Generer en forespørsel om signeringssignal manuelt (CSR) Bruke OpenSSL

SSL-støtteteam

2 år siden

Denne opplæringen vil vise deg hvordan manuelt genererer en Forespørsel om sertifikatsignering (eller CSR) i et Apache- eller Nginx-nettvertsmiljø som bruker OpenSSL. Klikk her. for en veiledning om bestilling av sertifikater, eller her. for mer informasjon om hvordan du installerer ditt nye SSL.com-sertifikat.

For flere nyttige veiledninger og det siste innen cybersikkerhetsnyheter, registrer deg for SSL.coms nyhetsbrev her:

video

Hva er OpenSSL?
OpenSSL er en veldig nyttig åpen kildekode-kommandolinjeverktøysett for å jobbe med X.509 sertifikater, sertifikatsigneringsforespørsler (CSRs), og kryptografiske nøkler. Hvis du bruker en UNIX-variant som Linux eller macOS, er sannsynligvis OpenSSL allerede installert på datamaskinen din. Hvis du vil bruke OpenSSL på Windows, kan du aktivere Windows 10s Linux-delsystem eller installer Cygwin.

I disse instruksjonene skal vi bruke OpenSSL-er req verktøy for å generere både den private nøkkelen og CSR i en kommando. Å generere den private nøkkelen på denne måten vil sikre at du blir bedt om en passordfrase for å beskytte den private nøkkelen. I alle kommandoeksemplene som vises, bytter du ut filnavnene som vises i ALLE CAPS med de faktiske banene og filnavnene du vil bruke. (For eksempel kan du bytte ut PRIVATEKEY.key med /private/etc/apache2/server.key i et macOS Apache-miljø.) Dette gjør det mulig å generere begge deler RSA og ECDSA nøkler.

SSL.com tilbyr et bredt utvalg. utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.

SAMMENLIGN SSL /TLS SERTIFIKATER

RSA

OpenSSL-kommandoen nedenfor genererer en 2048-bit RSA privat nøkkel og CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

La oss bryte kommandoen:

openssl er kommandoen for å kjøre OpenSSL.
req er OpenSSL-verktøyet for å generere en CSR.
-newkey rsa:2048 forteller OpenSSL å generere en ny 2048-biters RSA privatnøkkel. Hvis du foretrekker en 4096-bit nøkkel, kan du endre dette tallet til 4096.
-keyout PRIVATEKEY.key angir hvor den private nøkkelfilen skal lagres.
-out MYCSR.csr angir hvor du skal lagre CSR filen.
Husk å bruke dine egne stier og filnavn for den private nøkkelen og med disse to siste elementene CSR, ikke plassholderne.

Etter å ha skrevet kommandoen, trykk skriv. Du vil bli presentert en serie med spørsmål:

Opprett og bekreft først en passordfrase. Husk denne passordfrasen fordi du vil trenge den igjen for å få tilgang til din private nøkkel.
Du blir nå bedt om å oppgi informasjonen som vil bli inkludert i din CSR. Denne informasjonen er også kjent som Distinguished Nameeller DN. De Vanlig navn felt kreves av SSL.com når du sender inn ditt CSR, men de andre er valgfrie. Hvis du vil hoppe over et valgfritt element, skriver du ganske enkelt skriv når det vises:
- De Landsnavn (valgfritt) tar en to-bokstav landskode.
- De Sted Navn felt (valgfritt) er for byen eller byen din.
- De Organisasjonens navn felt (valgfritt) er for navnet på din bedrift eller organisasjon.
- De Vanlig navn feltet (obligatorisk) brukes for Fullt kvalifisert domenenavn (FQDN) av nettstedet dette sertifikatet vil beskytte.
- Epostadresse (om du har)
- De Utfordre passord feltet er valgfritt og kan også hoppes over.

Når denne prosessen er fullført, vil du bli returnert til en ledetekst. Du vil ikke motta noe varsel om at ditt CSR ble opprettet.

Gå til toppen

ECDSA

Å opprette en ECDSA privat nøkkel med din CSR, må du påkalle et nytt OpenSSL-verktøy for å generere parametrene for ECDSA-nøkkelen.

Denne OpenSSL-kommandoen vil generere en parameterfil for en 256-biters ECDSA-nøkkel:

openssl genpkey -genparam -algoritme ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem

openssl genpkey kjører openssls verktøy for generering av privat nøkkel.
-genparam genererer en parameterfil i stedet for en privat nøkkel. Du kan også generere en privat nøkkel, men bruke parameterfilen når du genererer nøkkelen og CSR sikrer at du blir bedt om en passordfrase.
-algorithm ec spesifiserer en elliptisk kurvealgoritme.
-pkeyopt ec_paramgen_curve:P-256 velger en 256-bits kurve. Hvis du foretrekker en 384-biters kurve, bytter du delen etter tykktarmen til P-384.
-out ECPARAM.pem gir en bane og filnavn for parameterfilen.

Nå angir du parameterfilen når du genererer CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Kommandoen er den samme som vi brukte i RSA-eksemplet ovenfor, men -newkey RSA:2048 er erstattet med -newkey ec:ECPARAM.pem. Som før vil du bli bedt om å gi en passord og informasjon om utmerket navn for CSR.

Hvis du ønsker det, kan du bruke omdirigering til å kombinere de to OpenSSL-kommandoene i en linje, og hoppe over genereringen av en parameterfil, som følger:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

neste Steps

For mer informasjon om installering av sertifikatet, les her, for binding med IIS 10, les her.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.