Denne tutorial viser dig, hvordan man manuelt genererer en Certificate Signing Request (eller CSR) i et Apache- eller Nginx-webhostingmiljø ved hjælp af OpenSSL. Klik link. for en vejledning om bestilling af certifikater, eller link. for mere information om, hvordan du installerer dit nye SSL.com-certifikat.
For flere nyttige vejledninger og det seneste inden for cybersikkerhedsnyheder, tilmeld dig SSL.coms nyhedsbrev her:
video
OpenSSL er et meget nyttigt open source kommandolinjeværktøjssæt til at arbejde med X.509 certifikater, anmodninger om underskrift af certifikat (CSRs) og kryptografiske nøgler. Hvis du bruger en UNIX-variant som Linux eller macOS, er OpenSSL sandsynligvis allerede installeret på din computer. Hvis du vil bruge OpenSSL på Windows, kan du aktivere Windows 10s Linux-undersystem eller installer Cygwin.
I disse instruktioner skal vi bruge OpenSSL'er req
værktøj til at generere både den private nøgle og CSR i en kommando. Generering af den private nøgle på denne måde vil sikre, at du bliver bedt om at få en adgangssætning til at beskytte den private nøgle. I alle viste kommandoeksempler skal du erstatte filnavne, der vises i ALLE CAPS, med de faktiske stier og filnavne, du vil bruge. (For eksempel kan du udskifte PRIVATEKEY.key
med /private/etc/apache2/server.key
i et macOS Apache-miljø.) Denne vejledning dækker generation af begge RSA og ECDSA nøgler.
RSA
OpenSSL-kommandoen nedenfor genererer en 2048-bit RSA privat nøgle og CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Lad os nedbryde kommandoen:
openssl
er kommandoen til at køre OpenSSL.req
er OpenSSL-værktøjet til generering af en CSR.-newkey rsa:2048
fortæller OpenSSL om at generere en ny 2048-bit RSA privat nøgle. Hvis du foretrækker en 4096-bit nøgle, kan du ændre dette nummer til4096
.-keyout PRIVATEKEY.key
angiver, hvor den private nøglefil skal gemmes.-out MYCSR.csr
angiver, hvor man skal gemme CSR fil.- Husk at bruge dine egne stier og filnavne til den private nøgle og med disse to sidste poster CSR, ikke pladsholderne.
Når du har skrevet kommandoen, skal du trykke på indtaste. Du får præsenteret en række spørgsmål:
- Opret og bekræft først en adgangssætning. Husk denne adgangssætning, fordi du har brug for den igen for at få adgang til din private nøgle.
- Du bliver nu bedt om at indtaste de oplysninger, der vil blive inkluderet i din CSR. Denne information er også kendt som Distinguished Name eller DN. Det Almindeligt navn felt kræves af SSL.com, når du sender din CSR, men de andre er valgfri. Hvis du gerne vil springe et valgfrit element over, skal du blot indtaste indtaste når det vises:
- Landenavn (valgfrit) tager to bogstaver landekode.
- Lokalitetsnavn felt (valgfrit) er til din by eller by.
- Organisationens navn felt (valgfrit) er for navnet på din virksomhed eller organisation.
- Almindeligt navn felt (påkrævet) bruges til Fuldt kvalificeret domænenavn (FQDN) på webstedet dette certifikat vil beskytte.
- Email adresse (Valgfrit)
- Udfordre adgangskode felt er valgfrit og kan også springes over.
Når denne proces er afsluttet, vil du blive returneret til en kommandoprompt. Du vil ikke modtage nogen meddelelse om, at din CSR blev oprettet med succes.
ECDSA
Sådan opretter du en ECDSA privat nøgle med din CSR, skal du påkalde et andet OpenSSL-værktøj for at generere parametrene til ECDSA-nøglen.
Denne OpenSSL-kommando genererer en parameterfil til en 256-bit ECDSA-nøgle:
openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
kører openssl's værktøj til generering af privat nøgle.-genparam
genererer en parameterfil i stedet for en privat nøgle. Du kan også generere en privat nøgle, men bruge parameterfilen, når du genererer nøglen og CSR sikrer, at du bliver bedt om at få en adgangssætning.-algorithm ec
specificerer en elliptisk kurvealgoritme.-pkeyopt ec_paramgen_curve:P-256
vælger en 256-bit kurve. Hvis du foretrækker en 384-bit-kurve, skal du skifte del efter tyktarmen tilP-384
.-out ECPARAM.pem
giver en sti og filnavn til parameterfilen.
Angiv nu din parameterfil, når du genererer CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Kommandoen er den samme, som vi brugte i RSA-eksemplet ovenfor, men -newkey RSA:2048
er erstattet med -newkey ec:ECPARAM.pem
. Som før vil du blive bedt om at få en adgangsfrase og oplysninger om det distinkte navn til CSR.
Hvis du ønsker det, kan du bruge omdirigering til at kombinere de to OpenSSL-kommandoer i en linje og hoppe over genereringen af en parameterfil som følger:
openssl req -newkey ec: <(openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Næste Steps
For mere information om installation af dit certifikat, læs her, til binding med IIS 10, Læs her.