Generare manualmente una richiesta di firma del certificato (CSR) Utilizzando OpenSSL

Team di supporto SSL

anni fa, 2

Questo tutorial ti mostrerà come generare manualmente un Richiesta di firma del certificato (o CSR) in un ambiente di hosting Web Apache o Nginx utilizzando OpenSSL. Clic qui per un tutorial sull'ordinazione di certificati, o qui per ulteriori informazioni su come installare il tuo nuovo certificato SSL.com.

Per istruzioni più utili e le ultime notizie sulla sicurezza informatica, iscriviti alla newsletter di SSL.com qui:

Video

Cos'è OpenSSL?
OpenSSL è un toolkit da riga di comando open source molto utile con cui lavorare X.509 certificati, richieste di firma certificati (CSRs) e chiavi crittografiche. Se stai utilizzando una variante UNIX come Linux o macOS, OpenSSL è probabilmente già installato sul tuo computer. Se desideri utilizzare OpenSSL su Windows, puoi abilitare Sottosistema Linux di Windows 10 o installare Cygwin.

In queste istruzioni, useremo OpenSSL req utilità per generare sia la chiave privata che CSR in un comando. La generazione della chiave privata in questo modo garantirà la richiesta di una passphrase per proteggere la chiave privata. In tutti gli esempi di comandi mostrati, sostituisci i nomi dei file mostrati in TUTTI MAIUSC con i percorsi e i nomi dei file che desideri utilizzare. (Ad esempio, potresti sostituire PRIVATEKEY.key con /private/etc/apache2/server.key in un ambiente macOS Apache.) Questo how-to copre la generazione di entrambi RSA ed ECDSA chiavi.

SSL.com fornisce un'ampia. varietà di SSL /TLS certificati del server per i siti Web HTTPS.

CONFRONTA SSL /TLS CERTIFICATI

RSA

Il comando OpenSSL seguente genererà una chiave privata RSA a 2048 bit e CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Analizziamo il comando:

openssl è il comando per eseguire OpenSSL.
req è l'utilità OpenSSL per la generazione di un file CSR.
-newkey rsa:2048 dice a OpenSSL di generare una nuova chiave privata RSA a 2048 bit. Se preferisci una chiave a 4096 bit, puoi modificare questo numero in 4096.
-keyout PRIVATEKEY.key specifica dove salvare il file della chiave privata.
-out MYCSR.csr specifica dove salvare il file CSR file.
Con questi ultimi due elementi, ricorda di utilizzare i tuoi percorsi e nomi di file per la chiave privata e CSR, non i segnaposto.

Dopo aver digitato il comando, premere entrare. Ti verrà presentato con una serie di istruzioni:

Innanzitutto crea e verifica una passphrase. Ricorda questa passphrase perché ti servirà nuovamente per accedere alla tua chiave privata.
Ti verrà ora richiesto di inserire le informazioni che verranno incluse nel tuo CSR. Questa informazione è anche conosciuta come Nome distinto, o DN. Nome comune è richiesto da SSL.com quando invia il tuo CSR, ma gli altri sono opzionali. Se desideri saltare un elemento opzionale, digita semplicemente entrare quando appare:
- I Nome del paese (facoltativo) accetta due lettere prefisso internazionale.
- I Nome località campo (facoltativo) è per la tua città o paese.
- I Nome organizzazione il campo (facoltativo) è per il nome della tua azienda o organizzazione.
- I Nome comune campo (obbligatorio) viene utilizzato per il Nome di dominio completo (FQDN) del sito Web che proteggerà questo certificato.
- Email (facoltativo)
- I Password sfida il campo è facoltativo e può anche essere ignorato.

Al completamento di questo processo, si tornerà a un prompt dei comandi. Non riceverai alcuna notifica che il tuo CSR è stato creato con successo.

Inizio pagina

ECDSA

Per creare una chiave privata ECDSA con il tuo CSR, è necessario richiamare una seconda utilità OpenSSL per generare i parametri per la chiave ECDSA.

Questo comando OpenSSL genererà un file di parametri per una chiave ECDSA a 256 bit:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem

openssl genpkey esegue l'utilità di openssl per la generazione di chiavi private.
-genparam genera un file di parametri anziché una chiave privata. È inoltre possibile generare una chiave privata, ma utilizzando il file dei parametri durante la generazione della chiave e CSR assicura che ti venga richiesta una passphrase.
-algorithm ec specifica un algoritmo a curva ellittica.
-pkeyopt ec_paramgen_curve:P-256 sceglie una curva a 256 bit. Se si preferisce una curva a 384 bit, modificare la porzione dopo i due punti in P-384.
-out ECPARAM.pem fornisce un percorso e un nome file per il file dei parametri.

Ora, specifica il tuo file di parametri durante la generazione di CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Il comando è lo stesso che abbiamo usato nell'esempio RSA sopra, ma -newkey RSA:2048 è stato sostituito con -newkey ec:ECPARAM.pem. Come in precedenza, ti verranno richiesti una passphrase e le informazioni sul nome distinto per il CSR.

Se lo desideri, puoi utilizzare il reindirizzamento per combinare i due comandi OpenSSL in una riga, saltando la generazione di un file di parametri, come segue:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Avanti Passi

Per ulteriori informazioni sull'installazione del certificato, leggi qui, per il binding con IIS 10, leggere qui.

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.