Aby otrzymać certyfikat od DSICM należy:

1. wygenerować klucz oraz CSR
2. przekazać CSR do DSICM do podpisania
3. DSICM przekazuje gotowy certyfikat
4. zainstalować klucz i certyfikat na serwerze

CSR (ang. Certificate Signing Request) jest półproduktem, z którego powstaje certyfikat. Składa się z klucza publicznego serwera, oraz danych, które będą wpisane w utworzonym certyfikacie, tzn. nazwa jednostki, email, adres serwera. Od gotowego certyfikatu CSR różni się brakiem podpisu potwierdzającego wiarygodność umieszczonych danych.
CSR jest generowany przez administratora serwera, a następnie wysyłany do instytucji certyfikującej, która na jego podstawie wystawia certyfikat.

W zależności od używanego oprogramowania i systemu operacyjnego procedura generowania CSR może być różna. Odpowiednie instrukcje można znaleźć np. na stronach GeoTrust lub Thawte. Można też przeczytać naszą instrukcję generowania klucza prywatnego i CSR za pomocą narzędzia OpenSSL.

Country Name (Kraj)

PL

State or Province Name (Województwo)

Mazowieckie

Locality Name (Miasto)

Warszawa

Organization Name (Organizacja)

Uniwersytet Warszawski

Organizational Unit Name (Jednostka)

Tu należy wpisać nazwę wydziału, lub nazwę wydziału i jednostki (instytutu, katedry, etc.) oddzielone przecinkiem. Nazwy powinny być nazwami pełnymi, chyba że ich długość przekracza 50 znaków, wtedy można użyć nazwy skróconej. W nazwach nie używa się polskich znaków diakrytycznych. Przykłady poprawnych wartości dla tego pola:

• Wydzial Matematyki, Informatyki i Mechaniki
• Wydzial Historyczny
• Wydzial Historyczny, Instytut Archeologii
• Wydzial Lingwistyki Stosowanej i Filologii Wschodnioslowianskich
• Wydzial Lingwistyki Stosowanej, Katedra Jezykow Specjalistycznych

Common Name (Nazwa Serwera)

Nazwa domenowa serwera. Nazwa musi być dokładnie taka, jakiej użytkownicy będą używać wchodząc na zabezpieczoną stronę. Używa się samej nazwy serwera, bez http:// czy https:// na początku. Np:

• www.uw.edu.pl
• poczta.uw.edu.pl
• www.mimuw.edu.pl

Uwaga! Certyfikat jest ważny tylko dla dokładnie jednej nazwy. Czyli np. certyfikat dla uw.edu.pl nie będzie poprawnie działał dla strony www.uw.edu.pl. Jeśli serwis ma kilka różnych nazw (np. z www i bez www na początku), niezbędny jest osobny certyfikat dla każdej używanej nazwy (w tym przykładzie - dwa osobne certyfikaty).

Email

Adres email osoby zajmującej się zabezpieczanym serwisem, lub adres email administratora serwera.

Wysłać go mailem na adres info@net.icm.edu.pl. DSICM po otrzymaniu CSR będzie się dalej kontaktował ze znanym sobie kontaktem technicznym jednostki wpisanej w certyfikacie (w polu "Organizational Unit Name"). Jeśli jednostka nie posiada kontaktu technicznego, tożsamość osoby zajmującej się certyfikatem potwierdza administracja jednostki.

Uwaga! Nie należy wysyłać swojego klucza prywatnego do DSICM.

DSICM potwierdza u osoby kontaktowej fakt przysłania CSR. Następnie generuje i wysyła mailem gotowy certyfikat. DSICM potwierdza u osoby kontaktowej, że nowy certyfikat udało się pomyślnie zainstalować. Potwierdzenia odbywają się osobiście, telefonicznie lub mailem z zaufanym podpisem cyfrowym.

Ze względów bezpieczeństwa lepiej jest, kiedy administrator sam generuje swój klucz oraz CSR. Dzięki temu nikt inny nie ma w żadnym momencie dostępu do klucza prywatnego. W efekcie nie ma możliwości podsłuchania klucza np. w trakcie przesyłania go do użytkownika, a tym samym podszycia się później pod zabezpieczony serwer.

Jeśli mimo wszystko zdecydują się Państwo na zlecenie DSICM wygenerowania kluczy, prosimy o kontakt mailowy na adres info@net.icm.edu.pl, z podaniem nazwy jednostki i nazwy domenowej serwera do wpisania w certyfikacie. W takiej sytuacji otrzymają Państwo mailem zarówno certyfikat, jak i sam klucz, dodatkowo zabezpieczony hasłem, które przed użyciem klucza na serwerze będzie musiało być prawdopodobnie zdjęte.

Gotowe instrukcje dla różnych serwerów WWW można znaleźć np. na stronach GeoTrust lub Thawte. Jeśli certyfikat ma być używany innej usłudze niż WWW - proszę sprawdzić dokumentację wykorzystywanego oprogramowania.

Do certyfikatu w większości zastosowań powinien być dołączony zestaw certyfikatów DSICM. Są one do pobrania na tej stronie.