Kunnskapsbase : SSL > Serverspesifikke artikler > Apache ModSSL

En ting som noen ganger gjør installasjon av sertifikater på Apache mer komplisert, er dersom det ble lagt inn ett passord/ passphrase, ("A challenge password:"), ved genereringen av CSR-filen.
Dersom dette ble lagt inn krever Apache at passordet/ passphrasen legges inn hver gang Apache restartes.
Det anbefales ikke å legge inn passord ved generering av CSR-filen.

 

For å generere en Certificate Signing Request (CSR) og en privat nøkkel på Apache Mod_SSL/OpenSSL gjør følgende:

Bruk følgende kommandolinje:

openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr

Dette vil generere to filer:

  1. myserver.key - denne filen inneholder en privat nøkkel.
  2. server.csr - dette er CSR-filen. Denne filen inneholder blant annet en offentlig nøkkel.

Filen "myserver.key" inneholder en privat nøkkel. Denne filen må oppbevares sikkert og informasjonen skal ikke deles.
Husk spesielt å ta backup av den private nøkkelen, da det ikke er noen måte å hente den på nytt om den skulle bli borte.

 

Du vil nå bli spurt om å fylle inn informasjonen som skal legges inn i din CSR-fil:

Det som du nå skal skrive inn er det som kalles "Distinguished Name" (DN).

I noen felt vil det være en default verdi. Om du skriver inn '.' vil feltet forbli tomt.

  • "Country Name" (2 bokstavers landskode) [AU]: NO (dette feltet skal være NO dersom firmaet som eier domenet er norskregistrert)
  • "State or Province Name"
  • "Locality Name"
  • "Organization Name" (dette feltet skal inneholde firmanavnet slik det står oppført i WHOIS. For norske domener er dette oppført i Norid www.norid.no )
  • "Organization Unit Name" (eks. avdeling)
  • "Common Name" (domenenavn, feks www.commfides.com)
  • "Email Address:"

 

Du kan også fylle inn følgende ekstra informasjon:

  • "A challenge password:" (Anbefales ikke, se kommentar over angående dette punktet)
  • "An optional company name:"

Bruk webserveren som "Common Name" (CN). Hvis domene-navnet er mittdomene.com, tilføy domenet til hostnavnet (bruk "fully qualified domain name").

Feltene "email address", "optional company", "name" og "challenge password" kan være tomme for et webserver sertifikat.

 

Du har nå laget en CSR-fil for serveren. Åpne "server.csr" i et tekstredigeringsprogram for å se på filen.
Du kan sjekke innholdet i CSR-filen ved å kopiere innholdet i "server.csr" til feks https://secure.comodo.net/utilities/decodeCSR.html