拠点鍵と証明書は、次のXNUMXつのスクリプトによって管理されます。 genkey
, getca
, genreq
。 これらは通常の拠点の分布の一部です。 キーと証明書はディレクトリに保存されます $SSLTOP/private/
ここで、 SSLTOP
通常は /usr/local/ssl
.
鍵ペアを生成し、 CSR サーバー用:
- ラン
genkey
、ホストまたは仮想ホストの名前を指定します。genkey hostname
を選択します。genkey
スクリプトは、キーファイルのファイル名と場所を表示し、 CSR それが生成するファイル:- 鍵ファイル:
/usr/local/www/sslhostname.key
- CSR ファイル:
/usr/local/www/sslhostname.cert
注: サーバーのキーがすでにある場合は、次を実行します。genreq [servername]
のみを生成する CSR. - 鍵ファイル:
- イベント 入力しますを選択します。
genkey
スクリプトは、既存のキーペアと証明書を上書きしないように注意を促します。 - プロンプトが表示されたら、キーサイズを入力します。使用可能な最大のキーサイズを使用することをお勧めします。
- プロンプトが表示されたら、ランダムなキーストロークを入力します。 カウンターがゼロに達したら停止し、
genkey
ビープ音。 このランダムデータは、一意の公開鍵と秘密鍵のペアを作成するために使用されます。 - プロンプトが表示されたら、次を入力します
Y
キーペアを作成し、 CSR. - CAについては、 その他.
- お住まいの国のXNUMX文字の国コードを入力してください。 正しいISO国コードを使用する必要があります。他の略語は認識されません。 私たちを参照してください 国コードのリスト あなたのものを見つけるために。
- 都道府県のフルネームを入力してください。 省略しないでください。
- 市、町、またはその他の地域の名前を入力します。
- 組織の名前を入力します。 これは、サーバー証明書を申請する組織の正式名です。
- 指定した組織内のユニットの名前を入力します。 これは通常、証明書の対象となるグループ/部門です。
- Webサイトの完全修飾ドメイン名を入力します。 (例えば、
www.mydomain.com
。)これはサイトの一般名として知られています。 - CSR 作成されたものは次のようになります:
-----新しい証明書の要求を開始----- MIIByDCCATECAQAwgYgxCzAJBgNVBAYTAlVTMREwDwYDVQQIEwhWaX ----------------その他のテキスト----------------- --- U20CbzA7Ur0YBqrnQdD2PnTv / XpHtAAr + M4oez == ----- END NEW CERTIFICATE REQUEST -----
- この時点で、キーファイルをバックアップし、 CSR 安全な場所に。 秘密鍵を紛失したり、パスワードを忘れたりすると、証明書をインストールできなくなります。