Tutorial ini akan menunjukkan cara menghasilkan secara manual Permintaan Penandatanganan Sertifikat (Atau CSR) di lingkungan hosting web Apache atau Nginx menggunakan OpenSSL. Klik di sini untuk tutorial tentang pemesanan sertifikat, atau di sini untuk informasi lebih lanjut tentang cara memasang sertifikat SSL.com baru Anda.
Untuk petunjuk lebih bermanfaat dan berita keamanan siber terbaru, daftar buletin SSL.com di sini:
Video
OpenSSL adalah toolkit baris perintah sumber terbuka yang sangat berguna untuk bekerja dengannya X.509 sertifikat, permintaan penandatanganan sertifikat (CSRs), dan kunci kriptografi. Jika Anda menggunakan varian UNIX seperti Linux atau macOS, OpenSSL mungkin sudah diinstal di komputer Anda. Jika Anda ingin menggunakan OpenSSL di Windows, Anda dapat mengaktifkan Subsistem Linux Windows 10 atau instal Cygwin.
Dalam instruksi ini, kita akan menggunakan OpenSSL req utilitas untuk menghasilkan kunci pribadi dan CSR dalam satu perintah. Membuat kunci pribadi dengan cara ini akan memastikan bahwa Anda akan diminta untuk memasukkan frasa sandi untuk melindungi kunci pribadi. Di semua contoh perintah yang ditampilkan, ganti nama file yang diperlihatkan dalam SEMUA CAPS dengan jalur dan nama file aktual yang ingin Anda gunakan. (Misalnya, Anda mungkin mengganti PRIVATEKEY.key dengan /private/etc/apache2/server.key dalam lingkungan Apache macOS.) Cara ini mencakup pembuatan keduanya RSA dan ECDSA kunci.
RSA
Perintah OpenSSL di bawah ini akan menghasilkan kunci pribadi RSA 2048-bit dan CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Mari kita hancurkan perintahnya:
openssladalah perintah untuk menjalankan OpenSSL.reqadalah utilitas OpenSSL untuk menghasilkan file CSR.-newkey rsa:2048memberi tahu OpenSSL untuk membuat kunci pribadi RSA 2048-bit baru. Jika Anda lebih suka kunci 4096-bit, Anda dapat mengubah nomor ini menjadi4096.-keyout PRIVATEKEY.keymenentukan tempat untuk menyimpan file kunci pribadi.-out MYCSR.csrmenentukan tempat untuk menyimpan CSR file.- Dengan dua item terakhir ini, ingatlah untuk menggunakan jalur dan nama file Anda sendiri untuk kunci pribadi dan CSR, bukan placeholder.
Setelah mengetik perintah, tekan Enter. Anda akan diberi serangkaian konfirmasi:
- Pertama buat dan verifikasi frase sandi. Ingat frasa sandi ini karena Anda akan memerlukannya lagi untuk mengakses kunci pribadi Anda.
- Anda sekarang akan diminta untuk memasukkan informasi yang akan dimasukkan ke dalam Anda CSR. Informasi ini juga dikenal sebagai Nama yang terhormat, atau DN. itu Nama yang umum bidang diperlukan oleh SSL.com saat mengirimkan CSR, tetapi yang lain adalah opsional. Jika Anda ingin melewatkan item opsional, cukup ketik Enter ketika muncul:
- Grafik Nama negara (opsional) membutuhkan dua huruf Kode negara.
- Grafik Nama Daerah bidang (opsional) adalah untuk kota Anda.
- Grafik Nama Organisasi field (opsional) adalah untuk nama perusahaan atau organisasi Anda.
- Grafik Nama yang umum bidang (wajib) digunakan untuk Nama Domain Berkualitas Penuh (FQDN) dari situs web sertifikat ini akan melindungi.
- Alamat email (Opsional)
- Grafik Sandi Tantangan bidang ini opsional dan dapat dilewati juga.
Setelah menyelesaikan proses ini, Anda akan kembali ke command prompt. Anda tidak akan menerima pemberitahuan apa pun dari Anda CSR berhasil dibuat.
PAUD
Untuk membuat kunci pribadi ECDSA dengan Anda CSR, Anda perlu mengaktifkan utilitas OpenSSL kedua untuk menghasilkan parameter untuk kunci ECDSA.
Perintah OpenSSL ini akan menghasilkan file parameter untuk kunci ECDSA 256-bit:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -keluar dari ECPARAM.pem
openssl genpkeymenjalankan utilitas openssl untuk pembuatan kunci privat.-genparammenghasilkan file parameter alih-alih kunci pribadi. Anda juga bisa membuat kunci pribadi, tetapi menggunakan file parameter saat membuat kunci dan CSR memastikan bahwa Anda akan diminta untuk memasukkan frasa sandi.-algorithm ecmenentukan algoritma kurva elips.-pkeyopt ec_paramgen_curve:P-256memilih kurva 256-bit. Jika Anda lebih suka kurva 384-bit, ubah porsi setelah titik dua menjadiP-384.-out ECPARAM.pemmenyediakan path dan nama file untuk file parameter.
Sekarang, tentukan file parameter Anda saat membuat file CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Perintahnya sama seperti yang kita gunakan dalam contoh RSA di atas, tetapi -newkey RSA:2048 telah diganti dengan -newkey ec:ECPARAM.pem. Seperti sebelumnya, Anda akan diminta untuk memasukkan frasa sandi dan informasi Nama Terhormat untuk CSR.
Jika mau, Anda dapat menggunakan redirection untuk menggabungkan dua perintah OpenSSL menjadi satu baris, melewati pembuatan file parameter, sebagai berikut:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Selanjutnya Tangga
Untuk informasi lebih lanjut tentang menginstal sertifikat Anda, baca di sini, untuk mengikat dengan IIS 10, baca disini.
