Handmatig een aanvraag voor certificaatondertekening genereren (CSR) OpenSSL gebruiken

SSL-ondersteuningsteam

2 jaar geleden

Deze tutorial laat je zien hoe je handmatig een Verzoek tot ondertekening van een certificaat (of CSR) in een Apache- of Nginx-webhostingomgeving met OpenSSL. Klik hier voor een tutorial over het bestellen van certificaten, of hier voor meer informatie over het installeren van uw nieuwe SSL.com-certificaat.

Voor meer handige how-to's en het laatste nieuws over cyberbeveiliging, kunt u zich hier aanmelden voor de SSL.com-nieuwsbrief:

Video

Wat is OpenSSL?
OpenSSL is een zeer nuttige open-source opdrachtregel-toolkit om mee te werken X.509 certificaten, aanvragen voor certificaatondertekening (CSRs) en cryptografische sleutels. Als u een UNIX-variant zoals Linux of macOS gebruikt, is OpenSSL waarschijnlijk al op uw computer geïnstalleerd. Als u OpenSSL op Windows wilt gebruiken, kunt u Het Linux-subsysteem van Windows 10 of installeer Cygwin.

In deze instructies gaan we OpenSSL's gebruiken req hulpprogramma om zowel de privésleutel als CSR in één opdracht. Als u op deze manier de privésleutel genereert, zorgt u ervoor dat u wordt gevraagd om een wachtwoordzin om de privésleutel te beschermen. Vervang in alle weergegeven opdrachtvoorbeelden de bestandsnamen die in HOOFDLETTERS worden weergegeven door de daadwerkelijke paden en bestandsnamen die u wilt gebruiken. (U kunt bijvoorbeeld PRIVATEKEY.key Met /private/etc/apache2/server.key in een macOS Apache-omgeving.) Deze how-to behandelt het genereren van beide RSA en ECDSA sleutels.

SSL.com biedt een breed. verscheidenheid aan SSL /TLS server certificaten voor HTTPS-websites.

VERGELIJK SSL /TLS CERTIFICATEN

RSA

De onderstaande OpenSSL-opdracht genereert een 2048-bits RSA-privésleutel en CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Laten we het commando afbreken:

openssl is het commando om OpenSSL uit te voeren.
req is het OpenSSL-hulpprogramma voor het genereren van een CSR.
-newkey rsa:2048 vertelt OpenSSL om een nieuwe 2048-bit RSA private key te genereren. Als u de voorkeur geeft aan een 4096-bits sleutel, kunt u dit nummer wijzigen in 4096.
-keyout PRIVATEKEY.key specificeert waar het privésleutelbestand moet worden opgeslagen.
-out MYCSR.csr specificeert waar het CSR bestand.
Denk eraan bij deze laatste twee items uw eigen paden en bestandsnamen te gebruiken voor de privésleutel en CSR, niet de tijdelijke aanduidingen.

Druk na het typen van de opdracht op invoeren. U krijgt een reeks prompts te zien:

Maak en verifieer eerst een wachtwoordzin. Onthoud deze wachtwoordzin, want u hebt deze opnieuw nodig om toegang te krijgen tot uw privésleutel.
U wordt nu gevraagd om de informatie in te voeren die in uw CSR. Deze informatie wordt ook wel de Uitgesproken naamof DN. De Gemeenschappelijke naam veld is vereist door SSL.com bij het indienen van uw CSR, maar de andere zijn optioneel. Als u een optioneel item wilt overslaan, typt u gewoon invoeren wanneer het verschijnt:
- De Naam van het land (optioneel) duurt twee letters Landcode.
- De Plaatsnaam veld (optioneel) is voor uw stad of gemeente.
- De Naam van de Organisatie veld (optioneel) is voor de naam van uw bedrijf of organisatie.
- De Gemeenschappelijke naam veld (verplicht) wordt gebruikt voor de Volledig gekwalificeerde domeinnaam (FQDN) van de website die dit certificaat zal beschermen.
- E-mailadres (Optioneel)
- De Wachtwoord voor uitdaging veld is optioneel en kan ook worden overgeslagen.

Na voltooiing van dit proces keert u terug naar een opdrachtprompt. U ontvangt geen melding dat uw CSR is gemaakt.

Ga naar boven

ECDSA

Om een ECDSA-privésleutel aan te maken met uw CSR, moet u een tweede OpenSSL-hulpprogramma aanroepen om de parameters voor de ECDSA-sleutel te genereren.

Deze OpenSSL-opdracht genereert een parameterbestand voor een 256-bits ECDSA-sleutel:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem

openssl genpkey voert openssl's hulpprogramma uit voor het genereren van persoonlijke sleutels.
-genparam genereert een parameterbestand in plaats van een privésleutel. U kunt ook een privésleutel genereren, maar met behulp van het parameterbestand bij het genereren van de sleutel en CSR zorgt ervoor dat u wordt gevraagd om een wachtwoordzin.
-algorithm ec specificeert een algoritme voor elliptische krommen.
-pkeyopt ec_paramgen_curve:P-256 kiest een 256-bit curve. Als u de voorkeur geeft aan een 384-bits curve, wijzigt u het gedeelte na de dubbele punt in P-384.
-out ECPARAM.pem geeft een pad en bestandsnaam voor het parameterbestand.

Specificeer nu uw parameterbestand bij het genereren van het CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Het commando is hetzelfde als in het bovenstaande RSA-voorbeeld, maar -newkey RSA:2048 is vervangen door -newkey ec:ECPARAM.pem. Net als voorheen wordt u gevraagd om een wachtwoordzin en Distinguished Name-informatie voor het CSR.

Als u wilt, kunt u omleiding gebruiken om de twee OpenSSL-opdrachten op één regel te combineren, waarbij u het genereren van een parameterbestand als volgt overslaat:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Volgende Stappen

Voor meer informatie over het installeren van uw certificaat, lees hier, voor binding met IIS 10, lees hier.

Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechtsonder op deze pagina. U kunt ook antwoorden op veel voorkomende ondersteuningsvragen vinden in onze kennis basis.