en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Manuelles Generieren einer Zertifikatsignierungsanforderung (CSR) Verwenden von OpenSSL

Dieses Tutorial zeigt Ihnen, wie Sie eine manuell generieren Zertifikat-Signaturanforderung (oder CSR) in einer Apache- oder Nginx-Webhosting-Umgebung mit OpenSSL.

Video

Was ist OpenSSL?
OpenSSL ist ein sehr nützliches Open-Source-Befehlszeilen-Toolkit für die Arbeit mit X.509 Zertifikate, Zertifikatsignierungsanforderungen (CSRs) und kryptografische Schlüssel. Wenn Sie eine UNIX-Variante wie Linux oder macOS verwenden, ist OpenSSL wahrscheinlich bereits auf Ihrem Computer installiert. Wenn Sie OpenSSL unter Windows verwenden möchten, können Sie es aktivieren Linux-Subsystem von Windows 10 oder installieren Cygwin.

In dieser Anleitung werden wir OpenSSLs verwenden req Dienstprogramm zum Generieren des privaten Schlüssels und CSR in einem Befehl. Wenn Sie den privaten Schlüssel auf diese Weise generieren, werden Sie aufgefordert, eine Passphrase einzugeben, um den privaten Schlüssel zu schützen. Ersetzen Sie in allen gezeigten Befehlsbeispielen die in ALL CAPS angezeigten Dateinamen durch die tatsächlichen Pfade und Dateinamen, die Sie verwenden möchten. (Zum Beispiel könnten Sie ersetzen PRIVATEKEY.key mit /private/etc/apache2/server.key in einer macOS Apache-Umgebung.) Diese Anleitung behandelt die Generierung von beiden RSA und ECDSA Schlüssel.

SSL.com bietet eine breite. Vielfalt der SSL /TLS Serverzertifikate für HTTPS-Websites.

VERGLEICHEN SSL /TLS ZERTIFIKATE

RSA

Der folgende OpenSSL-Befehl generiert einen privaten 2048-Bit-RSA-Schlüssel und CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Lassen Sie uns den Befehl aufschlüsseln:

  • openssl ist der Befehl zum Ausführen von OpenSSL.
  • req ist das OpenSSL-Dienstprogramm zum Generieren von a CSR.
  • -newkey rsa:2048 weist OpenSSL an, einen neuen privaten 2048-Bit-RSA-Schlüssel zu generieren. Wenn Sie einen 4096-Bit-Schlüssel bevorzugen, können Sie diese Nummer in ändern 4096.
  • -keyout PRIVATEKEY.key Gibt an, wo die private Schlüsseldatei gespeichert werden soll.
  • -out MYCSR.csr Gibt an, wo das gespeichert werden soll CSR Datei.
  • Denken Sie bei diesen beiden letzten Elementen daran, Ihre eigenen Pfade und Dateinamen für den privaten Schlüssel und zu verwenden CSR, nicht die Platzhalter.

Drücken Sie nach Eingabe des Befehls eingeben. Sie erhalten eine Reihe von Eingabeaufforderungen:

  • Erstellen und überprüfen Sie zuerst eine Passphrase. Denken Sie an diese Passphrase, da Sie sie erneut benötigen, um auf Ihren privaten Schlüssel zuzugreifen.
  • Sie werden nun aufgefordert, die Informationen einzugeben, die in Ihrem enthalten sein werden CSR. Diese Informationen werden auch als bezeichnet Distinguished Namebezeichnet, oder DNdem „Vermischten Geschmack“. Seine Gemeinsamen Namen Feld wird von SSL.com benötigt, wenn Sie Ihre CSR, aber die anderen sind optional. Wenn Sie ein optionales Element überspringen möchten, geben Sie einfach ein eingeben wenn es erscheint:
    • Das Ländername (optional) besteht aus zwei Buchstaben Landesvorwahl.
    • Das Ortsname Feld (optional) ist für Ihre Stadt oder Gemeinde.
    • Das Name der Organisation Feld (optional) steht für den Namen Ihres Unternehmens oder Ihrer Organisation.
    • Das Name der Organisationseinheit (optional) ist für Ihre Abteilung oder Abteilung.
    • Das Gemeinsamen Namen Feld (erforderlich) wird für die verwendet Vollqualifizierter Domainname (FQDN) der Website schützt dieses Zertifikat.
    • E-Mail-Adresse (optional)
    • Das Passwort herausfordern Feld ist optional und kann auch übersprungen werden.

Nach Abschluss dieses Vorgangs kehren Sie zu einer Eingabeaufforderung zurück. Sie erhalten keine Benachrichtigung, dass Ihr CSR wurde erfolgreich erstellt.

ECDSA

So erstellen Sie einen privaten ECDSA-Schlüssel mit Ihrem CSRmüssen Sie ein zweites OpenSSL-Dienstprogramm aufrufen, um die Parameter für den ECDSA-Schlüssel zu generieren.

Dieser OpenSSL-Befehl generiert eine Parameterdatei für einen 256-Bit-ECDSA-Schlüssel:

openssl genpkey -genparam -algorithmus ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey führt das Dienstprogramm von openssl zur Generierung privater Schlüssel aus.
  • -genparam generiert eine Parameterdatei anstelle eines privaten Schlüssels. Sie können auch einen privaten Schlüssel generieren, aber beim Generieren des Schlüssels und die Parameterdatei verwenden CSR stellt sicher, dass Sie zur Eingabe einer Passphrase aufgefordert werden.
  • -algorithm ec Gibt einen elliptischen Kurvenalgorithmus an.
  • -pkeyopt ec_paramgen_curve:P-256 wählt eine 256-Bit-Kurve. Wenn Sie eine 384-Bit-Kurve bevorzugen, ändern Sie den Teil nach dem Doppelpunkt in P-384.
  • -out ECPARAM.pem Gibt einen Pfad und einen Dateinamen für die Parameterdatei an.

Geben Sie nun beim Generieren der Ihre Parameterdatei an CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Der Befehl ist der gleiche wie im obigen RSA-Beispiel, jedoch -newkey RSA:2048 wurde ersetzt durch -newkey ec:ECPARAM.pem. Nach wie vor werden Sie aufgefordert, eine Passphrase und Informationen zu Distinguished Name für die CSR.

Wenn Sie möchten, können Sie die Umleitung verwenden, um die beiden OpenSSL-Befehle in einer Zeile zu kombinieren und die Generierung einer Parameterdatei wie folgt zu überspringen:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com