Failid luuakse järgmiste Linux käskudega, kus 1024 ja sha1 on asendatud valitud väärtusega:

openssl genrsa -rand /var/log/mail:/var/log/messages -out private_key.pem 1024
openssl req -sha1 -new -key private_key.pem -out csr.pem
Kui on võimalik nende käskude abil ise võtmefailid genereerida, siis peaksidki seda tegema - siinset vormi tasub kasutada vaid viimase häda sunnil. banks.pastel.thorgate.eu neid andmeid ei logi ega salvesta, kuid alati on mõistlikum, et sensitiivsete andmetega (milleks on salajase võtme sisu) puutuks kokku võimalikult vähe osapooli.

Miks ei tohi salajane võti lekkida?

Kes iganes omab ligipääsu salajasele võtmele, saab võltsida panka minevaid maksekorraldusi. Näiteks ostab pahatahtlik kasutaja veebipoes 1000 € eest kaupa, kuid pangalingi kaudu maksma minnes vahetab makse vormi sisu ära, märgib ostu summaks 1 € ning allkirjastab selle lekkinud salajase võtmega. Panga jaoks tundub selline päring täiesti korrektne olevat ja pank lubabki kasutajal 1000 € asemel maksta vaid 1 €. Kui nüüd kaupmehe rakendus ei jälgi täpselt, et mis summa kasutaja tegelikult tasus, ongi pahatahtlik kasutaja veebipoodi 999 € eest petnud.

Milleks pangale üldse CSR?

Pangale ei ole tegelikult tarvis mitte sertifikaadipäringut (CSR - Certificate Signing Request) ega sertifikaati, vaid hoopis salajase võtmega seotud avalikku võtit (omavahel seotud salajane ja avalik võti moodustavad nn. võtmepaari), kuna kõike, mis on allkirjastatud salajase võtmega, saab kontrollida ainult sellele vastava avaliku võtmega. Avalik võti on samas loetav ka sertifikaadipäringust ning sertifikaadist. Pangad tahavad tõenäoliselt sertifikaadipäringut või sertifikaat seetõttu, et avaliku võtme failis puudub igasugune lisainfo - see on lihtsalt baitide jada. Sertifikaadipäringus ja sertifikaadis on lisaks avaliku võtme infole kirjas, et kes on selle võtme omanik. Täiendavalt on sellisel juhul võimalik sertifikaadis kirjas oleva domeeninime väärtuse järgi kontrollida, kas maksekorraldus tuleb ikka õigelt aadressilt (kuigi praktikas tundub, et seda ei kontrollita).

Soovitav oleks kasutada vähemalt 2048 bitist võtit
Peaaegu alati on algoritmiks SHA1, kuid erandjuhtudeks saab siin valida ka MD5
Kahekohaline riigi kood
Reeglina soovivad pangad, et selle välja väärtus oleks banklink
Sisesta oma veebipoe domeeninimi, millelt eeldatavasti hakatakse makseid tegema
Sisesta sertifikaadi kontaktaadress
Genereeritavas ZIP failis on kaks faili - private_key.pem, mis on salajane allkirjastamise võti ning csr.pem, mis on sertifikaadipäring pangale edastamiseks.