Ručně vygenerujte žádost o podepsání certifikátu (CSR) Používání OpenSSL

Tento tutoriál vám ukáže, jak ručně vygenerovat a Žádost o podpis certifikátu (nebo CSR) v prostředí webhostingu Apache nebo Nginx pomocí OpenSSL. Klikněte zde na návod k objednání certifikátů, popř zde Další informace o tom, jak nainstalovat nový certifikát SSL.com.

Chcete-li získat další užitečné návody a nejnovější zprávy o kybernetické bezpečnosti, přihlaste se k odběru zpravodaje SSL.com zde:

Video

Co je OpenSSL?
OpenSSL je velmi užitečný open-source nástroj příkazového řádku pro práci s ním X.509 certifikáty, žádosti o podpis certifikátů (CSRs) a kryptografické klíče. Pokud používáte variantu UNIX, jako je Linux nebo macOS, je OpenSSL pravděpodobně již v počítači nainstalována. Pokud chcete používat OpenSSL ve Windows, můžete povolit Windows 10 podsystém Linux nebo nainstalovat Cygwin.

V těchto pokynech použijeme OpenSSL req nástroj pro generování soukromého klíče i CSR v jednom příkazu. Generování soukromého klíče tímto způsobem zajistí, že budete vyzváni k zadání fráze k ochraně soukromého klíče. Ve všech zobrazených příkladech příkazů nahraďte názvy souborů zobrazené v ALL CAPS skutečnými cestami a názvy souborů, které chcete použít. (Například můžete nahradit PRIVATEKEY.key s /private/etc/apache2/server.key v prostředí macOS Apache.) Tento návod zahrnuje generování obou RSA a ECDSA klíče.

SSL.com poskytuje širokou škálu. rozmanitost SSL /TLS certifikáty serveru pro webové stránky HTTPS.

POROVNAT SSL /TLS CERTIFIKÁTY

RSA

Níže uvedený příkaz OpenSSL vygeneruje 2048bitový soukromý klíč RSA a CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Rozdělme příkaz:

  • openssl je příkaz pro spuštění OpenSSL.
  • req je nástroj OpenSSL pro generování CSR.
  • -newkey rsa:2048 říká OpenSSL, aby vygeneroval nový 2048bitový soukromý klíč RSA. Pokud chcete 4096bitový klíč, můžete toto číslo změnit na 4096.
  • -keyout PRIVATEKEY.key Určuje, kam se má uložit soubor soukromého klíče.
  • -out MYCSR.csr určuje, kam se má uložit CSR soubor.
  • U těchto posledních dvou položek nezapomeňte použít vlastní cesty a názvy souborů pro soukromý klíč a CSR, nikoli zástupné symboly.

Po zadání příkazu stiskněte vstoupit. Zobrazí se řada výzev:

  • Nejprve vytvořte a ověřte přístupovou frázi. Pamatujte si tuto frázi, protože ji budete znovu potřebovat pro přístup k vašemu soukromému klíči.
  • Nyní budete vyzváni k zadání informací, které budou zahrnuty do vašeho CSR. Tato informace se také nazývá Rozlišující jménonebo DN, Běžné jméno pole SSL je při odesílání vašeho požadavku vyžadováno CSR, ale ostatní jsou volitelné. Pokud chcete volitelnou položku přeskočit, jednoduše zadejte vstoupit když se objeví:
    • Projekt Název země (volitelně) má dvě písmena kód země.
    • Projekt Název lokality pole (volitelné) je pro vaše město.
    • Projekt Název organizace pole (volitelné) je pro název vaší společnosti nebo organizace.
    • Projekt Běžné jméno pole (povinné) se používá pro Plně kvalifikovaný název domény (FQDN) tohoto webu bude tento certifikát chránit.
    • Emailová adresa (Volitelné)
    • Projekt Výzva Heslo pole je volitelné a lze jej také přeskočit.

Po dokončení tohoto procesu budete vráceni na příkazový řádek. Neobdržíte žádné oznámení, že vaše CSR byl úspěšně vytvořen.

Přejít na začátek

ECDSA

Chcete-li vytvořit soukromý klíč ECDSA s vaším CSR, je třeba vyvolat druhý obslužný program OpenSSL pro vygenerování parametrů pro klíč ECDSA.

Tento příkaz OpenSSL vygeneruje soubor parametrů pro 256bitový klíč ECDSA:

openssl genpkey -genparam -algoritmus ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey spouští utilitu openssl pro generování soukromého klíče.
  • -genparam generuje soubor parametrů namísto soukromého klíče. Můžete také vygenerovat soukromý klíč, ale při generování klíče a použít soubor parametrů CSR zajišťuje, že budete vyzváni k zadání hesla.
  • -algorithm ec specifikuje algoritmus eliptické křivky.
  • -pkeyopt ec_paramgen_curve:P-256 zvolí 256bitovou křivku. Pokud dáváte přednost 384bitové křivce, změňte část za dvojtečkou na P-384.
  • -out ECPARAM.pem poskytuje cestu a název souboru parametrického souboru.

Nyní při generování souboru parametrů zadejte svůj soubor parametrů CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Příkaz je stejný, jaký jsme použili ve výše uvedeném příkladu RSA, ale -newkey RSA:2048 byl nahrazen -newkey ec:ECPARAM.pem. Stejně jako dříve budete vyzváni k zadání hesla a informací o rozlišujícím jménu pro CSR.

Pokud chcete, můžete pomocí přesměrování zkombinovat dva příkazy OpenSSL do jednoho řádku a přeskočit generování souboru parametrů, a to následovně:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

další Kroky

Další informace o instalaci certifikátu čtěte zde, pro vazbu s IIS 10, přečíst zde. 

Děkujeme, že jste si vybrali SSL.com! Pokud máte nějaké dotazy, kontaktujte nás e-mailem na adrese Support@SSL.com, volání 1-877-SSL-SECURE, nebo jednoduše klikněte na odkaz chat v pravé dolní části této stránky. Odpovědi můžete najít také v mnoha častých otázkách podpory Databáze znalostí.

Tým podpory SSL

Všechny příspěvky

Související Jak Tos

Zobrazit vše, jak Tos
facebook linkedin X Youtube GitHub

Přihlaste se k odběru zpravodaje SSL.com

Co je SSL /TLS?

Přehrát video

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu