Uvod u izdavanje certifikata
Izdavanje digitalnog certifikata ključan je proces u svijetu informacijske sigurnosti i elektroničkog poslovanja. Bez obzira na to jeste li administrator koji postavlja internu infrastrukturu javnih ključeva ili edukator koji želi polaznicima izdati potvrde o završenom tečaju, razumijevanje koraka izdavanja certifikata omogućuje vam sigurnu i pouzdanu razmjenu podataka. Certifikati potvrđuju identitet osobe, uređaja ili usluge te osiguravaju enkripciju komunikacije. Proces se u osnovi sastoji od generiranja para ključeva, izrade zahtjeva za potpisivanje certifikata i njegove validacije od strane certifikacijskog tijela. U nastavku donosimo detaljan vodič kroz različite metode izdavanja certifikata, od lokalnih PKI rješenja do cloud platformi i obrazovnih sustava.
Opći tijek izdavanja certifikata u PKI sustavu
Bez obzira na odabrano rješenje, osnovni koraci izdavanja certifikata ostaju isti. Prvi korak je generiranje para ključeva – privatnog i javnog. Privatni ključ ostaje u vlasništvu podnositelja, dok se javni ključ ugrađuje u zahtjev za potpisivanje certifikata. Drugi korak je izrada i podnošenje zahtjeva certifikacijskom tijelu. Treći korak uključuje provjeru identiteta podnositelja, bilo automatski ili ručno. Nakon odobrenja, certifikacijsko tijelo potpisuje certifikat i izdaje ga podnositelju. Završni korak je preuzimanje i instalacija certifikata na odgovarajućem uređaju ili poslužitelju. Sljedeći popis prikazuje tipične korake u ovom procesu:
- Generiranje para ključeva (privatni i javni) na klijentskoj strani
- Kreiranje zahtjeva za potpisivanje certifikata (CSR) koji sadrži javni ključ i identifikacijske podatke
- Podnošenje CSR-a certifikacijskom tijelu putem web sučelja, klijentskog alata ili API-ja
- Provjera podnositelja od strane certifikacijskog tijela (automatska ili ručna)
- Potpisivanje certifikata i njegovo izdavanje u jednom od standardnih formata (PEM, DER, PKCS#12)
- Preuzimanje certifikata i njegova instalacija na ciljani sustav

U poslovnim okruženjima često se koriste centralizirani poslužitelji za izdavanje certifikata, poput Microsoft Active Directory Certificate Services ili AWS Private CA, dok za pojedinačne potrebe mogu poslužiti i besplatna rješenja poput OpenSSL-a. Bez obzira na alat, svaki od navedenih koraka pridonosi sigurnosti digitalnog identiteta.
Izdavanje certifikata putem AWS Private CA
Amazon Web Services nudi uslugu AWS Private Certificate Authority koja omogućuje izdavanje privatnih certifikata za interne potrebe organizacije. Proces se može provesti putem AWS Management Console, CLI alata ili SDK-a. Jedan od najčešćih načina je korištenje naredbe aws acm-pca issue-certificate u AWS CLI. Prije izdavanja potrebno je imati kreiranu certifikacijsku autoritetu (CA) u AWS Private CA, kao i važeći CSR. U naredbi specificirate ARN certifikacijske autoritete, sam CSR, model potpisivanja (npr. EndEntityCertificate) i željeno razdoblje važenja. AWS će potom provjeriti valjanost zahtjeva i izdati certifikat koji možete preuzeti u PEM formatu. Detaljne upute potražite u službenoj AWS dokumentaciji o izdavanju privatnih certifikata.
Osim samostalnog izdavanja, AWS omogućuje i upravljanje cijelim životnim ciklusom certifikata, uključujući obnovu i opoziv. Ovaj pristup posebno je koristan za organizacije koje žele zadržati potpunu kontrolu nad svojom PKI infrastrukturom bez ulaganja u lokalne poslužitelje. Za integraciju s drugim AWS uslugama, poput aplikacija smještenih na EC2 instancama, certifikat se može automatski dodijeliti putem AWS Certificate Managera.

Izdavanje certifikata na Microsoft Windows CA poslužitelju
U okruženjima koja koriste Microsoftove tehnologije, uobičajeno je izdavanje certifikata putem uloge Active Directory Certificate Services. Proces se odvija putem Microsoft Management Console (MMC) dodatka Certifikacijsko tijelo. Kada korisnik ili uređaj podnese zahtjev, on se u početku nalazi u mapi "Neriješeni zahtjevi". Administrator zatim otvara tu mapu, desnim klikom na pojedinačni zahtjev odabire "Svi zadaci", a zatim "Izdaj" kako bi certifikat bio potpisan i izdan. Za potpuniji uvid u postupak, možete pogledati upute na Microsoft Learn stranici koje detaljno opisuju ručno kreiranje klijentskog certifikata na CA poslužitelju.
Ovaj način rada posebno je pogodan za velike organizacije koje već imaju Active Directory infrastrukturu. Moguće je automatizirati izdavanje pomoću grupnih pravila ili skripti, čime se smanjuje ručni rad. Certifikati se izdaju u formatu .pfx (PKCS#12) koji uključuje i privatni ključ, ili .cer koji sadrži samo javni ključ. Nakon izdavanja, certifikat je dostupan u spremištu certifikata na ciljnom uređaju.
Izdavanje certifikata putem Google Cloud CA usluge
Google Cloud Certificate Authority Service omogućuje izdavanje certifikata pomoću predložaka. U Google Cloud konzoli prvo je potrebno kreirati CA pool i unutar njega certifikacijsku autoritetu. Zatim u odjeljku Upravitelj predložaka odaberete odgovarajući predložak koji definira pravila za izdavanje certifikata. Klikom na "Kreiraj certifikat" otvara se obrazac u kojem unosite podatke o subjektu, odabirete regiju i pridruženi CA pool te generirate certifikat. Google Cloud nudi mogućnost izdavanja certifikata za poslužitelje, klijente, uređaje i dr. Generirani certifikat možete preuzeti odmah ili ga pohraniti u Secret Manageru. Ovaj pristup olakšava upravljanje certifikatima u cloud-native aplikacijama.

Google Cloud CA usluga podržava automatsku obnovu i integraciju s uslugama poput Cloud Load Balancera i Istijoa, što je čini idealnim izborom za organizacije koje koriste Kubernetes i mikroservisnu arhitekturu. Važno je napomenuti da Google Cloud obračunava naknade prema broju izdanih certifikata i vremenu njihovog važenja, stoga je preporučljivo optimizirati rokove valjanosti.
Izdavanje certifikata za edukacijske i HR platforme
U obrazovnom sektoru i ljudskim resursima često je potrebno izdati potvrde o sudjelovanju na tečajevima, seminarima ili internim treninzima. Platforme poput Classere i Certifiera pojednostavljuju ovaj proces. Korisnik odabire predložak certifikata, unosi popis primatelja (pojedinačno ili učitavanjem CSV datoteke), popunjava dinamička polja poput imena, naziva tečaja i datuma, te klikom na "Izdaj" ili "Objavi" generira digitalne certifikate. Certifikati se mogu distribuirati putem e-pošte, pohraniti u oblak ili ispisati u PDF formatu. Ove platforme često nude i provjeru autentičnosti putem QR koda ili jedinstvenog identifikatora.
Iako se ti certifikati u tehničkom smislu ne smatraju digitalnim potpisima u kontekstu PKI-ja, oni koriste slične principe – potpisani su od strane platforme kako bi se osigurala vjerodostojnost. Za organizacije koje ne trebaju složenu infrastrukturu, ovaj pristup je brz i jednostavan. Važno je odabrati platformu koja podržava prilagođavanje izgleda i sadržaja certifikata te koja omogućuje masovno izdavanje bez gubitka kvalitete.

Usporedba metoda izdavanja certifikata
| Metoda | Glavna svrha | Razina kontrole | Pogodno za |
|---|---|---|---|
| AWS Private CA | Privatni certifikati u AWS oblaku | Visoka | Cloud-native aplikacije, DevOps timovi |
| Microsoft Windows CA | Poslovna PKI infrastruktura | Vrlo visoka | Velike organizacije s Active Directoryjem |
| Google Cloud CA | Certifikati za Google cloud usluge | Visoka | Kubernetes, mikroservisi |
| Edukacijske/HR platforme | Potvrde o sudjelovanju, diplom e | Niska do srednja | Obrazovne ustanove, tvrtke za interne treninge |
Tablica prikazuje osnovne razlike između opisanih pristupa. Odabir metode ovisi o specifičnim potrebama organizacije, proračunu i tehničkoj spremnosti. Za vlastiti PKI s potpunom kontrolom preporučuje se AWS, Microsoft ili Google Cloud rješenja. Za jednostavnije izdavanje potvrda bez složenih sigurnosnih zahtjeva, edukacijske platforme pružaju zadovoljavajuću funkcionalnost.
Izvori
AWS Documentation – "Issue private end-entity certificates": https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html
AWS CLI Reference – "issue-certificate": https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html

Microsoft Learn – "How to manually create client certificate on CA server": https://learn.microsoft.com/en-us/answers/questions/1469140/how-to-manually-create-client-certificate-on-ca-se
Google Cloud Docs – "Request a certificate using a certificate template": https://cloud.google.com/certificate-authority-service/docs/issue-certificate-using-template
ScienceDirect – "Issuing Certificate - an overview": https://www.sciencedirect.com/topics/computer-science/issuing-certificate
Medium – "Introduction to Certificate Issuance in PKI": https://medium.com/@happygoat/introduction-to-certificate-issuance-in-pki-c83aae570a62
Classera User Manual – "Issue Certificates": https://manual.classera.com/docs/issue-certificates/
Certifier Blog – "How to Create a Digital Certificate": https://certifier.io/blog/how-to-create-certificates-online-in-3-easy-steps





