Ręcznie wygeneruj żądanie podpisania certyfikatu (CSR) Korzystanie z OpenSSL

Ten samouczek pokaże, jak ręcznie wygenerować plik Żądanie podpisania certyfikatu (lub CSR) w środowisku hostingowym Apache lub Nginx przy użyciu OpenSSL. Kliknij tutaj o samouczek dotyczący zamawiania certyfikatów, lub tutaj aby uzyskać więcej informacji na temat instalacji nowego certyfikatu SSL.com.

Aby uzyskać bardziej przydatne instrukcje i najnowsze wiadomości o cyberbezpieczeństwie, zapisz się do newslettera SSL.com tutaj:

Wideo

Co to jest OpenSSL?
OpenSSL jest bardzo przydatnym zestawem narzędzi wiersza poleceń typu open source do pracy z X.509 certyfikaty, żądania podpisania certyfikatów (CSRs) i klucze kryptograficzne. Jeśli używasz wariantu systemu UNIX, takiego jak Linux lub macOS, OpenSSL prawdopodobnie jest już zainstalowany na Twoim komputerze. Jeśli chcesz używać OpenSSL w systemie Windows, możesz włączyć Podsystem Linux w systemie Windows 10 lub zainstaluj Cygwin.

W tych instrukcjach będziemy używać OpenSSL req narzędzie do generowania zarówno klucza prywatnego, jak i CSR jednym poleceniem. Wygenerowanie klucza prywatnego w ten sposób zapewni, że zostaniesz poproszony o podanie frazy hasła, aby chronić klucz prywatny. We wszystkich pokazanych przykładach poleceń zamień nazwy plików wyświetlane WIELKIMI LITERAMI na rzeczywiste ścieżki i nazwy plików, których chcesz użyć. (Na przykład możesz zamienić PRIVATEKEY.key w /private/etc/apache2/server.key w środowisku macOS Apache). Ten poradnik obejmuje generowanie obu RSA i ECDSA klawiatura.

SSL.com zapewnia szeroki. różnorodność SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

RSA

Poniższe polecenie OpenSSL wygeneruje 2048-bitowy klucz prywatny RSA i CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Złóżmy polecenie:

  • openssl to polecenie do uruchamiania OpenSSL.
  • req to narzędzie OpenSSL do generowania pliku CSR.
  • -newkey rsa:2048 mówi OpenSSL, aby wygenerował nowy 2048-bitowy klucz prywatny RSA. Jeśli wolisz 4096-bitowy klucz, możesz zmienić tę liczbę na 4096.
  • -keyout PRIVATEKEY.key określa, gdzie zapisać plik klucza prywatnego.
  • -out MYCSR.csr określa, gdzie zapisać plik CSR plik.
  • W przypadku tych dwóch ostatnich elementów pamiętaj, aby użyć własnych ścieżek i nazw plików dla klucza prywatnego i CSR, a nie symbole zastępcze.

Po wpisaniu polecenia naciśnij wchodzić. Zostanie wyświetlony szereg monitów:

  • Najpierw utwórz i zweryfikuj hasło. Zapamiętaj to hasło, ponieważ będziesz go ponownie potrzebować, aby uzyskać dostęp do klucza prywatnego.
  • Zostaniesz poproszony o wprowadzenie informacji, które zostaną uwzględnione w Twoim CSR. Ta informacja jest również znana jako Wytworne imięlub DN, Nazwa zwyczajowa pole jest wymagane przez SSL.com podczas przesyłania Twojego CSR, ale inne są opcjonalne. Jeśli chcesz pominąć element opcjonalny, po prostu wpisz wchodzić kiedy się pojawi:
    • Połączenia Nazwa kraju (opcjonalnie) ma dwie litery kod pocztowy.
    • Połączenia Nazwa miejscowości pole (opcjonalne) dotyczy Twojego miasta lub miejscowości.
    • Połączenia Nazwa organizacji Pole (opcjonalne) jest przeznaczone na nazwę firmy lub organizacji.
    • Połączenia Nazwa zwyczajowa pole (wymagane) jest używane dla W pełni kwalifikowana nazwa domeny (FQDN) witryny, którą ten certyfikat będzie chronił.
    • Adres e-mail (opcjonalne)
    • Połączenia Wyzwanie Hasło Pole jest opcjonalne i można je również pominąć.

Po zakończeniu tego procesu nastąpi powrót do wiersza poleceń. Nie otrzymasz żadnego powiadomienia, że ​​Twój CSR został pomyślnie utworzony.

ECDSA

Aby utworzyć klucz prywatny ECDSA przy użyciu pliku CSR, musisz wywołać drugie narzędzie OpenSSL, aby wygenerować parametry klucza ECDSA.

To polecenie OpenSSL wygeneruje plik parametrów dla 256-bitowego klucza ECDSA:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey uruchamia narzędzie openssl do generowania kluczy prywatnych.
  • -genparam generuje plik parametrów zamiast klucza prywatnego. Możesz również wygenerować klucz prywatny, ale używając pliku parametrów podczas generowania klucza i CSR zapewnia, że ​​zostaniesz poproszony o podanie hasła.
  • -algorithm ec określa algorytm krzywej eliptycznej.
  • -pkeyopt ec_paramgen_curve:P-256 wybiera krzywą 256-bitową. Jeśli wolisz 384-bitową krzywą, zmień część po dwukropku na P-384.
  • -out ECPARAM.pem zawiera ścieżkę i nazwę pliku dla pliku parametrów.

Teraz określ plik parametrów podczas generowania pliku CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Polecenie jest takie samo, jak w powyższym przykładzie RSA, ale -newkey RSA:2048 został zastąpiony przez -newkey ec:ECPARAM.pem. Tak jak poprzednio, zostaniesz poproszony o podanie frazy hasła i informacji o nazwie wyróżniającej dla pliku CSR.

Jeśli chcesz, możesz użyć przekierowania, aby połączyć dwa polecenia OpenSSL w jeden wiersz, pomijając generowanie pliku parametrów w następujący sposób:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Następna Cel

Aby uzyskać więcej informacji na temat instalacji certyfikatu, czytaj tutaj, do wiązania z IIS 10, przeczytać tutaj. 

Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij łącze czatu w prawym dolnym rogu tej strony. Odpowiedzi na wiele często zadawanych pytań można również znaleźć w naszym baza wiedzy.

Zapisz się do newslettera SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.