Μη αυτόματη δημιουργία αιτήματος υπογραφής πιστοποιητικού (CSR) Χρησιμοποιώντας το OpenSSL

Τρόπος μη αυτόματης δημιουργίας αιτήματος υπογραφής πιστοποιητικού (ή CSR) σε περιβάλλον φιλοξενίας ιστοσελίδων Apache ή Nginx χρησιμοποιώντας OpenSSL.

Αυτό το σεμινάριο θα σας δείξει πώς να δημιουργήσετε με μη αυτόματο τρόπο ένα Αίτημα υπογραφής πιστοποιητικού (Ή CSR) σε περιβάλλον φιλοξενίας ιστού Apache ή Nginx με χρήση OpenSSL. Κάντε κλικ εδώ για ένα σεμινάριο σχετικά με την παραγγελία πιστοποιητικών ή εδώ για περισσότερες πληροφορίες σχετικά με τον τρόπο εγκατάστασης του νέου πιστοποιητικού SSL.com.

Για πιο χρήσιμους τρόπους και για τα πιο πρόσφατα νέα για την ασφάλεια στον κυβερνοχώρο, εγγραφείτε στο ενημερωτικό δελτίο του SSL.com εδώ:

Βίντεο

Τι είναι το OpenSSL;
Το OpenSSL είναι ένα πολύ χρήσιμο κιτ εργαλείων γραμμής εντολών ανοιχτού κώδικα για εργασία X.509 πιστοποιητικά, αιτήσεις υπογραφής πιστοποιητικών (CSRs) και κρυπτογραφικά κλειδιά. Εάν χρησιμοποιείτε μια παραλλαγή UNIX όπως Linux ή macOS, το OpenSSL πιθανότατα είναι ήδη εγκατεστημένο στον υπολογιστή σας. Εάν θέλετε να χρησιμοποιήσετε το OpenSSL στα Windows, μπορείτε να το ενεργοποιήσετε Υποσύστημα Linux των Windows 10 ή να εγκαταστήσετε Cygwin.

Σε αυτές τις οδηγίες, θα χρησιμοποιήσουμε το OpenSSL's req βοηθητικό πρόγραμμα για τη δημιουργία τόσο του ιδιωτικού κλειδιού όσο και CSR σε μία εντολή. Η δημιουργία του ιδιωτικού κλειδιού με αυτόν τον τρόπο θα διασφαλίσει ότι θα σας ζητηθεί μια φράση πρόσβασης για την προστασία του ιδιωτικού κλειδιού. Σε όλα τα παραδείγματα εντολών που εμφανίζονται, αντικαταστήστε τα ονόματα αρχείων που εμφανίζονται σε ΟΛΑ τα CAPS με τις πραγματικές διαδρομές και τα ονόματα αρχείων που θέλετε να χρησιμοποιήσετε. (Για παράδειγμα, μπορείτε να αντικαταστήσετε PRIVATEKEY.key με /private/etc/apache2/server.key σε περιβάλλον MacOS Apache.) Αυτός ο τρόπος κάλυψης καλύπτει τη δημιουργία και των δύο RSA και ECDSA κλειδιά.

Το SSL.com παρέχει ένα ευρύ. ΠΟΙΚΙΛΙΑ ΑΠΟ SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.

ΣΥΓΚΡΙΣΗ SSL /TLS ΠΙΣΤΟΠΟΙΗΤΙΚΑ

RSA

Η παρακάτω εντολή OpenSSL θα δημιουργήσει ένα ιδιωτικό κλειδί RSA 2048-bit και CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Ας σπάσουμε την εντολή:

  • openssl είναι η εντολή για την εκτέλεση του OpenSSL.
  • req είναι το βοηθητικό πρόγραμμα OpenSSL για τη δημιουργία α CSR.
  • -newkey rsa:2048 λέει στο OpenSSL να δημιουργήσει ένα νέο ιδιωτικό κλειδί RSA 2048-bit. Εάν προτιμάτε ένα κλειδί 4096-bit, μπορείτε να αλλάξετε αυτόν τον αριθμό σε 4096.
  • -keyout PRIVATEKEY.key καθορίζει πού να αποθηκεύσετε το αρχείο ιδιωτικού κλειδιού.
  • -out MYCSR.csr καθορίζει πού να αποθηκεύσετε το CSR αρχείο.
  • Με αυτά τα δύο τελευταία στοιχεία, θυμηθείτε να χρησιμοποιείτε τις δικές σας διαδρομές και ονόματα αρχείων για το ιδιωτικό κλειδί και CSR, όχι τα σύμβολα κράτησης θέσης.

Αφού πληκτρολογήσετε την εντολή, πατήστε εισάγετε. Θα σας παρουσιαστεί μια σειρά προτροπών:

  • Πρώτα δημιουργήστε και επαληθεύστε μια φράση πρόσβασης. Θυμηθείτε αυτήν τη φράση πρόσβασης επειδή θα τη χρειαστείτε ξανά για να αποκτήσετε πρόσβαση στο ιδιωτικό σας κλειδί.
  • Θα σας ζητηθεί τώρα να εισαγάγετε τις πληροφορίες που θα συμπεριληφθούν στο δικό σας CSR. Αυτές οι πληροφορίες είναι επίσης γνωστές ως Διακεκριμένο όνομα, ή DN. ο Συνηθισμένο όνομα Το πεδίο απαιτείται από το SSL.com κατά την υποβολή του CSR, αλλά οι άλλοι είναι προαιρετικοί. Εάν θέλετε να παραλείψετε ένα προαιρετικό στοιχείο, απλώς πληκτρολογήστε εισάγετε όταν εμφανίζεται:
    • Η Ονομα χώρας (προαιρετικά) παίρνει δύο γράμματα κωδικός χώρας.
    • Η Όνομα τοποθεσίας Το πεδίο (προαιρετικό) αφορά την πόλη ή την κωμόπολη.
    • Η Όνομα Οργανισμού Το πεδίο (προαιρετικό) αφορά το όνομα της εταιρείας ή του οργανισμού σας
    • Η Συνηθισμένο όνομα Το πεδίο (απαιτείται) χρησιμοποιείται για το Πλήρως αναγνωρισμένο όνομα τομέα (FQDN) του ιστότοπου που θα προστατεύσει αυτό το πιστοποιητικό.
    • Διεύθυνση ηλεκτρονικού ταχυδρομείου (Προαιρετικό)
    • Η Πρόκληση κωδικού πρόσβασης Το πεδίο είναι προαιρετικό και μπορεί επίσης να παραλειφθεί.

Με την ολοκλήρωση αυτής της διαδικασίας, θα επιστρέψετε σε μια γραμμή εντολών. Δεν θα λάβετε καμία ειδοποίηση ότι το δικό σας CSR δημιουργήθηκε με επιτυχία.

ECDSA

Για να δημιουργήσετε ένα ιδιωτικό κλειδί ECDSA με το δικό σας CSR, πρέπει να καλέσετε ένα δεύτερο βοηθητικό πρόγραμμα OpenSSL για να δημιουργήσετε τις παραμέτρους για το κλειδί ECDSA.

Αυτή η εντολή OpenSSL θα δημιουργήσει ένα αρχείο παραμέτρου για ένα κλειδί ECDSA 256-bit:

openssl genpkey -genparam-αλγόριθμος ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey εκτελεί το βοηθητικό πρόγραμμα openssl για δημιουργία ιδιωτικών κλειδιών.
  • -genparam δημιουργεί ένα αρχείο παραμέτρων αντί ενός ιδιωτικού κλειδιού. Θα μπορούσατε επίσης να δημιουργήσετε ένα ιδιωτικό κλειδί, αλλά χρησιμοποιώντας το αρχείο παραμέτρων κατά τη δημιουργία του κλειδιού και CSR διασφαλίζει ότι θα σας ζητηθεί μια φράση πρόσβασης.
  • -algorithm ec καθορίζει έναν αλγόριθμο ελλειπτικής καμπύλης.
  • -pkeyopt ec_paramgen_curve:P-256 επιλέγει μια καμπύλη 256-bit. Εάν προτιμάτε μια καμπύλη 384-bit, αλλάξτε το τμήμα μετά την άνω και κάτω τελεία σε P-384.
  • -out ECPARAM.pem παρέχει μια διαδρομή και όνομα αρχείου για το αρχείο παραμέτρων.

Τώρα, καθορίστε το αρχείο παραμέτρων κατά τη δημιουργία του CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Η εντολή είναι η ίδια όπως χρησιμοποιήσαμε στο παραπάνω παράδειγμα RSA, αλλά -newkey RSA:2048 έχει αντικατασταθεί με -newkey ec:ECPARAM.pem. Όπως και πριν, θα σας ζητηθεί μια φράση πρόσβασης και πληροφορίες Διακεκριμένου ονόματος για το CSR.

Εάν θέλετε, μπορείτε να χρησιμοποιήσετε ανακατεύθυνση για να συνδυάσετε τις δύο εντολές OpenSSL σε μία γραμμή, παρακάμπτοντας τη δημιουργία ενός αρχείου παραμέτρων, ως εξής:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Επόμενο Βήματα

Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση του πιστοποιητικού σας, διαβάστε εδώ, για δέσμευση με τις υπηρεσίες IIS 10, διαβάστε εδώ. 

Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.