Denna handledning visar hur man manuellt genererar en Certifikatsigneringsbegäran (eller CSR) i en Apache- eller Nginx-webbhotellmiljö med OpenSSL. Klick här. för en handledning om att beställa certifikat, eller här. för mer information om hur du installerar ditt nya SSL.com-certifikat.
För mer användbara instruktioner och det senaste inom cybersäkerhetsnyheter, registrera dig för SSL.coms nyhetsbrev här:
Video
OpenSSL är en mycket användbar verktygssats för öppen källkod för att arbeta med X.509 certifikat, begäran om certifikatsignering (CSRs) och kryptografiska nycklar. Om du använder en UNIX-variant som Linux eller macOS är OpenSSL förmodligen redan installerat på din dator. Om du vill använda OpenSSL i Windows kan du aktivera Windows 10: s Linux-delsystem eller installera Cygwin.
I dessa instruktioner ska vi använda OpenSSL req för att generera både den privata nyckeln och CSR i ett kommando. Genom att generera den privata nyckeln på detta sätt kommer du att bli ombedd för en lösenfras för att skydda den privata nyckeln. Byt ut alla filnamn som visas i ALL CAPS med de verkliga sökvägarna och filnamnen som du vill använda i alla visade kommandoexempel. (Du kan till exempel ersätta PRIVATEKEY.key med /private/etc/apache2/server.key i en macOS Apache-miljö.) Den här funktionen täcker generering av båda RSA och ECDSA nycklar.
RSA
OpenSSL-kommandot nedan genererar en 2048-bitars RSA-privatnyckel och CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Låt oss bryta ner kommandot:
opensslär kommandot för att köra OpenSSL.reqär OpenSSL-verktyget för att skapa en CSR.-newkey rsa:2048säger till OpenSSL att generera en ny 2048-bitars RSA-privatnyckel. Om du föredrar en 4096-bitars nyckel kan du ändra detta nummer till4096.-keyout PRIVATEKEY.keyanger var den privata nyckelfilen ska sparas.-out MYCSR.csranger var du ska spara CSR fil.- Kom ihåg att använda dina egna sökvägar och filnamn för den privata nyckeln och CSR, inte platshållarna.
När du har skrivit kommandot trycker du på Till New Earth. Du kommer att presenteras med en rad instruktioner:
- Skapa och verifiera först en passfras. Kom ihåg denna passfras eftersom du kommer att behöva den igen för att komma åt din privata nyckel.
- Nu uppmanas du att ange informationen som kommer att inkluderas i din CSR. Denna information är också känd som Distinguished Name, eller DN. De Vanligt namn fält krävs av SSL.com när du skickar din CSR, men de andra är valfria. Om du vill hoppa över ett valfritt objekt skriver du bara Till New Earth när det visas:
- Smakämnen Lands namn (valfritt) tar två bokstäver landskod.
- Smakämnen Platsnamn fält (valfritt) är för din stad eller stad.
- Smakämnen organisationens namn fält (valfritt) är namnet på ditt företag eller din organisation.
- Smakämnen Vanligt namn fältet (obligatoriskt) används för Fullt kvalificerat domännamn (FQDN) på webbplatsen detta certifikat kommer att skydda.
- E-postadress (Tillval)
- Smakämnen Utmana lösenord fältet är valfritt och kan också hoppas över.
Efter att denna process har slutförts kommer du tillbaka till en kommandotolk. Du kommer inte att få något meddelande om att din CSR skapades framgångsrikt.
ECDSA
Skapa en ECDSA privat nyckel med din CSRmåste du anropa ett andra OpenSSL-verktyg för att generera parametrarna för ECDSA-nyckeln.
Detta OpenSSL-kommando genererar en parameterfil för en 256-bitars ECDSA-nyckel:
openssl genpkey -genparam -algoritm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeykör openssl-verktyget för generering av privat nyckel.-genparamgenererar en parameterfil istället för en privat nyckel. Du kan också generera en privat nyckel, men använda parameterfilen när du genererar nyckeln och CSR säkerställer att du blir ombedd att få en lösenfras.-algorithm ecspecificerar en elliptisk kurvanalgoritm.-pkeyopt ec_paramgen_curve:P-256väljer en 256-bitars kurva. Om du föredrar en 384-bitars kurva, ändra delen efter kolon tillP-384.-out ECPARAM.pemger en sökväg och filnamn för parameterfilen.
Ange nu din parameterfil när du genererar CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
Kommandot är detsamma som vi använde i RSA-exemplet ovan, men -newkey RSA:2048 har ersatts med -newkey ec:ECPARAM.pem. Som tidigare kommer du att bli ombedd att få en lösenfras och information om distinkt namn för CSR.
Om du vill kan du använda omdirigering för att kombinera de två OpenSSL-kommandona i en rad och hoppa över genereringen av en parameterfil enligt följande:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Nästa Steg
För mer information om hur du installerar ditt certifikat, läs här, för bindning med IIS 10, läs här.