Deze tutorial laat je zien hoe je handmatig een Verzoek tot ondertekening van een certificaat (of CSR) in een Apache- of Nginx-webhostingomgeving met OpenSSL. Klik hier. voor een tutorial over het bestellen van certificaten, of hier. voor meer informatie over het installeren van uw nieuwe SSL.com-certificaat.
Voor meer handige how-to's en het laatste nieuws over cyberbeveiliging, kunt u zich hier aanmelden voor de SSL.com-nieuwsbrief:
Video
OpenSSL is een zeer nuttige open-source opdrachtregel-toolkit om mee te werken X.509 certificaten, aanvragen voor certificaatondertekening (CSRs) en cryptografische sleutels. Als u een UNIX-variant zoals Linux of macOS gebruikt, is OpenSSL waarschijnlijk al op uw computer geïnstalleerd. Als u OpenSSL op Windows wilt gebruiken, kunt u Het Linux-subsysteem van Windows 10 of installeer Cygwin.
In deze instructies gaan we OpenSSL's gebruiken req hulpprogramma om zowel de privésleutel als CSR in één opdracht. Als u op deze manier de privésleutel genereert, zorgt u ervoor dat u wordt gevraagd om een wachtwoordzin om de privésleutel te beschermen. Vervang in alle weergegeven opdrachtvoorbeelden de bestandsnamen die in HOOFDLETTERS worden weergegeven door de daadwerkelijke paden en bestandsnamen die u wilt gebruiken. (U kunt bijvoorbeeld PRIVATEKEY.key Met /private/etc/apache2/server.key in een macOS Apache-omgeving.) Deze how-to behandelt het genereren van beide RSA en ECDSA sleutels.
RSA
De onderstaande OpenSSL-opdracht genereert een 2048-bits RSA-privésleutel en CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Laten we het commando afbreken:
opensslis het commando om OpenSSL uit te voeren.reqis het OpenSSL-hulpprogramma voor het genereren van een CSR.-newkey rsa:2048vertelt OpenSSL om een nieuwe 2048-bit RSA private key te genereren. Als u de voorkeur geeft aan een 4096-bits sleutel, kunt u dit nummer wijzigen in4096.-keyout PRIVATEKEY.keyspecificeert waar het privésleutelbestand moet worden opgeslagen.-out MYCSR.csrspecificeert waar het CSR bestand.- Denk eraan bij deze laatste twee items uw eigen paden en bestandsnamen te gebruiken voor de privésleutel en CSR, niet de tijdelijke aanduidingen.
Druk na het typen van de opdracht op invoeren. U krijgt een reeks prompts te zien:
- Maak en verifieer eerst een wachtwoordzin. Onthoud deze wachtwoordzin, want u hebt deze opnieuw nodig om toegang te krijgen tot uw privésleutel.
- U wordt nu gevraagd om de informatie in te voeren die in uw CSR. Deze informatie wordt ook wel de Uitgesproken naamof DN. De Gemeenschappelijke naam veld is vereist door SSL.com bij het indienen van uw CSR, maar de andere zijn optioneel. Als u een optioneel item wilt overslaan, typt u gewoon invoeren wanneer het verschijnt:
- De Naam van het land (optioneel) duurt twee letters Landcode.
- De Plaatsnaam veld (optioneel) is voor uw stad of gemeente.
- De Naam van de Organisatie veld (optioneel) is voor de naam van uw bedrijf of organisatie.
- De Gemeenschappelijke naam veld (verplicht) wordt gebruikt voor de Volledig gekwalificeerde domeinnaam (FQDN) van de website die dit certificaat zal beschermen.
- E-mailadres (Optioneel)
- De Wachtwoord voor uitdaging veld is optioneel en kan ook worden overgeslagen.
Na voltooiing van dit proces keert u terug naar een opdrachtprompt. U ontvangt geen melding dat uw CSR is gemaakt.
ECDSA
Om een ECDSA-privésleutel aan te maken met uw CSR, moet u een tweede OpenSSL-hulpprogramma aanroepen om de parameters voor de ECDSA-sleutel te genereren.
Deze OpenSSL-opdracht genereert een parameterbestand voor een 256-bits ECDSA-sleutel:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeyvoert openssl's hulpprogramma uit voor het genereren van persoonlijke sleutels.-genparamgenereert een parameterbestand in plaats van een privésleutel. U kunt ook een privésleutel genereren, maar met behulp van het parameterbestand bij het genereren van de sleutel en CSR zorgt ervoor dat u wordt gevraagd om een wachtwoordzin.-algorithm ecspecificeert een algoritme voor elliptische krommen.-pkeyopt ec_paramgen_curve:P-256kiest een 256-bit curve. Als u de voorkeur geeft aan een 384-bits curve, wijzigt u het gedeelte na de dubbele punt inP-384.-out ECPARAM.pemgeeft een pad en bestandsnaam voor het parameterbestand.
Specificeer nu uw parameterbestand bij het genereren van het CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Het commando is hetzelfde als in het bovenstaande RSA-voorbeeld, maar -newkey RSA:2048 is vervangen door -newkey ec:ECPARAM.pem. Net als voorheen wordt u gevraagd om een wachtwoordzin en Distinguished Name-informatie voor het CSR.
Als u wilt, kunt u omleiding gebruiken om de twee OpenSSL-opdrachten op één regel te combineren, waarbij u het genereren van een parameterbestand als volgt overslaat:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Volgende Stappen
Voor meer informatie over het installeren van uw certificaat, lees hier, voor binding met IIS 10, lees hier.
