Generer manuelt en anmodning om certifikatsignering (CSR) Brug af OpenSSL

Denne tutorial viser dig, hvordan man manuelt genererer en Certificate Signing Request (eller CSR) i et Apache- eller Nginx-webhostingmiljø ved hjælp af OpenSSL. Klik link. for en vejledning om bestilling af certifikater, eller link. for mere information om, hvordan du installerer dit nye SSL.com-certifikat.

For flere nyttige vejledninger og det seneste inden for cybersikkerhedsnyheder, tilmeld dig SSL.coms nyhedsbrev her:

video

Hvad er OpenSSL?
OpenSSL er et meget nyttigt open source kommandolinjeværktøjssæt til at arbejde med X.509 certifikater, anmodninger om underskrift af certifikat (CSRs) og kryptografiske nøgler. Hvis du bruger en UNIX-variant som Linux eller macOS, er OpenSSL sandsynligvis allerede installeret på din computer. Hvis du vil bruge OpenSSL på Windows, kan du aktivere Windows 10s Linux-undersystem eller installer Cygwin.

I disse instruktioner skal vi bruge OpenSSL'er req værktøj til at generere både den private nøgle og CSR i en kommando. Generering af den private nøgle på denne måde vil sikre, at du bliver bedt om at få en adgangssætning til at beskytte den private nøgle. I alle viste kommandoeksempler skal du erstatte filnavne, der vises i ALLE CAPS, med de faktiske stier og filnavne, du vil bruge. (For eksempel kan du udskifte PRIVATEKEY.key med /private/etc/apache2/server.key i et macOS Apache-miljø.) Denne vejledning dækker generation af begge RSA og ECDSA nøgler.

SSL.com tilbyder et bredt. udvalg af SSL /TLS servercertifikater til HTTPS-websteder.

SAMMENLIG SSL /TLS CERTIFIKATER

RSA

OpenSSL-kommandoen nedenfor genererer en 2048-bit RSA privat nøgle og CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Lad os nedbryde kommandoen:

  • openssl er kommandoen til at køre OpenSSL.
  • req er OpenSSL-værktøjet til generering af en CSR.
  • -newkey rsa:2048 fortæller OpenSSL om at generere en ny 2048-bit RSA privat nøgle. Hvis du foretrækker en 4096-bit nøgle, kan du ændre dette nummer til 4096.
  • -keyout PRIVATEKEY.key angiver, hvor den private nøglefil skal gemmes.
  • -out MYCSR.csr angiver, hvor man skal gemme CSR fil.
  • Husk at bruge dine egne stier og filnavne til den private nøgle og med disse to sidste poster CSR, ikke pladsholderne.

Når du har skrevet kommandoen, skal du trykke på indtaste. Du får præsenteret en række spørgsmål:

  • Opret og bekræft først en adgangssætning. Husk denne adgangssætning, fordi du har brug for den igen for at få adgang til din private nøgle.
  • Du bliver nu bedt om at indtaste de oplysninger, der vil blive inkluderet i din CSR. Denne information er også kendt som Distinguished Name eller DN. Det Almindeligt navn felt kræves af SSL.com, når du sender din CSR, men de andre er valgfri. Hvis du gerne vil springe et valgfrit element over, skal du blot indtaste indtaste når det vises:
    • Landenavn (valgfrit) tager to bogstaver landekode.
    • Lokalitetsnavn felt (valgfrit) er til din by eller by.
    • Organisationens navn felt (valgfrit) er for navnet på din virksomhed eller organisation.
    • Almindeligt navn felt (påkrævet) bruges til Fuldt kvalificeret domænenavn (FQDN) på webstedet dette certifikat vil beskytte.
    • Email adresse (Valgfrit)
    • Udfordre adgangskode felt er valgfrit og kan også springes over.

Når denne proces er afsluttet, vil du blive returneret til en kommandoprompt. Du vil ikke modtage nogen meddelelse om, at din CSR blev oprettet med succes.

Gå til top

ECDSA

Sådan opretter du en ECDSA privat nøgle med din CSR, skal du påkalde et andet OpenSSL-værktøj for at generere parametrene til ECDSA-nøglen.

Denne OpenSSL-kommando genererer en parameterfil til en 256-bit ECDSA-nøgle:

openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey kører openssl's værktøj til generering af privat nøgle.
  • -genparam genererer en parameterfil i stedet for en privat nøgle. Du kan også generere en privat nøgle, men bruge parameterfilen, når du genererer nøglen og CSR sikrer, at du bliver bedt om at få en adgangssætning.
  • -algorithm ec specificerer en elliptisk kurvealgoritme.
  • -pkeyopt ec_paramgen_curve:P-256 vælger en 256-bit kurve. Hvis du foretrækker en 384-bit-kurve, skal du skifte del efter tyktarmen til P-384.
  • -out ECPARAM.pem giver en sti og filnavn til parameterfilen.

Angiv nu din parameterfil, når du genererer CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Kommandoen er den samme, som vi brugte i RSA-eksemplet ovenfor, men -newkey RSA:2048 er erstattet med -newkey ec:ECPARAM.pem. Som før vil du blive bedt om at få en adgangsfrase og oplysninger om det distinkte navn til CSR.

Hvis du ønsker det, kan du bruge omdirigering til at kombinere de to OpenSSL-kommandoer i en linje og hoppe over genereringen af ​​en parameterfil som følger:

openssl req -newkey ec: <(openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Næste Steps

For mere information om installation af dit certifikat, læs her, til binding med IIS 10, Læs her. 

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

SSL Support Team

Alle indlæg

Relaterede Hvordan Tos

Se alle, hvordan Tos
Facebook Linkedin Twitter Youtube Github

Abonner på SSL.coms nyhedsbrev

Hvad er SSL /TLS?

Afspil video

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse