Questo tutorial ti mostrerà come generare manualmente un Richiesta di firma del certificato (o CSR) in un ambiente di hosting Web Apache o Nginx utilizzando OpenSSL. Clic qui per un tutorial sull'ordinazione di certificati, o qui per ulteriori informazioni su come installare il tuo nuovo certificato SSL.com.
Per istruzioni più utili e le ultime notizie sulla sicurezza informatica, iscriviti alla newsletter di SSL.com qui:
Video
OpenSSL è un toolkit da riga di comando open source molto utile con cui lavorare X.509 certificati, richieste di firma certificati (CSRs) e chiavi crittografiche. Se stai utilizzando una variante UNIX come Linux o macOS, OpenSSL è probabilmente già installato sul tuo computer. Se desideri utilizzare OpenSSL su Windows, puoi abilitare Sottosistema Linux di Windows 10 o installare Cygwin.
In queste istruzioni, useremo OpenSSL req
utilità per generare sia la chiave privata che CSR in un comando. La generazione della chiave privata in questo modo garantirà la richiesta di una passphrase per proteggere la chiave privata. In tutti gli esempi di comandi mostrati, sostituisci i nomi dei file mostrati in TUTTI MAIUSC con i percorsi e i nomi dei file che desideri utilizzare. (Ad esempio, potresti sostituire PRIVATEKEY.key
con /private/etc/apache2/server.key
in un ambiente macOS Apache.) Questo how-to copre la generazione di entrambi RSA ed ECDSA chiavi.
RSA
Il comando OpenSSL seguente genererà una chiave privata RSA a 2048 bit e CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Analizziamo il comando:
openssl
è il comando per eseguire OpenSSL.req
è l'utilità OpenSSL per la generazione di un file CSR.-newkey rsa:2048
dice a OpenSSL di generare una nuova chiave privata RSA a 2048 bit. Se preferisci una chiave a 4096 bit, puoi modificare questo numero in4096
.-keyout PRIVATEKEY.key
specifica dove salvare il file della chiave privata.-out MYCSR.csr
specifica dove salvare il file CSR file.- Con questi ultimi due elementi, ricorda di utilizzare i tuoi percorsi e nomi di file per la chiave privata e CSR, non i segnaposto.
Dopo aver digitato il comando, premere entrare. Ti verrà presentato con una serie di istruzioni:
- Innanzitutto crea e verifica una passphrase. Ricorda questa passphrase perché ti servirà nuovamente per accedere alla tua chiave privata.
- Ti verrà ora richiesto di inserire le informazioni che verranno incluse nel tuo CSR. Questa informazione è anche conosciuta come Nome distinto, o DN. Nome comune è richiesto da SSL.com quando invia il tuo CSR, ma gli altri sono opzionali. Se desideri saltare un elemento opzionale, digita semplicemente entrare quando appare:
- Le Nome del paese (facoltativo) accetta due lettere prefisso internazionale.
- Le Nome località campo (facoltativo) è per la tua città o paese.
- Le Nome organizzazione il campo (facoltativo) è per il nome della tua azienda o organizzazione.
- Le Nome comune campo (obbligatorio) viene utilizzato per il Nome di dominio completo (FQDN) del sito Web che proteggerà questo certificato.
- Email (facoltativo)
- Le Password sfida il campo è facoltativo e può anche essere ignorato.
Al completamento di questo processo, si tornerà a un prompt dei comandi. Non riceverai alcuna notifica che il tuo CSR è stato creato con successo.
ECDSA
Per creare una chiave privata ECDSA con il tuo CSR, è necessario richiamare una seconda utilità OpenSSL per generare i parametri per la chiave ECDSA.
Questo comando OpenSSL genererà un file di parametri per una chiave ECDSA a 256 bit:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
esegue l'utilità di openssl per la generazione di chiavi private.-genparam
genera un file di parametri anziché una chiave privata. È inoltre possibile generare una chiave privata, ma utilizzando il file dei parametri durante la generazione della chiave e CSR assicura che ti venga richiesta una passphrase.-algorithm ec
specifica un algoritmo a curva ellittica.-pkeyopt ec_paramgen_curve:P-256
sceglie una curva a 256 bit. Se si preferisce una curva a 384 bit, modificare la porzione dopo i due punti inP-384
.-out ECPARAM.pem
fornisce un percorso e un nome file per il file dei parametri.
Ora, specifica il tuo file di parametri durante la generazione di CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Il comando è lo stesso che abbiamo usato nell'esempio RSA sopra, ma -newkey RSA:2048
è stato sostituito con -newkey ec:ECPARAM.pem
. Come in precedenza, ti verranno richiesti una passphrase e le informazioni sul nome distinto per il CSR.
Se lo desideri, puoi utilizzare il reindirizzamento per combinare i due comandi OpenSSL in una riga, saltando la generazione di un file di parametri, come segue:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Avanti Passi
Per ulteriori informazioni sull'installazione del certificato, leggi qui, per il binding con IIS 10, leggere qui.