Co MUSI być identyczne
- •Klucz publiczny (modulus RSA lub punkt EC) — to podstawa dopasowania.
- •Algorytm klucza (RSA, EC) i jego długość (2048, 4096 bit).
Dopasuj CSR i certyfikat
Porównuje klucz publiczny z CSR z kluczem w certyfikacie.
✓ CSR pasuje do certyfikatu
✗ CSR NIE pasuje
CN w CSR
CN w certyfikacie
Klucze pasują, ale Subject się różni — CA (np. Certum) modyfikuje/uzupełnia pola Subject podczas wydawania certyfikatu. To normalne i zwykle nie stanowi problemu.
Kiedy sprawdzać dopasowanie CSR do certyfikatu?
Kiedy wysłałeś do CA plik CSR z prośbą o certyfikat, dostajesz w zamian gotowy certyfikat. Sprawdzenie czy wydany certyfikat rzeczywiście powstał na podstawie Twojego CSR to kontrola bezpieczeństwa, którą warto wykonać natychmiast po otrzymaniu pliku od CA. Dopasowanie CSR ↔ cert potwierdza, że klucze publiczne w obu plikach są identyczne — czyli że Twój lokalny klucz prywatny nadal będzie działał z nowym certyfikatem.
Weryfikacja po wydaniu
Odbierz certyfikat od CA → porównaj z CSR, który wysłałeś. Szybki test, że wszystko się zgadza.
Re-issue certyfikatu
CA wystawił ponownie certyfikat — sprawdź, czy użył tego samego CSR (kontrola pracy administratora).
Masz kilka CSR
Wygenerowałeś kilka CSR pod rząd — sprawdź, do którego CSR pasuje otrzymany certyfikat (czyli do którego klucza prywatnego).
Alternatywa dla klucza
Nie chcesz wysyłać klucza prywatnego online? Porównaj CSR (publiczny) zamiast klucza — efekt ten sam.
Na czym polega dopasowanie CSR i certyfikatu?
W obu plikach (CSR i certyfikat) znajduje się ten sam klucz publiczny, jeśli zostały stworzone razem. Pozostała zawartość może się różnić — i często się różni.
Co MOŻE się różnić
- •Subject — CA uzupełnia/modyfikuje pola (Organization, Country), nawet jeśli w CSR były inne.
- •SAN — CA może dodać "www.X" jeśli wpisałeś tylko "X" (dla certyfikatów DV).
- •Extensions — CA dodaje AIA, CRL, EKU, SCT (Certificate Transparency), AuthKeyIdentifier.
- •Serial Number — nadany przez CA, w CSR go nie ma.
- •Issuer, Not Before / Not After — nadane przez CA.
Wniosek: jeśli nasze narzędzie pokaże "✓ CSR pasuje do certyfikatu" ale jednocześnie "Subject się różni" — to normalne zachowanie urzędu certyfikacji. Certyfikat jest prawidłowo powiązany z Twoim kluczem prywatnym.
Najczęstsze pytania
Dlaczego Subject w certyfikacie różni się od CSR?
To normalne i nie jest to błąd. CA modyfikuje pola Subject zgodnie z ich politykami. Przykład: dla certyfikatu DV (Domain Validation) Certum może pozostawić tylko CN (domenę) i usunąć Organization, bo nie weryfikuje danych firmy. Dla OV uzupełnia Organization zgodnie z KRS/CEIDG, nawet jeśli w CSR było inaczej. Jeśli klucze pasują — certyfikat działa prawidłowo.
Czy mogę użyć tego samego CSR do kolejnego certyfikatu (np. re-issue)?
Tak, możesz — i wtedy nowy certyfikat będzie zgodny z tym samym kluczem prywatnym, co stary. Z perspektywy instalacji na serwerze jest to wygodne: nie musisz nic zmieniać w .key, tylko podmienić plik .crt. Jednak z perspektywy bezpieczeństwa jest to gorsze podejście — rotacja klucza raz na kilka lat zmniejsza ryzyko kompromitacji. Rekomendujemy generować świeży CSR dla każdego nowego certyfikatu.
Dostałem wiadomość "CSR does not match" przy składaniu zamówienia — co to znaczy?
To komunikat z panelu CA (Certum, DigiCert) podczas wniosku o re-issue lub zmianę certyfikatu. Oznacza, że wysyłany CSR ma inny klucz publiczny niż oryginalny certyfikat. Przyczyna: wygenerowałeś nowy klucz zamiast użyć starego. Rozwiązanie: jeśli chcesz zachować stary klucz prywatny — wygeneruj nowe CSR z tego samego klucza (openssl req -new -key old.key -out new.csr). Jeśli OK żeby klucz się zmienił — po prostu wykonaj nowe wydanie (nie re-issue).
Jak sprawdzić dopasowanie lokalnie, bez wysyłania online?
Użyj openssl i porównaj moduluses (dla RSA):
$ openssl req -noout -modulus -in request.csr | openssl sha256
$ openssl x509 -noout -modulus -in certificate.pem | openssl sha256Jeśli oba zwrócą ten sam hash SHA-256, klucze się zgadzają. Ale pamiętaj — CSR nie zawiera klucza prywatnego, więc wysyłanie go online jest bezpieczne nawet dla wrażliwych certyfikatów.
Czy mogę porównać dwa certyfikaty między sobą?
Nie bezpośrednio, ale jeśli porównasz SHA-256 fingerprint obu certyfikatów w narzędziu Sprawdź certyfikat, to wszystko wiesz. Identyczne fingerprinty = identyczne certyfikaty. Różne fingerprinty = na pewno różne pliki, nawet jeśli domena jest ta sama.
Czy CA mogła zmienić mój klucz publiczny?
Nie — CA nigdy nie modyfikuje klucza publicznego, bo wymagałoby to znajomości Twojego klucza prywatnego, którego CA nie ma. Jeśli klucze się różnią po wydaniu — znaczy że CA wystawił certyfikat na podstawie innego CSR niż ten, który sprawdzasz. Może to wynikać z pomyłki (masz kilka CSR-ów) albo błędu w panelu CA. W razie wątpliwości skontaktuj się z supportem CA.
Jak wygenerować nowe CSR zachowując stary klucz prywatny (re-issue)?
Użyj flagi -key zamiast -newkey:
$ openssl req -new -key existing.key -out new.csrOpenSSL użyje istniejącego klucza do wygenerowania nowego CSR. Klucz publiczny w nowym CSR będzie identyczny, co w starym certyfikacie. Po re-issue nowy certyfikat będzie pasował do Twojego starego klucza prywatnego.
Bezpieczeństwo — CSR i certyfikat są publiczne
Zarówno CSR, jak i certyfikat nie zawierają klucza prywatnego. CSR to "prośba" zawierająca Twoje dane i klucz publiczny. Certyfikat to podpisana wersja tej prośby od CA. Oba dokumenty są projektowo publiczne — można je bez obaw publikować czy wysyłać.
- HTTPS z TLS 1.3 — bezpieczna transmisja.
- Zero zapisu — analiza wyłącznie w pamięci RAM.
- Brak logów — nie zachowujemy zawartości wpisywanych plików.
- Alternatywa offline — openssl w Twoim terminalu daje ten sam wynik.