Tento tutoriál vám ukáže, jak ručně vygenerovat a Žádost o podpis certifikátu (nebo CSR) v prostředí webhostingu Apache nebo Nginx pomocí OpenSSL. Klikněte zde na návod k objednání certifikátů, popř zde Další informace o tom, jak nainstalovat nový certifikát SSL.com.
Chcete-li získat další užitečné návody a nejnovější zprávy o kybernetické bezpečnosti, přihlaste se k odběru zpravodaje SSL.com zde:
Video
OpenSSL je velmi užitečný open-source nástroj příkazového řádku pro práci s ním X.509 certifikáty, žádosti o podpis certifikátů (CSRs) a kryptografické klíče. Pokud používáte variantu UNIX, jako je Linux nebo macOS, je OpenSSL pravděpodobně již v počítači nainstalována. Pokud chcete používat OpenSSL ve Windows, můžete povolit Windows 10 podsystém Linux nebo nainstalovat Cygwin.
V těchto pokynech použijeme OpenSSL req
nástroj pro generování soukromého klíče i CSR v jednom příkazu. Generování soukromého klíče tímto způsobem zajistí, že budete vyzváni k zadání fráze k ochraně soukromého klíče. Ve všech zobrazených příkladech příkazů nahraďte názvy souborů zobrazené v ALL CAPS skutečnými cestami a názvy souborů, které chcete použít. (Například můžete nahradit PRIVATEKEY.key
s /private/etc/apache2/server.key
v prostředí macOS Apache.) Tento návod zahrnuje generování obou RSA a ECDSA klíče.
RSA
Níže uvedený příkaz OpenSSL vygeneruje 2048bitový soukromý klíč RSA a CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Rozdělme příkaz:
openssl
je příkaz pro spuštění OpenSSL.req
je nástroj OpenSSL pro generování CSR.-newkey rsa:2048
říká OpenSSL, aby vygeneroval nový 2048bitový soukromý klíč RSA. Pokud chcete 4096bitový klíč, můžete toto číslo změnit na4096
.-keyout PRIVATEKEY.key
Určuje, kam se má uložit soubor soukromého klíče.-out MYCSR.csr
určuje, kam se má uložit CSR soubor.- U těchto posledních dvou položek nezapomeňte použít vlastní cesty a názvy souborů pro soukromý klíč a CSR, nikoli zástupné symboly.
Po zadání příkazu stiskněte vstoupit. Zobrazí se řada výzev:
- Nejprve vytvořte a ověřte přístupovou frázi. Pamatujte si tuto frázi, protože ji budete znovu potřebovat pro přístup k vašemu soukromému klíči.
- Nyní budete vyzváni k zadání informací, které budou zahrnuty do vašeho CSR. Tato informace se také nazývá Rozlišující jménonebo DN, Běžné jméno pole SSL je při odesílání vašeho požadavku vyžadováno CSR, ale ostatní jsou volitelné. Pokud chcete volitelnou položku přeskočit, jednoduše zadejte vstoupit když se objeví:
- Projekt Název země (volitelně) má dvě písmena kód země.
- Projekt Název lokality pole (volitelné) je pro vaše město.
- Projekt Název organizace pole (volitelné) je pro název vaší společnosti nebo organizace.
- Projekt Běžné jméno pole (povinné) se používá pro Plně kvalifikovaný název domény (FQDN) tohoto webu bude tento certifikát chránit.
- Emailová adresa (Volitelné)
- Projekt Výzva Heslo pole je volitelné a lze jej také přeskočit.
Po dokončení tohoto procesu budete vráceni na příkazový řádek. Neobdržíte žádné oznámení, že vaše CSR byl úspěšně vytvořen.
ECDSA
Chcete-li vytvořit soukromý klíč ECDSA s vaším CSR, je třeba vyvolat druhý obslužný program OpenSSL pro vygenerování parametrů pro klíč ECDSA.
Tento příkaz OpenSSL vygeneruje soubor parametrů pro 256bitový klíč ECDSA:
openssl genpkey -genparam -algoritmus ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
spouští utilitu openssl pro generování soukromého klíče.-genparam
generuje soubor parametrů namísto soukromého klíče. Můžete také vygenerovat soukromý klíč, ale při generování klíče a použít soubor parametrů CSR zajišťuje, že budete vyzváni k zadání hesla.-algorithm ec
specifikuje algoritmus eliptické křivky.-pkeyopt ec_paramgen_curve:P-256
zvolí 256bitovou křivku. Pokud dáváte přednost 384bitové křivce, změňte část za dvojtečkou naP-384
.-out ECPARAM.pem
poskytuje cestu a název souboru parametrického souboru.
Nyní při generování souboru parametrů zadejte svůj soubor parametrů CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Příkaz je stejný, jaký jsme použili ve výše uvedeném příkladu RSA, ale -newkey RSA:2048
byl nahrazen -newkey ec:ECPARAM.pem
. Stejně jako dříve budete vyzváni k zadání hesla a informací o rozlišujícím jménu pro CSR.
Pokud chcete, můžete pomocí přesměrování zkombinovat dva příkazy OpenSSL do jednoho řádku a přeskočit generování souboru parametrů, a to následovně:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
další Kroky
Další informace o instalaci certifikátu čtěte zde, pro vazbu s IIS 10, přečíst zde.