Generera en begäran om certifikatsignering manuellt (CSR) Använda OpenSSL

Denna handledning visar hur man manuellt genererar en Certifikatsigneringsbegäran (eller CSR) i en Apache- eller Nginx-webbhotellmiljö med OpenSSL. Klick här. för en handledning om att beställa certifikat, eller här. för mer information om hur du installerar ditt nya SSL.com-certifikat.

För mer användbara instruktioner och det senaste inom cybersäkerhetsnyheter, registrera dig för SSL.coms nyhetsbrev här:

Video

Vad är OpenSSL?
OpenSSL är en mycket användbar verktygssats för öppen källkod för att arbeta med X.509 certifikat, begäran om certifikatsignering (CSRs) och kryptografiska nycklar. Om du använder en UNIX-variant som Linux eller macOS är OpenSSL förmodligen redan installerat på din dator. Om du vill använda OpenSSL i Windows kan du aktivera Windows 10: s Linux-delsystem eller installera Cygwin.

I dessa instruktioner ska vi använda OpenSSL req för att generera både den privata nyckeln och CSR i ett kommando. Genom att generera den privata nyckeln på detta sätt kommer du att bli ombedd för en lösenfras för att skydda den privata nyckeln. Byt ut alla filnamn som visas i ALL CAPS med de verkliga sökvägarna och filnamnen som du vill använda i alla visade kommandoexempel. (Du kan till exempel ersätta PRIVATEKEY.key med /private/etc/apache2/server.key i en macOS Apache-miljö.) Den här funktionen täcker generering av båda RSA och ECDSA nycklar.

SSL.com erbjuder ett brett. mängd av SSL /TLS servercertifikat för HTTPS-webbplatser.

JÄMFÖR SSL /TLS INTYG

RSA

OpenSSL-kommandot nedan genererar en 2048-bitars RSA-privatnyckel och CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Låt oss bryta ner kommandot:

  • openssl är kommandot för att köra OpenSSL.
  • req är OpenSSL-verktyget för att skapa en CSR.
  • -newkey rsa:2048 säger till OpenSSL att generera en ny 2048-bitars RSA-privatnyckel. Om du föredrar en 4096-bitars nyckel kan du ändra detta nummer till 4096.
  • -keyout PRIVATEKEY.key anger var den privata nyckelfilen ska sparas.
  • -out MYCSR.csr anger var du ska spara CSR fil.
  • Kom ihåg att använda dina egna sökvägar och filnamn för den privata nyckeln och CSR, inte platshållarna.

När du har skrivit kommandot trycker du på Till New Earth. Du kommer att presenteras med en rad instruktioner:

  • Skapa och verifiera först en passfras. Kom ihåg denna passfras eftersom du kommer att behöva den igen för att komma åt din privata nyckel.
  • Nu uppmanas du att ange informationen som kommer att inkluderas i din CSR. Denna information är också känd som Distinguished Name, eller DN. De Vanligt namn fält krävs av SSL.com när du skickar din CSR, men de andra är valfria. Om du vill hoppa över ett valfritt objekt skriver du bara Till New Earth när det visas:
    • Smakämnen Lands namn (valfritt) tar två bokstäver landskod.
    • Smakämnen Platsnamn fält (valfritt) är för din stad eller stad.
    • Smakämnen organisationens namn fält (valfritt) är namnet på ditt företag eller din organisation.
    • Smakämnen Vanligt namn fältet (obligatoriskt) används för Fullt kvalificerat domännamn (FQDN) på webbplatsen detta certifikat kommer att skydda.
    • E-postadress (Tillval)
    • Smakämnen Utmana lösenord fältet är valfritt och kan också hoppas över.

Efter att denna process har slutförts kommer du tillbaka till en kommandotolk. Du kommer inte att få något meddelande om att din CSR skapades framgångsrikt.

ECDSA

Skapa en ECDSA privat nyckel med din CSRmåste du anropa ett andra OpenSSL-verktyg för att generera parametrarna för ECDSA-nyckeln.

Detta OpenSSL-kommando genererar en parameterfil för en 256-bitars ECDSA-nyckel:

openssl genpkey -genparam -algoritm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey kör openssl-verktyget för generering av privat nyckel.
  • -genparam genererar en parameterfil istället för en privat nyckel. Du kan också generera en privat nyckel, men använda parameterfilen när du genererar nyckeln och CSR säkerställer att du blir ombedd att få en lösenfras.
  • -algorithm ec specificerar en elliptisk kurvanalgoritm.
  • -pkeyopt ec_paramgen_curve:P-256 väljer en 256-bitars kurva. Om du föredrar en 384-bitars kurva, ändra delen efter kolon till P-384.
  • -out ECPARAM.pem ger en sökväg och filnamn för parameterfilen.

Ange nu din parameterfil när du genererar CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

Kommandot är detsamma som vi använde i RSA-exemplet ovan, men -newkey RSA:2048 har ersatts med -newkey ec:ECPARAM.pem. Som tidigare kommer du att bli ombedd att få en lösenfras och information om distinkt namn för CSR.

Om du vill kan du använda omdirigering för att kombinera de två OpenSSL-kommandona i en rad och hoppa över genereringen av en parameterfil enligt följande:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Nästa Steg

För mer information om hur du installerar ditt certifikat, läs här, för bindning med IIS 10, läs här. 

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.