 'Server Certificate' (Certifikát serveru) ve spodní části záložky, v sekci 'Secure communications' (Zabezpečená komunikace).
V 'IIS Certificate Wizard' (průvodci certifikátem IIS) nyní uvidíte 'Pending Certificate Request' (nevyřízená žádost o certifikát)
- Zvolte 'Process the pending request and install the certificate' (Zpracovat nevyřízenou žádost a instalovat certifikát) a stiskněte 'Next' (další).
Vyhledejte uložený soubor certifikátu *.cer
- Vyberte soubor s příponou .cer a stiskněte 'Next' (Další).
Přesvědčte se, že máte správný certifikát
- Tip: Certifikát vydaný CAcert má jedinečné sériové (pořadové) číslo. Najdete ho ve svém účtu, menu "Certifikáty serveru" - "Zobrazit". V certifikátu (když ho otevřete) se nalézá v záložce "Podrobnosti".
- Zkontrolujte, zda sériové číslo souhlasí, a pak stiskněte 'Next' (další).
Potvrzení uvidíte v okně průvodce
- Po přečtení stiskněte 'Finish' (ukončit).
A to je všechno!
Více informací najdete v dokumentaci svého serveru. nebo na Microsoft Support Online.