Požadavek na podpisový certifikát

Požadavek na podpisový certifikát (také Certificate signing request, CSR nebo žádost o certifikaci) je zpráva od žadatele certifikační autoritě k žádosti o certifikát digitální identity. Zpráva obsahuje veřejný klíč, pro který by měl být certifikát vydán, identifikační informace (např. název domény) a ochranu integrity (např. digitální podpis).

V systémech infrastruktury veřejného klíče (PKI) je to zpráva odeslaná žadatelem registračnímu orgánu infrastruktury veřejného klíče za účelem žádosti o certifikát digitální identity. Nejběžnějším formátem CSR je specifikace PKCS #10.

Procedura

Před vytvořením CSR žadatel nejprve vygeneruje pár klíčů, přičemž soukromý klíč zachová v tajnosti. CSR obsahuje informace identifikující žadatele (například v případě certifikátu X.509 je to rozlišovací jméno^[1]), které musí být podepsány pomocí soukromého klíče žadatele. CSR také obsahuje veřejný klíč zvolený žadatelem. K CSR mohou být přiložena další pověření nebo doklady totožnosti požadované certifikační autoritou a certifikační autorita může kontaktovat žadatele o další informace. Pokud je žádost úspěšná, certifikační autorita odešle zpět certifikát identity, který byl digitálně podepsán pomocí soukromého klíče certifikační autority.

Struktura

Žádost o certifikaci se skládá ze tří hlavních částí: informace o žádosti o certifikaci, identifikátoru algoritmu podpisu a digitálního podpisu informací v žádosti o certifikaci. První část obsahuje důležité informace včetně veřejného klíče. Podpis žadatele brání entitě požadovat falešný certifikát veřejného klíče někoho jiného.^[2] K vytvoření certifikátu je tedy podpis zapotřebí, ale není součástí CSR.^[3]

Pro vygenerování veřejného klíče může být požadováno uvést následující:^[4]

1. Common name: přesný název domény
2. Organization: jméno firmy, majitele domény
3. Organizational unit: jednotka, účel
4. City/locality: město
5. State/province: stát
6. Country/region: kód země
7. Key Size: 2048 bit