Αυτό το σεμινάριο θα σας δείξει πώς να δημιουργήσετε με μη αυτόματο τρόπο ένα Αίτημα υπογραφής πιστοποιητικού (Ή CSR) σε περιβάλλον φιλοξενίας ιστού Apache ή Nginx με χρήση OpenSSL. Κάντε κλικ εδώ για ένα σεμινάριο σχετικά με την παραγγελία πιστοποιητικών ή εδώ για περισσότερες πληροφορίες σχετικά με τον τρόπο εγκατάστασης του νέου πιστοποιητικού SSL.com.
Για πιο χρήσιμους τρόπους και για τα πιο πρόσφατα νέα για την ασφάλεια στον κυβερνοχώρο, εγγραφείτε στο ενημερωτικό δελτίο του SSL.com εδώ:
Βίντεο
Το OpenSSL είναι ένα πολύ χρήσιμο κιτ εργαλείων γραμμής εντολών ανοιχτού κώδικα για εργασία X.509 πιστοποιητικά, αιτήσεις υπογραφής πιστοποιητικών (CSRs) και κρυπτογραφικά κλειδιά. Εάν χρησιμοποιείτε μια παραλλαγή UNIX όπως Linux ή macOS, το OpenSSL πιθανότατα είναι ήδη εγκατεστημένο στον υπολογιστή σας. Εάν θέλετε να χρησιμοποιήσετε το OpenSSL στα Windows, μπορείτε να το ενεργοποιήσετε Υποσύστημα Linux των Windows 10 ή να εγκαταστήσετε Cygwin.
Σε αυτές τις οδηγίες, θα χρησιμοποιήσουμε το OpenSSL's req βοηθητικό πρόγραμμα για τη δημιουργία τόσο του ιδιωτικού κλειδιού όσο και CSR σε μία εντολή. Η δημιουργία του ιδιωτικού κλειδιού με αυτόν τον τρόπο θα διασφαλίσει ότι θα σας ζητηθεί μια φράση πρόσβασης για την προστασία του ιδιωτικού κλειδιού. Σε όλα τα παραδείγματα εντολών που εμφανίζονται, αντικαταστήστε τα ονόματα αρχείων που εμφανίζονται σε ΟΛΑ τα CAPS με τις πραγματικές διαδρομές και τα ονόματα αρχείων που θέλετε να χρησιμοποιήσετε. (Για παράδειγμα, μπορείτε να αντικαταστήσετε PRIVATEKEY.key με /private/etc/apache2/server.key σε περιβάλλον MacOS Apache.) Αυτός ο τρόπος κάλυψης καλύπτει τη δημιουργία και των δύο RSA και ECDSA κλειδιά.
RSA
Η παρακάτω εντολή OpenSSL θα δημιουργήσει ένα ιδιωτικό κλειδί RSA 2048-bit και CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Ας σπάσουμε την εντολή:
opensslείναι η εντολή για την εκτέλεση του OpenSSL.reqείναι το βοηθητικό πρόγραμμα OpenSSL για τη δημιουργία α CSR.-newkey rsa:2048λέει στο OpenSSL να δημιουργήσει ένα νέο ιδιωτικό κλειδί RSA 2048-bit. Εάν προτιμάτε ένα κλειδί 4096-bit, μπορείτε να αλλάξετε αυτόν τον αριθμό σε4096.-keyout PRIVATEKEY.keyκαθορίζει πού να αποθηκεύσετε το αρχείο ιδιωτικού κλειδιού.-out MYCSR.csrκαθορίζει πού να αποθηκεύσετε το CSR αρχείο.- Με αυτά τα δύο τελευταία στοιχεία, θυμηθείτε να χρησιμοποιείτε τις δικές σας διαδρομές και ονόματα αρχείων για το ιδιωτικό κλειδί και CSR, όχι τα σύμβολα κράτησης θέσης.
Αφού πληκτρολογήσετε την εντολή, πατήστε εισάγετε. Θα σας παρουσιαστεί μια σειρά προτροπών:
- Πρώτα δημιουργήστε και επαληθεύστε μια φράση πρόσβασης. Θυμηθείτε αυτήν τη φράση πρόσβασης επειδή θα τη χρειαστείτε ξανά για να αποκτήσετε πρόσβαση στο ιδιωτικό σας κλειδί.
- Θα σας ζητηθεί τώρα να εισαγάγετε τις πληροφορίες που θα συμπεριληφθούν στο δικό σας CSR. Αυτές οι πληροφορίες είναι επίσης γνωστές ως Διακεκριμένο όνομα, ή DN. ο Συνηθισμένο όνομα Το πεδίο απαιτείται από το SSL.com κατά την υποβολή του CSR, αλλά οι άλλοι είναι προαιρετικοί. Εάν θέλετε να παραλείψετε ένα προαιρετικό στοιχείο, απλώς πληκτρολογήστε εισάγετε όταν εμφανίζεται:
- Η Ονομα χώρας (προαιρετικά) παίρνει δύο γράμματα κωδικός χώρας.
- Η Όνομα τοποθεσίας Το πεδίο (προαιρετικό) αφορά την πόλη ή την κωμόπολη.
- Η Όνομα Οργανισμού Το πεδίο (προαιρετικό) αφορά το όνομα της εταιρείας ή του οργανισμού σας
- Η Συνηθισμένο όνομα Το πεδίο (απαιτείται) χρησιμοποιείται για το Πλήρως αναγνωρισμένο όνομα τομέα (FQDN) του ιστότοπου που θα προστατεύσει αυτό το πιστοποιητικό.
- Διεύθυνση ηλεκτρονικού ταχυδρομείου (Προαιρετικό)
- Η Πρόκληση κωδικού πρόσβασης Το πεδίο είναι προαιρετικό και μπορεί επίσης να παραλειφθεί.
Με την ολοκλήρωση αυτής της διαδικασίας, θα επιστρέψετε σε μια γραμμή εντολών. Δεν θα λάβετε καμία ειδοποίηση ότι το δικό σας CSR δημιουργήθηκε με επιτυχία.
ECDSA
Για να δημιουργήσετε ένα ιδιωτικό κλειδί ECDSA με το δικό σας CSR, πρέπει να καλέσετε ένα δεύτερο βοηθητικό πρόγραμμα OpenSSL για να δημιουργήσετε τις παραμέτρους για το κλειδί ECDSA.
Αυτή η εντολή OpenSSL θα δημιουργήσει ένα αρχείο παραμέτρου για ένα κλειδί ECDSA 256-bit:
openssl genpkey -genparam-αλγόριθμος ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeyεκτελεί το βοηθητικό πρόγραμμα openssl για δημιουργία ιδιωτικών κλειδιών.-genparamδημιουργεί ένα αρχείο παραμέτρων αντί ενός ιδιωτικού κλειδιού. Θα μπορούσατε επίσης να δημιουργήσετε ένα ιδιωτικό κλειδί, αλλά χρησιμοποιώντας το αρχείο παραμέτρων κατά τη δημιουργία του κλειδιού και CSR διασφαλίζει ότι θα σας ζητηθεί μια φράση πρόσβασης.-algorithm ecκαθορίζει έναν αλγόριθμο ελλειπτικής καμπύλης.-pkeyopt ec_paramgen_curve:P-256επιλέγει μια καμπύλη 256-bit. Εάν προτιμάτε μια καμπύλη 384-bit, αλλάξτε το τμήμα μετά την άνω και κάτω τελεία σεP-384.-out ECPARAM.pemπαρέχει μια διαδρομή και όνομα αρχείου για το αρχείο παραμέτρων.
Τώρα, καθορίστε το αρχείο παραμέτρων κατά τη δημιουργία του CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Η εντολή είναι η ίδια όπως χρησιμοποιήσαμε στο παραπάνω παράδειγμα RSA, αλλά -newkey RSA:2048 έχει αντικατασταθεί με -newkey ec:ECPARAM.pem. Όπως και πριν, θα σας ζητηθεί μια φράση πρόσβασης και πληροφορίες Διακεκριμένου ονόματος για το CSR.
Εάν θέλετε, μπορείτε να χρησιμοποιήσετε ανακατεύθυνση για να συνδυάσετε τις δύο εντολές OpenSSL σε μία γραμμή, παρακάμπτοντας τη δημιουργία ενός αρχείου παραμέτρων, ως εξής:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Επόμενο Βήματα
Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση του πιστοποιητικού σας, διαβάστε εδώ, για δέσμευση με τις υπηρεσίες IIS 10, διαβάστε εδώ.
