Ten samouczek pokaże, jak ręcznie wygenerować plik Żądanie podpisania certyfikatu (lub CSR) w środowisku hostingowym Apache lub Nginx przy użyciu OpenSSL. Kliknij tutaj o samouczek dotyczący zamawiania certyfikatów, lub tutaj aby uzyskać więcej informacji na temat instalacji nowego certyfikatu SSL.com.
Aby uzyskać bardziej przydatne instrukcje i najnowsze wiadomości o cyberbezpieczeństwie, zapisz się do newslettera SSL.com tutaj:
Wideo
OpenSSL jest bardzo przydatnym zestawem narzędzi wiersza poleceń typu open source do pracy z X.509 certyfikaty, żądania podpisania certyfikatów (CSRs) i klucze kryptograficzne. Jeśli używasz wariantu systemu UNIX, takiego jak Linux lub macOS, OpenSSL prawdopodobnie jest już zainstalowany na Twoim komputerze. Jeśli chcesz używać OpenSSL w systemie Windows, możesz włączyć Podsystem Linux w systemie Windows 10 lub zainstaluj Cygwin.
W tych instrukcjach będziemy używać OpenSSL req narzędzie do generowania zarówno klucza prywatnego, jak i CSR jednym poleceniem. Wygenerowanie klucza prywatnego w ten sposób zapewni, że zostaniesz poproszony o podanie frazy hasła, aby chronić klucz prywatny. We wszystkich pokazanych przykładach poleceń zamień nazwy plików wyświetlane WIELKIMI LITERAMI na rzeczywiste ścieżki i nazwy plików, których chcesz użyć. (Na przykład możesz zamienić PRIVATEKEY.key w /private/etc/apache2/server.key w środowisku macOS Apache). Ten poradnik obejmuje generowanie obu RSA i ECDSA klawiatura.
RSA
Poniższe polecenie OpenSSL wygeneruje 2048-bitowy klucz prywatny RSA i CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Złóżmy polecenie:
opensslto polecenie do uruchamiania OpenSSL.reqto narzędzie OpenSSL do generowania pliku CSR.-newkey rsa:2048mówi OpenSSL, aby wygenerował nowy 2048-bitowy klucz prywatny RSA. Jeśli wolisz 4096-bitowy klucz, możesz zmienić tę liczbę na4096.-keyout PRIVATEKEY.keyokreśla, gdzie zapisać plik klucza prywatnego.-out MYCSR.csrokreśla, gdzie zapisać plik CSR plik.- W przypadku tych dwóch ostatnich elementów pamiętaj, aby użyć własnych ścieżek i nazw plików dla klucza prywatnego i CSR, a nie symbole zastępcze.
Po wpisaniu polecenia naciśnij wchodzić. Zostanie wyświetlony szereg monitów:
- Najpierw utwórz i zweryfikuj hasło. Zapamiętaj to hasło, ponieważ będziesz go ponownie potrzebować, aby uzyskać dostęp do klucza prywatnego.
- Zostaniesz poproszony o wprowadzenie informacji, które zostaną uwzględnione w Twoim CSR. Ta informacja jest również znana jako Wytworne imięlub DN, Nazwa zwyczajowa pole jest wymagane przez SSL.com podczas przesyłania Twojego CSR, ale inne są opcjonalne. Jeśli chcesz pominąć element opcjonalny, po prostu wpisz wchodzić kiedy się pojawi:
- Połączenia Nazwa kraju (opcjonalnie) ma dwie litery kod pocztowy.
- Połączenia Nazwa miejscowości pole (opcjonalne) dotyczy Twojego miasta lub miejscowości.
- Połączenia Nazwa organizacji Pole (opcjonalne) jest przeznaczone na nazwę firmy lub organizacji.
- Połączenia Nazwa zwyczajowa pole (wymagane) jest używane dla W pełni kwalifikowana nazwa domeny (FQDN) witryny, którą ten certyfikat będzie chronił.
- Adres e-mail (opcjonalne)
- Połączenia Wyzwanie Hasło Pole jest opcjonalne i można je również pominąć.
Po zakończeniu tego procesu nastąpi powrót do wiersza poleceń. Nie otrzymasz żadnego powiadomienia, że Twój CSR został pomyślnie utworzony.
ECDSA
Aby utworzyć klucz prywatny ECDSA przy użyciu pliku CSR, musisz wywołać drugie narzędzie OpenSSL, aby wygenerować parametry klucza ECDSA.
To polecenie OpenSSL wygeneruje plik parametrów dla 256-bitowego klucza ECDSA:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeyuruchamia narzędzie openssl do generowania kluczy prywatnych.-genparamgeneruje plik parametrów zamiast klucza prywatnego. Możesz również wygenerować klucz prywatny, ale używając pliku parametrów podczas generowania klucza i CSR zapewnia, że zostaniesz poproszony o podanie hasła.-algorithm ecokreśla algorytm krzywej eliptycznej.-pkeyopt ec_paramgen_curve:P-256wybiera krzywą 256-bitową. Jeśli wolisz 384-bitową krzywą, zmień część po dwukropku naP-384.-out ECPARAM.pemzawiera ścieżkę i nazwę pliku dla pliku parametrów.
Teraz określ plik parametrów podczas generowania pliku CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Polecenie jest takie samo, jak w powyższym przykładzie RSA, ale -newkey RSA:2048 został zastąpiony przez -newkey ec:ECPARAM.pem. Tak jak poprzednio, zostaniesz poproszony o podanie frazy hasła i informacji o nazwie wyróżniającej dla pliku CSR.
Jeśli chcesz, możesz użyć przekierowania, aby połączyć dwa polecenia OpenSSL w jeden wiersz, pomijając generowanie pliku parametrów w następujący sposób:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Następna Cel
Aby uzyskać więcej informacji na temat instalacji certyfikatu, czytaj tutaj, do wiązania z IIS 10, przeczytać tutaj.