Denne opplæringen vil vise deg hvordan manuelt genererer en Forespørsel om sertifikatsignering (eller CSR) i et Apache- eller Nginx-nettvertsmiljø som bruker OpenSSL. Klikk her. for en veiledning om bestilling av sertifikater, eller her. for mer informasjon om hvordan du installerer ditt nye SSL.com-sertifikat.
For flere nyttige veiledninger og det siste innen cybersikkerhetsnyheter, registrer deg for SSL.coms nyhetsbrev her:
Video
OpenSSL er en veldig nyttig åpen kildekode-kommandolinjeverktøysett for å jobbe med X.509 sertifikater, sertifikatsigneringsforespørsler (CSRs), og kryptografiske nøkler. Hvis du bruker en UNIX-variant som Linux eller macOS, er sannsynligvis OpenSSL allerede installert på datamaskinen din. Hvis du vil bruke OpenSSL på Windows, kan du aktivere Windows 10s Linux-delsystem eller installer Cygwin.
I disse instruksjonene skal vi bruke OpenSSL-er req
verktøy for å generere både den private nøkkelen og CSR i en kommando. Å generere den private nøkkelen på denne måten vil sikre at du blir bedt om en passordfrase for å beskytte den private nøkkelen. I alle kommandoeksemplene som vises, bytter du ut filnavnene som vises i ALLE CAPS med de faktiske banene og filnavnene du vil bruke. (For eksempel kan du bytte ut PRIVATEKEY.key
med /private/etc/apache2/server.key
i et macOS Apache-miljø.) Dette gjør det mulig å generere begge deler RSA og ECDSA nøkler.
RSA
OpenSSL-kommandoen nedenfor genererer en 2048-bit RSA privat nøkkel og CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
La oss bryte kommandoen:
openssl
er kommandoen for å kjøre OpenSSL.req
er OpenSSL-verktøyet for å generere en CSR.-newkey rsa:2048
forteller OpenSSL å generere en ny 2048-biters RSA privatnøkkel. Hvis du foretrekker en 4096-bit nøkkel, kan du endre dette tallet til4096
.-keyout PRIVATEKEY.key
angir hvor den private nøkkelfilen skal lagres.-out MYCSR.csr
angir hvor du skal lagre CSR filen.- Husk å bruke dine egne stier og filnavn for den private nøkkelen og med disse to siste elementene CSR, ikke plassholderne.
Etter å ha skrevet kommandoen, trykk skriv. Du vil bli presentert en serie med spørsmål:
- Opprett og bekreft først en passordfrase. Husk denne passordfrasen fordi du vil trenge den igjen for å få tilgang til din private nøkkel.
- Du blir nå bedt om å oppgi informasjonen som vil bli inkludert i din CSR. Denne informasjonen er også kjent som Distinguished Nameeller DN. De Vanlig navn felt kreves av SSL.com når du sender inn ditt CSR, men de andre er valgfrie. Hvis du vil hoppe over et valgfritt element, skriver du ganske enkelt skriv når det vises:
- De Landsnavn (valgfritt) tar en to-bokstav landskode.
- De Sted Navn felt (valgfritt) er for byen eller byen din.
- De Organisasjonens navn felt (valgfritt) er for navnet på din bedrift eller organisasjon.
- De Vanlig navn feltet (obligatorisk) brukes for Fullt kvalifisert domenenavn (FQDN) av nettstedet dette sertifikatet vil beskytte.
- Epostadresse (om du har)
- De Utfordre passord feltet er valgfritt og kan også hoppes over.
Når denne prosessen er fullført, vil du bli returnert til en ledetekst. Du vil ikke motta noe varsel om at ditt CSR ble opprettet.
ECDSA
Å opprette en ECDSA privat nøkkel med din CSR, må du påkalle et nytt OpenSSL-verktøy for å generere parametrene for ECDSA-nøkkelen.
Denne OpenSSL-kommandoen vil generere en parameterfil for en 256-biters ECDSA-nøkkel:
openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
kjører openssls verktøy for generering av privat nøkkel.-genparam
genererer en parameterfil i stedet for en privat nøkkel. Du kan også generere en privat nøkkel, men bruke parameterfilen når du genererer nøkkelen og CSR sikrer at du blir bedt om en passordfrase.-algorithm ec
spesifiserer en elliptisk kurvealgoritme.-pkeyopt ec_paramgen_curve:P-256
velger en 256-bits kurve. Hvis du foretrekker en 384-biters kurve, bytter du delen etter tykktarmen tilP-384
.-out ECPARAM.pem
gir en bane og filnavn for parameterfilen.
Nå angir du parameterfilen når du genererer CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Kommandoen er den samme som vi brukte i RSA-eksemplet ovenfor, men -newkey RSA:2048
er erstattet med -newkey ec:ECPARAM.pem
. Som før vil du bli bedt om å gi en passord og informasjon om utmerket navn for CSR.
Hvis du ønsker det, kan du bruke omdirigering til å kombinere de to OpenSSL-kommandoene i en linje, og hoppe over genereringen av en parameterfil, som følger:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
neste Steps
For mer informasjon om installering av sertifikatet, les her, for binding med IIS 10, les her.