Secara Manual Menghasilkan Permintaan Penandatanganan Sertifikat (CSR) Menggunakan OpenSSL

Tim Dukungan SSL

tahun 2 lalu

Tutorial ini akan menunjukkan cara menghasilkan secara manual Permintaan Penandatanganan Sertifikat (Atau CSR) di lingkungan hosting web Apache atau Nginx menggunakan OpenSSL. Klik di sini untuk tutorial tentang pemesanan sertifikat, atau di sini untuk informasi lebih lanjut tentang cara memasang sertifikat SSL.com baru Anda.

Untuk petunjuk lebih bermanfaat dan berita keamanan siber terbaru, daftar buletin SSL.com di sini:

Video

Apa itu OpenSSL?
OpenSSL adalah toolkit baris perintah sumber terbuka yang sangat berguna untuk bekerja dengannya X.509 sertifikat, permintaan penandatanganan sertifikat (CSRs), dan kunci kriptografi. Jika Anda menggunakan varian UNIX seperti Linux atau macOS, OpenSSL mungkin sudah diinstal di komputer Anda. Jika Anda ingin menggunakan OpenSSL di Windows, Anda dapat mengaktifkan Subsistem Linux Windows 10 atau instal Cygwin.

Dalam instruksi ini, kita akan menggunakan OpenSSL req utilitas untuk menghasilkan kunci pribadi dan CSR dalam satu perintah. Membuat kunci pribadi dengan cara ini akan memastikan bahwa Anda akan diminta untuk memasukkan frasa sandi untuk melindungi kunci pribadi. Di semua contoh perintah yang ditampilkan, ganti nama file yang diperlihatkan dalam SEMUA CAPS dengan jalur dan nama file aktual yang ingin Anda gunakan. (Misalnya, Anda mungkin mengganti PRIVATEKEY.key dengan /private/etc/apache2/server.key dalam lingkungan Apache macOS.) Cara ini mencakup pembuatan keduanya RSA dan ECDSA kunci.

SSL.com menyediakan luas. variasi dari SSL /TLS sertifikat server untuk situs web HTTPS.

BANDINGKAN SSL /TLS SERTIFIKAT

RSA

Perintah OpenSSL di bawah ini akan menghasilkan kunci pribadi RSA 2048-bit dan CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Mari kita hancurkan perintahnya:

openssl adalah perintah untuk menjalankan OpenSSL.
req adalah utilitas OpenSSL untuk menghasilkan file CSR.
-newkey rsa:2048 memberi tahu OpenSSL untuk membuat kunci pribadi RSA 2048-bit baru. Jika Anda lebih suka kunci 4096-bit, Anda dapat mengubah nomor ini menjadi 4096.
-keyout PRIVATEKEY.key menentukan tempat untuk menyimpan file kunci pribadi.
-out MYCSR.csr menentukan tempat untuk menyimpan CSR file.
Dengan dua item terakhir ini, ingatlah untuk menggunakan jalur dan nama file Anda sendiri untuk kunci pribadi dan CSR, bukan placeholder.

Setelah mengetik perintah, tekan Enter. Anda akan diberi serangkaian konfirmasi:

Pertama buat dan verifikasi frase sandi. Ingat frasa sandi ini karena Anda akan memerlukannya lagi untuk mengakses kunci pribadi Anda.
Anda sekarang akan diminta untuk memasukkan informasi yang akan dimasukkan ke dalam Anda CSR. Informasi ini juga dikenal sebagai Nama yang terhormat, atau DN. itu Nama yang umum bidang diperlukan oleh SSL.com saat mengirimkan CSR, tetapi yang lain adalah opsional. Jika Anda ingin melewatkan item opsional, cukup ketik Enter ketika muncul:
- Grafik Nama negara (opsional) membutuhkan dua huruf Kode negara.
- Grafik Nama Daerah bidang (opsional) adalah untuk kota Anda.
- Grafik Nama Organisasi field (opsional) adalah untuk nama perusahaan atau organisasi Anda.
- Grafik Nama yang umum bidang (wajib) digunakan untuk Nama Domain Berkualitas Penuh (FQDN) dari situs web sertifikat ini akan melindungi.
- Alamat email (Opsional)
- Grafik Sandi Tantangan bidang ini opsional dan dapat dilewati juga.

Setelah menyelesaikan proses ini, Anda akan kembali ke command prompt. Anda tidak akan menerima pemberitahuan apa pun dari Anda CSR berhasil dibuat.

Pergi ke atas

PAUD

Untuk membuat kunci pribadi ECDSA dengan Anda CSR, Anda perlu mengaktifkan utilitas OpenSSL kedua untuk menghasilkan parameter untuk kunci ECDSA.

Perintah OpenSSL ini akan menghasilkan file parameter untuk kunci ECDSA 256-bit:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -keluar dari ECPARAM.pem

openssl genpkey menjalankan utilitas openssl untuk pembuatan kunci privat.
-genparam menghasilkan file parameter alih-alih kunci pribadi. Anda juga bisa membuat kunci pribadi, tetapi menggunakan file parameter saat membuat kunci dan CSR memastikan bahwa Anda akan diminta untuk memasukkan frasa sandi.
-algorithm ec menentukan algoritma kurva elips.
-pkeyopt ec_paramgen_curve:P-256 memilih kurva 256-bit. Jika Anda lebih suka kurva 384-bit, ubah porsi setelah titik dua menjadi P-384.
-out ECPARAM.pem menyediakan path dan nama file untuk file parameter.

Sekarang, tentukan file parameter Anda saat membuat file CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Perintahnya sama seperti yang kita gunakan dalam contoh RSA di atas, tetapi -newkey RSA:2048 telah diganti dengan -newkey ec:ECPARAM.pem. Seperti sebelumnya, Anda akan diminta untuk memasukkan frasa sandi dan informasi Nama Terhormat untuk CSR.

Jika mau, Anda dapat menggunakan redirection untuk menggabungkan dua perintah OpenSSL menjadi satu baris, melewati pembuatan file parameter, sebagai berikut:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Selanjutnya Tangga

Untuk informasi lebih lanjut tentang menginstal sertifikat Anda, baca di sini, untuk mengikat dengan IIS 10, baca disini.

Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini. Anda juga dapat menemukan jawaban atas banyak pertanyaan dukungan umum di kami dasar pengetahuan.