Dieses Tutorial zeigt Ihnen, wie Sie eine manuell generieren Zertifikat-Signaturanforderung (oder CSR) in einer Apache- oder Nginx-Webhosting-Umgebung mit OpenSSL. Klicken hier für ein Tutorial zum Bestellen von Zertifikaten, oder hier für weitere Informationen zur Installation Ihres neuen SSL.com-Zertifikats.
Melden Sie sich für weitere hilfreiche Anleitungen und die neuesten Nachrichten zur Cybersicherheit hier für den Newsletter von SSL.com an:
Video
OpenSSL ist ein sehr nützliches Open-Source-Befehlszeilen-Toolkit für die Arbeit mit X.509 Zertifikate, Zertifikatsignierungsanforderungen (CSRs) und kryptografische Schlüssel. Wenn Sie eine UNIX-Variante wie Linux oder macOS verwenden, ist OpenSSL wahrscheinlich bereits auf Ihrem Computer installiert. Wenn Sie OpenSSL unter Windows verwenden möchten, können Sie es aktivieren Linux-Subsystem von Windows 10 oder installieren Cygwin.
In dieser Anleitung werden wir OpenSSLs verwenden req Dienstprogramm zum Generieren des privaten Schlüssels und CSR in einem Befehl. Wenn Sie den privaten Schlüssel auf diese Weise generieren, werden Sie aufgefordert, eine Passphrase einzugeben, um den privaten Schlüssel zu schützen. Ersetzen Sie in allen gezeigten Befehlsbeispielen die in ALL CAPS angezeigten Dateinamen durch die tatsächlichen Pfade und Dateinamen, die Sie verwenden möchten. (Zum Beispiel könnten Sie ersetzen PRIVATEKEY.key mit /private/etc/apache2/server.key in einer macOS Apache-Umgebung.) Diese Anleitung behandelt die Generierung von beiden RSA und ECDSA Schlüssel.
RSA
Der folgende OpenSSL-Befehl generiert einen privaten 2048-Bit-RSA-Schlüssel und CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Lassen Sie uns den Befehl aufschlüsseln:
opensslist der Befehl zum Ausführen von OpenSSL.reqist das OpenSSL-Dienstprogramm zum Generieren von a CSR.-newkey rsa:2048weist OpenSSL an, einen neuen privaten 2048-Bit-RSA-Schlüssel zu generieren. Wenn Sie einen 4096-Bit-Schlüssel bevorzugen, können Sie diese Nummer in ändern4096.-keyout PRIVATEKEY.keyGibt an, wo die private Schlüsseldatei gespeichert werden soll.-out MYCSR.csrGibt an, wo das gespeichert werden soll CSR Datei.- Denken Sie bei diesen beiden letzten Elementen daran, Ihre eigenen Pfade und Dateinamen für den privaten Schlüssel und zu verwenden CSR, nicht die Platzhalter.
Drücken Sie nach Eingabe des Befehls eingeben. Sie erhalten eine Reihe von Eingabeaufforderungen:
- Erstellen und überprüfen Sie zuerst eine Passphrase. Denken Sie an diese Passphrase, da Sie sie erneut benötigen, um auf Ihren privaten Schlüssel zuzugreifen.
- Sie werden nun aufgefordert, die Informationen einzugeben, die in Ihrem enthalten sein werden CSR. Diese Informationen werden auch als bezeichnet Distinguished Name, oder DNdem „Vermischten Geschmack“. Seine Gemeinsamen Namen Feld wird von SSL.com benötigt, wenn Sie Ihre CSR, aber die anderen sind optional. Wenn Sie ein optionales Element überspringen möchten, geben Sie einfach ein eingeben wenn es erscheint:
- Das Ländername (optional) besteht aus zwei Buchstaben Landesvorwahl.
- Das Ortsname Feld (optional) ist für Ihre Stadt oder Gemeinde.
- Das Name der Organisation Feld (optional) steht für den Namen Ihres Unternehmens oder Ihrer Organisation.
- Das Gemeinsamen Namen Feld (erforderlich) wird für die verwendet Vollqualifizierter Domainname (FQDN) der Website schützt dieses Zertifikat.
- E-Mail-Adresse (optional)
- Das Passwort herausfordern Feld ist optional und kann auch übersprungen werden.
Nach Abschluss dieses Vorgangs kehren Sie zu einer Eingabeaufforderung zurück. Sie erhalten keine Benachrichtigung, dass Ihr CSR wurde erfolgreich erstellt.
ECDSA
So erstellen Sie einen privaten ECDSA-Schlüssel mit Ihrem CSRmüssen Sie ein zweites OpenSSL-Dienstprogramm aufrufen, um die Parameter für den ECDSA-Schlüssel zu generieren.
Dieser OpenSSL-Befehl generiert eine Parameterdatei für einen 256-Bit-ECDSA-Schlüssel:
openssl genpkey -genparam -algorithmus ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeyführt das Dienstprogramm von openssl zur Generierung privater Schlüssel aus.-genparamgeneriert eine Parameterdatei anstelle eines privaten Schlüssels. Sie können auch einen privaten Schlüssel generieren, aber beim Generieren des Schlüssels und die Parameterdatei verwenden CSR stellt sicher, dass Sie zur Eingabe einer Passphrase aufgefordert werden.-algorithm ecGibt einen elliptischen Kurvenalgorithmus an.-pkeyopt ec_paramgen_curve:P-256wählt eine 256-Bit-Kurve. Wenn Sie eine 384-Bit-Kurve bevorzugen, ändern Sie den Teil nach dem Doppelpunkt inP-384.-out ECPARAM.pemGibt einen Pfad und einen Dateinamen für die Parameterdatei an.
Geben Sie nun beim Generieren der Ihre Parameterdatei an CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Der Befehl ist der gleiche wie im obigen RSA-Beispiel, jedoch -newkey RSA:2048 wurde ersetzt durch -newkey ec:ECPARAM.pem. Nach wie vor werden Sie aufgefordert, eine Passphrase und Informationen zu Distinguished Name für die CSR.
Wenn Sie möchten, können Sie die Umleitung verwenden, um die beiden OpenSSL-Befehle in einer Zeile zu kombinieren und die Generierung einer Parameterdatei wie folgt zu überspringen:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Weiter Shritte
Weitere Informationen zum Installieren Ihres Zertifikats finden Sie unter lesen Sie hier, zum Binden mit IIS 10, lesen Sie hier.