Inhaltsverzeichnis
Runbook: Izdavanje certifikata
Trajanje: ~10 minuta
Uloga: PKI operator
Preduvjet: Odobreni CSR
Workflow
flowchart TD
A[CSR primljen] --> B{Validacija CSR-a}
B -->|Nevaljan| C[Odbijanje + Ticket]
B -->|Valjan| D{Odobrenje?}
D -->|Ne| E[Zahtjev za odobrenje]
D -->|Da| F[Potpisivanje certifikata]
F --> G{Hibridni način?}
G -->|Da| H[Dodavanje PQ ekstenzije]
G -->|Ne| I[Klasično potpisivanje]
H --> J[Isporuka]
I --> J
J --> K[Audit Log]
style B fill:#fff3e0
style F fill:#e8f5e9
style H fill:#e3f2fd
Korak 1: Primanje i validacija CSR-a
Kontrolna lista prije potpisivanja:
| # | Točka provjere | Naredba | Očekivano |
| — | —————- | ——— | ———– |
| 1 | Format CSR-a valjan | openssl req -in request.csr -verify -noout | verify OK |
| 2 | Duljina ključa | openssl req -in request.csr -text \| grep „Public-Key“ | >=2048 Bit (RSA), >=256 Bit (EC) |
| 3 | Subject ispravan | openssl req -in request.csr -subject -noout | Prema zahtjevu |
| 4 | SAN-ovi potpuni | openssl req -in request.csr -text \| grep -A1 „Subject Alternative“ | Sva imena hostova |
# Potpuna provjera CSR-a openssl req -in request.csr -text -noout -verify
Korak 2: Provjera odobrenja
| Tip certifikata | Odobrava | Dokumentacija |
| —————– | ———- | ————— |
| Server (interni) | Automatski / Ticket | Br. ticketa |
| Server (vanjski) | IT-Security | E-Mail + Ticket |
| Klijent | Voditelj odjela | Obrazac |
| Code-Signing | CISO | Pisano |
Korak 3: Potpisivanje certifikata
Klasični način
# Potpisivanje server certifikata (1 godina) openssl ca -config openssl.cnf \ -extensions server_cert \ -in request.csr \ -out certificate.pem \ -days 365 \ -notext # Zabilježiti serijski broj openssl x509 -in certificate.pem -serial -noout
Hibridni način (PQ)
// C# s WvdS.System.Security.Cryptography using var intermediate = new X509Certificate2("intermediate.pfx", "password"); var csr = CertificateRequest.LoadSigningRequest( File.ReadAllBytes("request.csr"), HashAlgorithmName.SHA256); var cert = csr.Create( intermediate, DateTimeOffset.UtcNow, DateTimeOffset.UtcNow.AddDays(365), Guid.NewGuid().ToByteArray(), CryptoMode.Hybrid); // PQ ekstenzija File.WriteAllText("certificate.pem", cert.ExportCertificatePem());
Korak 4: Isporuka
| Format | Upotreba | Naredba |
| ——– | ———- | ——— |
| PEM | Linux, Apache | cp certificate.pem /output/ |
| PFX | Windows, IIS | openssl pkcs12 -export -in certificate.pem -inkey private.key -out certificate.pfx |
| DER | Java | openssl x509 -in certificate.pem -outform DER -out certificate.der |
# Isporuka s lancem cat certificate.pem intermediate.pem > fullchain.pem
Korak 5: Dokumentacija
Obavezna polja u ticketu/logu:
| Polje | Primjer |
| ——- | ——— |
| Serijski broj | 01:23:45:67:89:AB:CD:EF |
| Subject | CN=server.example.com |
| Vrijedi do | 2025-12-15 |
| Izdao | Ime operatera |
| Br. ticketa | INC-2024-12345 |
| Način | Hybrid / Classic |
Rješavanje problema
| Problem | Uzrok | Rješenje |
| ——— | ——- | ———- |
unable to load CSR | Pogrešan format | openssl req -inform DER -in request.der -out request.pem |
signature verify failed | CSR manipuliran | Zatražiti novi CSR |
wrong issuer | Pogrešan CA | Provjeriti CA certifikat |
certificate request failed | Greška u konfiguraciji | Provjeriti openssl.cnf |
Povezani runbookovi
- Obnova certifikata – Za certifikate koji ističu
- Opoziv certifikata – Kod kompromitacije
- CSR kratki pregled – Primjeri koda
« ← Dnevne operacije | → Obnova certifikata »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: 30.01.2026. u 06:34
