Ez az oktatóanyag megmutatja, hogyan kell manuálisan létrehozni a Tanúsítvány aláírási igény (Vagy CSR) Apache vagy Nginx webtárhely-környezetben OpenSSL használatával. Kattintson itt az igazolások megrendelésével kapcsolatos oktatóanyaghoz, ill itt az új SSL.com tanúsítvány telepítésével kapcsolatos további információkért.
További hasznos tudnivalókért és a kiberbiztonsággal kapcsolatos legfrissebb hírekért iratkozzon fel az SSL.com hírlevelére itt:
videó
Az OpenSSL egy nagyon hasznos nyílt forráskódú parancssori eszközkészlet a munkához X.509 tanúsítványok, tanúsítvány aláírási kérelmek (CSRs) és kriptográfiai kulcsok. Ha olyan UNIX változatot használ, mint a Linux vagy a macOS, az OpenSSL valószínűleg már telepítve van a számítógépére. Ha az OpenSSL-t Windows rendszeren szeretné használni, engedélyezheti A Windows 10 Linux alrendszere vagy telepíteni cygwin.
Ezekben az utasításokban az OpenSSL-eket fogjuk használni req
segédprogram a privát kulcs és a CSR egy parancsban. A privát kulcs ilyen módon történő generálása biztosítja, hogy a magánkulcs védelme érdekében jelszót kérjen. Az összes bemutatott parancspéldában cserélje le az MINDEN KAPCSOLATBAN szereplő fájlneveket a használni kívánt útvonalakra és fájlnevekre. (Például helyettesítheti PRIVATEKEY.key
val vel /private/etc/apache2/server.key
egy macOS Apache környezetben.) Ez a how fedezi mindkét generációt RSA és ECDSA kulcsok.
RSA
Az alábbi OpenSSL parancs 2048 bites RSA magánkulcsot és CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Bontsuk le a parancsot:
openssl
az OpenSSL futtatására szolgáló parancs.req
az OpenSSL segédprogram a CSR.-newkey rsa:2048
utasítja az OpenSSL-t, hogy hozzon létre egy új, 2048 bites RSA magánkulcsot. Ha 4096 bites kulcsot szeretne, akkor ezt a számot megváltoztathatja4096
.-keyout PRIVATEKEY.key
meghatározza, hogy hová mentse a privát kulcsfájlt.-out MYCSR.csr
meghatározza, hogy hol mentse a CSR fájlt.- Az utolsó két elemnél ne felejtse el saját útvonalait és fájlneveit használni a privát kulcshoz és a CSR, nem a helyőrzőket.
A parancs beírása után nyomja meg a gombot lépj be. A program felszólítások sorozatát fogja kapni:
- Először hozzon létre és ellenőrizze a jelmondatot. Ne feledje ezt a jelmondatot, mert újra szüksége lesz rá a privát kulcs eléréséhez.
- Most felkérést kap arra, hogy írja be azokat az információkat, amelyeket bele fog foglalni a CSR. Ezt az információt szintén a Megkülönböztető névvagy DN Az Gyakori név mezőt kötelező megadni az SSL.com-nak a CSR, de a többi nem kötelező. Ha ki szeretne hagyni egy opcionális elemet, egyszerűen írja be lépj be amikor megjelenik:
- A Ország neve (opcionális) kétbetűs ország kód.
- A Helység neve mező (opcionális) az Ön városához tartozik.
- A Szervezet neve mező (opcionális) a vállalat vagy szervezet nevére vonatkozik.
- A Gyakori név mező (kötelező) a Teljesen minősített domain név (FQDN) a weboldalon ez a tanúsítvány védi.
- E-mail címe (Opcionális)
- A Kihívás jelszava A mező nem kötelező, és ki is hagyható.
A folyamat befejezése után visszatér a parancssorba. Nem fog értesítést kapni arról, hogy az Ön CSR sikeresen létrehozva.
ECDSA
ECDSA magánkulcs létrehozása a CSR, meg kell hívnia egy második OpenSSL segédprogramot az ECDSA kulcs paramétereinek előállításához.
Ez az OpenSSL parancs létrehoz egy paraméterfájlt egy 256 bites ECDSA kulcshoz:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
futtatja az openssl segédprogramját a magánkulcs generálásához.-genparam
paraméterfájlt generál egy privát kulcs helyett. Ön is létrehozhat egy privát kulcsot, de a paraméterfájl felhasználásával generálhatja a kulcsot CSR biztosítja, hogy jelszót kérjen.-algorithm ec
meghatároz egy elliptikus görbe algoritmust.-pkeyopt ec_paramgen_curve:P-256
egy 256 bites görbét választ. Ha egy 384 bites görbét szeretne, akkor változtassa meg a vastagbél utáni résztP-384
.-out ECPARAM.pem
megadja a paraméterfájl elérési útját és fájlnevét.
Most adja meg a paraméterfájlt a CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
A parancs ugyanaz, mint amit a fenti RSA példában használtunk, de -newkey RSA:2048
helyébe a -newkey ec:ECPARAM.pem
. Mint korábban, a rendszer jelszó megadására és megkülönböztetett névre vonatkozó információkat fog kérni a CSR.
Ha kívánja, az átirányítás segítségével a két OpenSSL parancsot egy sorba egyesítheti, kihagyva a paraméterfájl létrehozását, az alábbiak szerint:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Következő Lépései
A tanúsítvány telepítésével kapcsolatos további információkért, olvassa el itt, kötéshez IIS 10-el, itt olvasható.