Generowanie CSR w DirectAdmin

CSR (Certificate Signing Request) to żądanie wystawienia certyfikatu, które wysyłasz do firmy CA (Sectigo, DigiCert, GeoTrust). CSR zawiera Twój klucz publiczny i dane firmy. CA na podstawie CSR wystawi Ci certyfikat, którego potem wgrasz w DA. W tym poradniku wygenerujemy CSR przez DA i alternatywnie przez OpenSSL.

Co zyskasz#

• Wygenerujesz CSR + klucz prywatny dla Twojej domeny.
• Skopiujesz CSR i wyślesz do CA (np. nazwa.pl SSL, Certum, OVH).
• Poznasz alternatywę OpenSSL CLI (gdy potrzebujesz większej kontroli).

Wymagania wstępne#

• Domena dodana na koncie + DNS skierowane na IQHost.
• Wiedza, jakie pola wymaga CA (sprawdź w panelu zamówienia certyfikatu).

Wskazówka

CSR vs Let's Encrypt: Let's Encrypt to darmowe SSL bez CSR (DA robi wszystko automatycznie). Generowanie CSR potrzebne tylko dla płatnych certyfikatów od zewnętrznych CA. Większość klientów używa Let's Encrypt — patrz Let's Encrypt.

Krok 1: Otwórz Certyfikaty SSL

Zarządzanie kontami → Certyfikaty SSL.

Zaznacz trzecią opcję: Utwórz żądanie certyfikatu (CSR).

Krok 2: Wypełnij formularz CSR

DA poprosi o standardowe pola identyfikujące firmę (zgodne z X.509):

• Country Code (2 znaki) — PL
• State/Province — np. Mazowieckie, Małopolskie
• City/Locality — np. Warszawa
• Organization — pełna nazwa firmy z KRS (np. Moja Firma Sp. z o.o.)
• Organizational Unit — dział (opcjonalne, np. IT)
• Common Name (CN) — najważniejsze pole — pełna nazwa domeny:
  • Dla pojedynczej: mojafirma.pl
  • Dla wildcard: *.mojafirma.pl
• E-mail — kontakt dla CA
• Klucz — algorytm: RSA 2048 (rekomendowane) lub ECC

Krok 3: Subject Alternative Names (SAN)

Jeśli chcesz pokryć wiele domen jednym certem (multi-domain cert), wypełnij dodatkowo pole SAN:

mojafirma.pl
www.mojafirma.pl
mojafirma.com
www.mojafirma.com

Każda linia = jedna dodatkowa domena.

::: callout warn CA może doliczyć za każdą dodatkową domenę w SAN. Sprawdź cennik. Wildcard *.mojafirma.pl zwykle jest oddzielną kategorią produktu (droższy niż pojedyncza domena).

Krok 4: Wygeneruj

Kliknij ZAPISZ / Utwórz CSR. DA wykona w tle:

1. Generuje nowy klucz prywatny RSA 2048
2. Tworzy CSR z Twoimi danymi i kluczem publicznym
3. Zapisuje klucz prywatny lokalnie (nie podaje go na ekran — zostaje na serwerze)
4. Wyświetla CSR jako tekst do skopiowania

Krok 5: Skopiuj CSR

W panelu pojawi się blok tekstu zaczynający się od:

-----BEGIN CERTIFICATE REQUEST-----
MIICvDCCAaQCAQAwdzELMAkGA1UEBhMCUEwxFTATBgNVBAgMDE1hem93aWVja2llM...
...
-----END CERTIFICATE REQUEST-----

Skopiuj cały blok (włącznie z BEGIN i END). Wklej do panelu zamówienia certyfikatu u CA.

Krok 6: Po wystawieniu certu — wgraj

CA przetwarza Twoje zamówienie (zwykle 1-7 dni dla DV, 7-30 dni dla OV/EV). Po wystawieniu otrzymujesz:

• Twój certyfikat (.crt, .pem, .cer)
• CA bundle (intermediate + root)

Klucz prywatny już jest w DA (wygenerowany razem z CSR). Wgrywasz tylko cert + chain — patrz Wgrywanie własnego certyfikatu.

::: callout warn Nie generuj nowego CSR po zakupie — wtedy klucz prywatny się zmieni i otrzymany cert nie będzie pasował. Generuj CSR raz, na początku.

Alternatywa: OpenSSL CLI#

Jeśli wolisz pełną kontrolę albo masz dostęp SSH (HS5+):

# Generuj klucz prywatny RSA 2048
openssl genrsa -out mojafirma.key 2048

# Generuj CSR (interaktywnie zapyta o pola)
openssl req -new -key mojafirma.key -out mojafirma.csr

# Lub jednym poleceniem ze wszystkimi polami:
openssl req -new -key mojafirma.key -out mojafirma.csr \
  -subj "/C=PL/ST=Mazowieckie/L=Warszawa/O=Moja Firma Sp. z o.o./CN=mojafirma.pl/[email protected]"

# Sprawdź CSR
openssl req -in mojafirma.csr -noout -text

Plik mojafirma.csr skopiuj do panelu CA. mojafirma.key zachowaj — potem wgrasz razem z certem w DA.

Najczęstsze problemy#

1. „CSR nie pasuje do cert otrzymanego od CA"#

Wygenerowałeś dwa CSR (każdy z osobnym kluczem). CA wystawiło cert na podstawie drugiego. Wgrywasz pierwszy klucz → nie pasuje.

Rozwiązanie: w panelu CA wybierz Reissue — wyślij ten sam CSR jeszcze raz. CA wystawi nowy cert na ten sam klucz.

2. „CA wymaga dodatkowych dokumentów po CSR"#

Dla OV/EV certów CA weryfikuje firmę — może poprosić o:

• KRS (wyciąg z rejestru)
• Numer telefonu z potwierdzeniem rozmowy
• Adres siedziby z weryfikacją (Google Maps, wpis publiczny)

DV cert (taki jak Let's Encrypt) nie wymaga żadnej dokumentacji — sprawdza tylko własność domeny.

3. „Klucz prywatny zginął"#

Jeśli DA nie ma już Twojego klucza (np. przeniosłeś konto bez backupu), musisz:

1. Wygenerować nowy CSR (z nowym kluczem)
2. W panelu CA poprosić o reissue — wyślij nowy CSR
3. CA wystawi nowy cert dla tego samego okresu
4. Wgrasz nowy cert + nowy klucz

4. „Mogę użyć CSR z innego serwera?"#

Tak, ale wgrywając cert w DA musisz wgrać też ten klucz prywatny, który użyłeś do generowania. Patrz Wgrywanie własnego certyfikatu.

5. „Common Name vs SAN — co ważniejsze?"#

W nowoczesnych przeglądarkach SAN > CN. Chrome od 2017 ignoruje CN i patrzy tylko na SAN. Dlatego:

• Jeśli CN = mojafirma.pl i nie ma SAN — przeglądarka zwróci błąd
• Dlatego DA i nowoczesne CA automatycznie kopiują CN do SAN

Aby być bezpiecznym: CN = główna domena, SAN = lista wszystkich (włącznie z CN).

6. „Polskie znaki w polach CSR"#

Nie używaj polskich znaków w polach CSR (ą, ę, ł). Standard X.509 wymaga ASCII. CA odrzucają CSR z literami spoza ASCII. Pisz Lodz zamiast Łódź, Warszawa zamiast Warszawa (bez l z ogonkiem).

Słowniczek#

• CSR — Certificate Signing Request, żądanie wystawienia certyfikatu.
• CN (Common Name) — główna nazwa domeny w certyfikacie.
• SAN (Subject Alternative Name) — lista wszystkich domen pokrytych certem.
• Klucz prywatny — tajna część pary RSA/ECC. Nigdy nie udostępniaj.
• Klucz publiczny — część w certyfikacie, dostępna publicznie.
• Subject — wszystkie pola identyfikujące Cię w certyfikacie (CN, O, C, itp.).
• Reissue — wystawienie nowego certu z tymi samymi danymi (np. nowy klucz, ten sam okres ważności).

Related

• Darmowy SSL Let's Encrypt
• Wgrywanie własnego certyfikatu
• Wymuszanie HTTPS
• Odnowienie certyfikatu SSL