CSR (Certificate signing request) er en fil som genereres på den serveren som sertifikatet senere skal installeres på. For å kunne utstede et sertifikat, trenger vi å få tilsendt en CSR fil.

VIKTIGE FELTER I CSR-FILEN

En CSR-fil kan inneholde mange felter. De som er viktige for oss er feltene "CN", "O" og "C":

• Common Name (CN): Hele domenenavnet du skal ha validert (test.eksempel.no).
• Organisation (O): Navnet på din bedrift akkurat slik den står oppført i Norid.
• Country (C): Landet din bedrift tilhører. For Norge skal det stå "NO".

Du kan selv teste om feltene i CSR-filen er korrekte ved å bruke følgende lenke:
http://secure.comodo.net/utilities/decodeCSR.html

RELATERTE SPØRSMÅL

Hvordan generere en CSR-fil?
https://support.commfides.com/index.php?/Knowledgebase/List/Index/8/

Kjør følgende komando i OpenSSL:
openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key
Dette vil generering en ny privatnøkkel og Certificate Signing Request (CSR)

Du vil da bli spurt om følgende ting:

• Country Name (2 letter code) [AU]: NO
  Obligatorisk
  Her må det stå NO for Norge i store bokstaver.
  
  
• State or Province Name (full name) [Some-State]: Viken
  Valgfritt
  
  
• Locality Name (eg, city) []: Lysaker
  Valgfritt
  
  
• Organization Name (eg, company) [Internet Widgits Pty Ltd]: Commfides Norge AS
  Obligatorisk
  Selskapets navn slik det er oppført i Brønnøysundregistrene.
  
  
• Organizational Unit Name (eg, section) []: IT Avdelingen
  Valgfritt
  Dette blir ikke brukt til validering av sertifikatet.
  Her kan dere skrive hva dere ønsker, men det som blir skrevet her vil komme med i sertifikatet.
  
  
• Common Name (eg, YOUR name) []: test.commfides.com
  Obligatorisk
  Her skriver du Fully Qualified Domain Name (FQDN) som sertifikatet skal være til.
  
  
• Email Address []: servicedesk@commfides.com
  Valgfritt

Hvor du kan laste ned OpenSSL.
https://openssl.org/

OpenSSL for Windows.
https://wiki.openssl.org/index.php/Binaries
https://www.openssl.org/community/binaries.html

En ting som noen ganger gjør installasjon av sertifikater på Apache mer komplisert, er dersom det ble lagt inn ett passord/ passphrase, ("A challenge password:"), ved genereringen av CSR-filen.
Dersom dette ble lagt inn krever Apache at passordet/ passphrasen legges inn hver gang Apache restartes.
Det anbefales ikke å legge inn passord ved generering av CSR-filen.

For å generere en Certificate Signing Request (CSR) og en privat nøkkel på Apache Mod_SSL/OpenSSL gjør følgende:

Bruk følgende kommandolinje:

openssl req -nodes -newkey rsa:2048 -keyout myserver.key -out server.csr

Dette vil generere to filer:

1. myserver.key - denne filen inneholder en privat nøkkel.
2. server.csr - dette er CSR-filen. Denne filen inneholder blant annet en offentlig nøkkel.

Filen "myserver.key" inneholder en privat nøkkel. Denne filen må oppbevares sikkert og informasjonen skal ikke deles.
Husk spesielt å ta backup av den private nøkkelen, da det ikke er noen måte å hente den på nytt om den skulle bli borte.

Du vil nå bli spurt om å fylle inn informasjonen som skal legges inn i din CSR-fil:

Det som du nå skal skrive inn er det som kalles "Distinguished Name" (DN).

I noen felt vil det være en default verdi. Om du skriver inn '.' vil feltet forbli tomt.

• "Country Name" (2 bokstavers landskode) [AU]: NO (dette feltet skal være NO dersom firmaet som eier domenet er norskregistrert)
• "State or Province Name"
• "Locality Name"
• "Organization Name" (dette feltet skal inneholde firmanavnet slik det står oppført i WHOIS. For norske domener er dette oppført i Norid www.norid.no )
• "Organization Unit Name" (eks. avdeling)
• "Common Name" (domenenavn, feks www.commfides.com)
• "Email Address:"

Du kan også fylle inn følgende ekstra informasjon:

• "A challenge password:" (Anbefales ikke, se kommentar over angående dette punktet)
• "An optional company name:"

Bruk webserveren som "Common Name" (CN). Hvis domene-navnet er mittdomene.com, tilføy domenet til hostnavnet (bruk "fully qualified domain name").

Feltene "email address", "optional company", "name" og "challenge password" kan være tomme for et webserver sertifikat.

Du har nå laget en CSR-fil for serveren. Åpne "server.csr" i et tekstredigeringsprogram for å se på filen.
Du kan sjekke innholdet i CSR-filen ved å kopiere innholdet i "server.csr" til feks https://secure.comodo.net/utilities/decodeCSR.html

For å generere en Certificate Signing Request (CSR) for Exchange 2007 gjør følgende:

Fra Exchange Management Shell command line, skriv inn korrekt server- og firmainformasjon inn i følgende format:

New-ExchangeCertificate -GenerateRequest -SubjectName "O=FIRMANAVN, C=LANDSKODE,  CN=HOVEDDOMENE" -DomainName DOMENENAVN2, DOMENENAVN3, DOMENENAVN4 -FriendlyName "HOVEDDOMENE" -PrivateKeyExportable:$True -Force -Path C:\TEMP\SANCERT.REQ -KeySize 2048

I dette tilfellet benyttes filen c:\temp\sancert.req til å generere sertifikatet.

NB: DOMENENAVN2, 3 og 4 må fylle følgende krav:

1. Domenene kan være under samme toppdomene som hoveddomenet (Eks: Hvis hoveddomenet er webmail.commfides.com, så kan de andre domenene ligge under .commfides.com, f.eks autodiscover.commfides.com)
2. Domenene kan eies av samme eier (i WHOIS) som hoveddomenet (Eks: e-id.no og commfides.no har samme eier i Norid: Commfides Norge AS)
3. Domenet kan ha et ikke-registrert toppdomene men de må slutte på en av følgende .local / .test / .example / .invalid / .localhost / .lan / .priv / .localdomain (Eks: exchange01.commfides.local)
4. Domenet kan være et serverhost navn (Eks: exchange01)

Forklaring av de ulike elementene i scriptet over:

• FIRMANAVN - Firmanavnet akkurat slik det er oppført i WHOIS for domenet som skal valideres. For .no-domener sjekk WHOIS på www.norid.no. Eks: Commfides Norge AS
• LANDSKODE - 2-bokstavers landskode der firmaet som eier domenet er registrert. For norske firmaer er dette: NO
• HOVEDDOMENE - Domenet hvor brukerne logger inn på sin Webmail. Eks: webmail.commfides.com
• DOMENENAVN2 - Domenet brukt av tjenesten Autodiscover. Eks: autodiscover.commfides.com
• DOMENENAVN3 - Kortnavnet på Exchange-serveren inne på nettverket. Eks: exchange01
• DOMENENAVN4 - Langnavnet på Exchange-serveren inne på nettverket. Eks: exchange01.commfides.local
• C:\TEMP\SANCERT.REQ - Stien og filnavnet på den ferdiggenererte CSR-filen. Du velger selv sti og filnavn.
• -PrivateKeyExportable $True - Dette gjør det mulig å senere eksportere ut sertifikatet med den private nøkkelen.
• -KeySize 2048 - Dette bestemmer hvor stor bitsstørrelse nøkkelen skal ha. Minimumskrav er nå: 2048

Eksempel på et korrekt utfylt script til å skrive inn på Exchange Management Shell command line:

New-ExchangeCertificate -GenerateRequest -SubjectName "O=Commfides Norge AS, C=NO,  CN=webmail.commfides.com" -DomainName autodiscover.commfides.com, exchange01, exchange01.commfides.local -FriendlyName "webmail.commfides.com" -PrivateKeyExportable:$True -Force -Path C:\Temp\SANCERT.req -KeySize 2048

Lage en CSR med Exchange 2010 Certificate Wizard

1. Start Exchange Management Console ved å gå til Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
2. Klikk på linken for å Manage Databases.
3. Velg Server Configuration i menyen til venstre, og deretter New Exchange Certificate fra handlingene menyen til høyre.
4. Når du blir bedt om en vennlig navn, bruk et navn til din smak. Navnet vil ikke påvirke din forespørsel.
5. Under Domene Omfang, kan du sjekke boksen hvis du skal generere CSR for et wildcard. Ellers, bare gå til neste skjermbilde.
   Notat: Hvis du merker den boksen for å søke, gå til trinn 8. 
6. I Exchange Configuration menyen, velger de tjenestene som du planlegger å kjøre sikkert og skrive inn navn som du kobler til disse tjenestene som blir bedt om det.
7. På det neste skjermbildet, vil du kunne se gjennom en liste av navnene som Exchange 2010 foreslår du inkluderer i sertifikatsøknaden. Gjennomgå disse navnene og legge noen ekstra navn på dette punktet.
8. Din Organization bør være full juridiske navnet på firmaet ditt.
   Din Organization Unit er din avdeling i organisasjonen. f.eks: IT, web, sikkerhet, etc.
   Hvis du ikke har en State/Province, inn i byen informasjonen på nytt.
9. Klikk Browse for å lagre CSR til datamaskinen din som en .req fil
10. Neste klikk Save, og deretter Next, og deretter New
11. Til slutt klikker du Finish for å opprette CSR.
12. Du skal nå kunne åpne CSR fil som er opprettet i en tekst editor av ditt valg. f.eks: Notisblokk, Wordpad, etc.

Notat: Når du sender inn CSR til oss må du huske å inkludere CSR i sin helhet!
Dette inkluderer -----BEGIN CERTIFICATE REQUEST----- og -----END CERTIFICATE REQUEST-----

Husk: Det er fem streker på hver side av uttrykket.

IBM WebSphere Advanced Single Server Edition 4.0

Før du kan sette opp SSL på WebSphere trenger du ditt eget sertifikat.  Dette sertifikatet kan være en selv-genererende en for testing, men hvis det gjelder produksjon burde du ha et som er utgitt av en Trusted CA.  Følgende steg vil vise hvordan du skaffer et sertifikat.

Lage en keystore.
En keystore er stedet der din private nøkkel vil bli lagret på en sikker måte.  Sertifikatet tilhører denne nøkkelen.  Din keystore kan bli opprettet enten med SUN keytool eller med ikeyman – et verktøy fra IBM som er distribuert med WebSphere Advanced Single Server Edition 4.0

For å starte ikeyman brukes kommandoen:
./ikeyman.sh
Når den har startet vil følgende vindu komme opp:

For å lage en CSR med IBM WebSphere

Spesifiser en keystore.
Fra hovedvinduet kan du enten velge en eksisterende keystore eller opprette en ny en.  I eksempelet nedenfor vil vi lage en ny keystore som vil bli brukt kun av WebSphere.
I IBM Key Management konsollet, velg Key Database File/New. Følgende dialog-vindu vil åpne:

Valgene er:

Lag en sertifikat-forespørsel.
Du må lage en forespørsel før du kan få ditt sertifikat.  Denne forespørselen lager du i Create New/New Certificate Request.  Ett nytt dialog-vindu vil komme opp, der du må fylle inn en del info:

Valgene vil være:

Klikk på “OK” for å lage din forespørsel.  Når den har blitt laget, vil et nøkkelpar også bli laget (en privat nøkkel som kun ligger i din keystore og en offentlig nøkkel som er lagret i sertifikatet du mottar). Hvis den er riktig laget vil du få et dialog-vindu som forteller dette.

Du vil trenge innholdet i denne filen når du søker etter et sertifikat.

En CSR er en fil som inneholder din IIS SSL sertifikat søknadsinformasjon, inklusiv din offentlige nøkkel. Lag din CSR og så kopier inn CSR filen i webformen i søknadsprosessen:

Lag nøklene og CSR:

1. Velg Administrative Tools
2. Start Internet Services Manager
3. Høyreklikk på websiden som CSR’et er til og velg Egenskaper
4. Åpne Directory Security ved å høyreklikke på Directory Security taben
5. Klikk på Server Certificate. En hjelpeprosess vil åpnes i et nytt vindu:
6. Klikk på Create a new certificate og så på Next
7. Velg Prepare the request og så på Next
8. Gi et navn for dette sertifikatet som kan identifisere det (spes. viktig hvis du jobber med flere domener)
9. Hvis serveren er 128 bit, kan du bare lage en nøkkel på opp til 1024 bit. Minimumskravet nå på sertifikater er 2048 så serveren må oppdateres før du kan gå videre. Velg 2048 og Klikk Next
10. Skriv inn Organization og Organizational Unit, dette er firmanavnet og avdelingen. Klikk Next
11. Common Name skal være det fully qualified domain name eller webadressen der du har tenkt å bruke ditt IIS SSL sertifikat – det området på siden din der kunder vil koble til med SSL. F.eks. et SSL Sertifikat utgitt for commfides.com vil ikke være gyldig for mail.commfides.com. Hvis du trenger et sertifikat for mail.commfides.com må Common Name for sertifikatet være mail.commfides.com. Klikk Next

Dersom man kjører "Renew certificate" vil samme info som i gammel csr bli generert i ny csr.

For å endre informasjon i sertifikatet, må man kjøre (i IIS) wizarden på nytt, dette vil si å slette eksisterende sertifikat som ligger i IISen og så lage en helt ny sertifikatrequest (CSR).
Problemet med IIS er at de på denne måten ikke vil ha et gyldig sertifikat en periode.

LØSNING:

Notat: Det kan være en god idé å skrive ut denne siden som referanse.

(I IIS Admin)

1. Opprett en Midlertidig Site i IIS.
2. Høyreklikk på den nyopprettede nettstedet og klikk på Properties.
3. Klikk på Directory Security fanen og deretter klikk på Server Certificate knappen.
   
   (Starter Server Certificate Wizard)
   
   
4. Gå gjennom veiviseren og angi nøyaktig samme informasjon du ville ha på din eksisterende sertifikat.
   Notat: Common Name eksempler: www.commfides.com, commfides.com, mail.commfides.com, etc.
   
   
5. Send oss CSR eller vis du har EPKI portal fra oss kan du legge den der.
6. Installer sertifikatet ved å behandle den pending request på midlertidig stedet opprettet i trinn 1.
   Notat: Hvis du ikke er kjent med å installere SSL-sertifikater på IIS, klikk her for instruksjoner.
   
   (På produksjonssiden nettside)
7. Høyreklikk på produksjonsstedet og klikk på Properties.
8. Klikk på Directory Security fanen og deretter klikk på Server Certificate knappen.
   
   (Starter Server Certificate Wizard på produksjon nettside)
   
   
9. Velg Replace the current certificate og klikk på Next.
10. Klikk på Next inntil du er ute av veiviseren.
    Notat: En typisk nettside er bundet til https på port 443 med en unik IP-adresse.
11. Nå kan du slette den Midlertidig Site!

• Klikk på Start.
• Velg Administrative Tools.
• Start Internet Services Manager.
• Klikk Server Name.

• Fra sentrum menyen, dobbeltklikk på Server Certificates-knappen i Security-delen.
• Velg Actions-menyen (til høyre), klikk på Create Certificate Request.
• Dette vil åpne Request Certificate-veiviseren.
• I Distinguished Name Properties-vinduet, skriv inn informasjonen som følger:
• Common Name feltet skal være det Fully Qualified Domain Name (FQDN) eller webadresse som du har tenkt å bruke ditt SSL sertifikat til. Du må sørge for at Common Name i CSR er det riktige domenenavnet / FQDN du har tenkt å bruke sertifikatet for.
  For wildcard SSL-sertifikater bør Common Name inneholde minst én stjerne (*) f.eks *.commfides.com, *.e-id.no, etc
• Skriv inn Organisation og Organisation Unit, dette er bedriftens navn og avdeling henholdsvis.
• Skriv inn ditt City/locality, State/province og Country/region.
• Klikk på Next.
• I Cryptographic Service Provider Properties vinduet, la den første innstillingene stå på sin standardverdi (Microsoft RSA SChannel) og endre "Bit length" til 2048, og klikk på Next.
• Skriv inn et filnavn og hvor du vil lagre CSR. Du trenger denne CSR å søke om ditt SSL sertifikat.
• Klikk på Finish.

• Den nye CSR nå finnes i filen c:\certreq.txt
• Når du legger inn din søknad, må du ta med CSR i sin helhet i den aktuelle delen av påmeldingsskjemaet - inkludert

• Klikk på Next
• Bekreft detaljene i påmeldingsskjemaet
• Finish

Hvis du vil lagre din private nøkkel:

• Gå til Certificates i MMC
• Velg Certificate Enrollment Requests
• Velg Certificates og marker ditt sertifikat
• Høyreklikk og velg All tasks
• Velg Export

Vi anbefaler at du noterer passordet og tar backup av dine nøkler siden disse kun er kjent for deg, så hvis du mister dem kan vi ikke hjelpe! En diskett eller andre flyttbare medier er anbefalt for din backup filer. Vær oppmerksom på at dette siste trinnet ikke er nødvendig, men anbefales dersom du har tenkt å gjøre noen endringer på siten.

Følg denne instruksen for å generere CSR på din Tomcat server.

Hvis du benytter deg av JDK eldre enn 1.4 må du laste ned og installere "Java Secure Socket Extensions" JSSE.

1. Generer den private nøkkelen med følgende komando:

   $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore /path/to/domainname.kdb

   Du vil da bli spurt etter ett passord. Tomcat benytter seg av default passordet "changeit". Hvis du benytter ett annet passord må du spesifisere dette i server.xml konfigurasjons filen.
   
   Det neste du vil bli spurt etter er "What is your first and last name?" Her spesifiserer du common name (FQDN) til ditt nettsted.
   
   Du vil så bli spurt etter organizational unit, organization, etc.
   
   

2. Generer Certificate Signing Request (CSR)

   $JAVA_HOME/bin/keytool -certreq -alias tomcat -keystore /path/to/keystore.kdb -file filename.csr

   Du vil ikke bli spurt etter common name, organization, etc. Keytool vil benytte seg av de verdiene du spesifiserte når du opprettet den private nøkkelen.
   
   

3. Kopier Certificate Signing Request og send den til Commfides.

   Alt fra og med -----BEGIN NEW CERTIFICATE REQUEST-----
   til -----END NEW CERTIFICATE REQUEST-----
   
   

4. Ta en backup av keystore.kdb nøkkel database.

If you are renewing your SSL certificate running on Microsoft Internet Information Services (IIS) 7, you will need to perform some simple tasks from your IIS 7 web server before placing an order to renew your expring SSL certificatate.

Generate Renewal Certificate Request File (CSR)

1. Open the Internet Information Services (IIS) Manager. From the Start button select Programs > Administrative Tools > Internet Information Services Manager.
2. In the IIS Manager, select the main server node on the top left under Connections
3. In the Features pane (the middle pane), double-click the Server Certificates option located under the IIS or Security heading (depending on your current group-by view).
4. You will be presented with a list of SSL Server Certificates currently installed. Select and highlight the expiring certificate that you want to renew. Check the certificate's Expiry Date to make sure you have selected the correct one. 
5. From the Actions pane on the right, select Renew. From the Renew an existing certificate dialog box choose the second option, Create a renewal certificate request. Click Next.
6. Specify a file name for the renewal certificate request. It doesn't matter what you call it or where you save it as long as you know where to find it. You'll need it in the next step. We recommend calling it certreq.txt.
7. Click Finish to complete the certificate request (CSR) wizard.
8. Now, from a simple text editor such as Notepad (do not use Word), open the CSR file you just created at c:\certreq.txt (your path/filename may be different). You will need to copy-and-paste the contents of this file, including the top and bottom lines, into the relevant box during the online order process.

Renewal Certificate Installation

1. Your SSL server certificate will be sent to you by email.
2. Save this as yourdomain.cer on your desktop or other location. What you name this file is not important, only that you can find it a moment.
3. Open the Internet Information Services (IIS) Manager. From the Start button select Programs > Administrative Tools > Internet Information Services Manager.
4. In the IIS Manager, select the main server node on the top left under Connections
5. In the Features pane (the middle pane), double-click the Server Certificates option located under the IIS or Security heading (depending on your current group-by view).
6. You will be presented with a list of SSL Server Certificates currently installed. Select and highlight the expiring certificate that you want to renew. Check the certificate's Expiry Date to make sure you have selected the right one. 
7. From the Actions pane on the right, select Renew. From the Renew an existing certificate dialog box choose the third option, Complete certificate renewal request. Click Next
8. From the Specify Certification Authority Response dialog box, browse to the renewal certifiate file yourdomain.cer. Click Finish.
9. It may take a few seconds, but if the installation was successful you will presented with a list of SSL Server Certificates currently installed. Select and highlight the certificate that you just renewed. Check the certificate's Expiry Date to make sure it has updated to the new date.
10. Test the install by selecting the web site under the Web Sites folder on the left-hand Connections pane (usually listed as the Default web site). Then from the right-hand Actions pane select Browse *.443 (https) under the Browse Web Site section.