Този урок ще ви покаже как ръчно да генерирате a Заявка за подписване на сертификат (или CSR) в среда за уеб хостинг Apache или Nginx, използваща OpenSSL. Щракнете върху тук за урок за поръчване на сертификати, или тук за повече информация как да инсталирате вашия нов SSL.com сертификат.
За по-полезни инструкции и най-новите новини за киберсигурността, регистрирайте се за бюлетина на SSL.com тук:
Видео
OpenSSL е много полезен набор от инструменти за команден ред с отворен код за работа с X.509 сертификати, заявки за подписване на сертификати (CSRs) и криптографски ключове. Ако използвате UNIX вариант като Linux или macOS, OpenSSL вероятно вече е инсталиран на вашия компютър. Ако искате да използвате OpenSSL в Windows, можете да активирате Linux подсистема на Windows 10 или инсталирате Cygwin.
В тези инструкции ще използваме OpenSSL req
програма за генериране както на частния ключ, така и на CSR в една команда. Генерирането на частния ключ по този начин ще гарантира, че ще бъдете подканени да преминете фраза, за да защитите частния ключ. Във всички показани примери на команди, заменете имената, показани във ВСИЧКИ CAPS, с действителните пътища и имена на файлове, които искате да използвате. (Например, можете да замените PRIVATEKEY.key
с /private/etc/apache2/server.key
в macOS Apache среда.) Това как да покрие генерирането на двете RSA и ECDSA ключове.
RSA
Командата OpenSSL по-долу ще генерира 2048-битов RSA частен ключ и CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Нека разбием командата:
openssl
е командата за стартиране на OpenSSL.req
е помощната програма OpenSSL за генериране на CSR.-newkey rsa:2048
казва на OpenSSL да генерира нов 2048-битов RSA частен ключ. Ако предпочитате 4096-битов ключ, можете да промените този номер на4096
.-keyout PRIVATEKEY.key
указва къде да запишете файла с частния ключ.-out MYCSR.csr
указва къде да запишете CSR файл.- С тези последни два елемента не забравяйте да използвате вашите собствени пътища и имена за личния ключ и CSR, а не заместителите.
След като въведете командата, натиснете въведете, Ще ви бъде представена поредица от подкани:
- Първо създайте и проверете пропуск фраза. Запомнете тази пропускаща фраза, защото ще ви трябва отново за достъп до личния ви ключ.
- Сега ще бъдете подканени да въведете информацията, която ще бъде включена във вашата CSR, Тази информация е известна и като Различно име или DN, Най- Често срещано име полето се изисква от SSL.com при изпращане на вашия CSR, но останалите не са задължителни. Ако искате да пропуснете незадължителен елемент, просто въведете въведете когато се появи:
- - Име на държава (незадължително) взема две букви код на държавата.
- - Наименование на местността полето (по избор) е за вашия град или град.
- - Име на организацията полето (по избор) е за името на вашата компания или организация.
- - Често срещано име полето (задължително) се използва за Напълно квалифицирано име на домейн (FQDN) на уебсайта, който този сертификат ще защити.
- Имейл Адрес (незадължително поле)
- - Предизвикайте паролата полето не е задължително и може да бъде пропуснато.
След приключване на този процес ще бъдете върнати в командния ред. Няма да получите никакво известие, че вашето CSR е създаден успешно.
ECDSA
За да създадете частен ключ на ECDSA с вашия CSR, трябва да извикате втора помощна програма OpenSSL, за да генерирате параметрите за ключа ECDSA.
Тази команда OpenSSL ще генерира файл с параметри за 256-битов ECDSA ключ:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
изпълнява помощната програма на openssl за генериране на частни ключове.-genparam
генерира параметров файл вместо частен ключ. Можете също да генерирате частен ключ, но използвайки файла с параметри, когато генерирате ключа и CSR гарантира, че ще бъдете подканени за пропуск фраза.-algorithm ec
указва алгоритъм на елиптична крива.-pkeyopt ec_paramgen_curve:P-256
избира 256-битова крива. Ако предпочитате 384-битова крива, сменете частта след дебелото черво наP-384
.-out ECPARAM.pem
предоставя път и име на файла за параметъра.
Сега посочете вашия параметър файл при генериране на CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Командата е същата, както използвахме в примера на RSA по-горе, но -newkey RSA:2048
е заменен с -newkey ec:ECPARAM.pem
, Както и преди, ще бъдете подканени да въведете фраза и информация за отличното име за CSR.
Ако желаете, можете да използвате пренасочване, за да комбинирате двете команди на OpenSSL в един ред, като пропуснете генерирането на файл с параметри, както следва:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Напред Стъпки
За повече информация относно инсталирането на вашия сертификат, прочетете тук, за обвързване с IIS 10, прочетете тук.