สร้างคำขอลงนามใบรับรองด้วยตนเอง (CSR) การใช้ OpenSSL

บทช่วยสอนนี้จะแสดงวิธีสร้าง a ด้วยตนเอง คำขอลงนามใบรับรอง (หรือ CSR) ในสภาพแวดล้อมเว็บโฮสติ้ง Apache หรือ Nginx โดยใช้ OpenSSL คลิก โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม สำหรับการสอนเกี่ยวกับการสั่งซื้อใบรับรองหรือ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการติดตั้งใบรับรอง SSL.com ใหม่ของคุณ

หากต้องการทราบวิธีการที่เป็นประโยชน์และข่าวสารล่าสุดเกี่ยวกับความปลอดภัยทางไซเบอร์ โปรดสมัครรับจดหมายข่าวของ SSL.com ที่นี่:

วีดีโอ

ในคำแนะนำเหล่านี้เราจะใช้ OpenSSL req ยูทิลิตี้เพื่อสร้างทั้งคีย์ส่วนตัวและ CSR ในคำสั่งเดียว การสร้างคีย์ส่วนตัวด้วยวิธีนี้จะช่วยให้มั่นใจได้ว่าคุณจะได้รับข้อความแจ้งรหัสผ่านเพื่อป้องกันคีย์ส่วนตัว ในตัวอย่างคำสั่งทั้งหมดที่แสดงให้แทนที่ชื่อไฟล์ที่แสดงในตัวพิมพ์ใหญ่ทั้งหมดด้วยพา ธ และชื่อไฟล์จริงที่คุณต้องการใช้ (ตัวอย่างเช่นคุณอาจแทนที่ PRIVATEKEY.key กับ /private/etc/apache2/server.key ในสภาพแวดล้อม macOS Apache) วิธีการนี้ครอบคลุมการสร้างทั้งสองอย่าง RSA และ ECDSA กุญแจ

อาร์เอส

คำสั่ง OpenSSL ด้านล่างจะสร้างคีย์ส่วนตัว RSA 2048 บิตและ CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

มาทำลายคำสั่งลง:

• openssl เป็นคำสั่งสำหรับเรียกใช้ OpenSSL
• req คือยูทิลิตี้ OpenSSL สำหรับสร้างไฟล์ CSR.
• -newkey rsa:2048 บอก OpenSSL เพื่อสร้างคีย์ส่วนตัว RSA 2048 บิตใหม่ หากคุณต้องการคีย์ 4096 บิตคุณสามารถเปลี่ยนหมายเลขนี้เป็น 4096.
• -keyout PRIVATEKEY.key ระบุตำแหน่งที่จะบันทึกไฟล์คีย์ส่วนตัว
• -out MYCSR.csr ระบุตำแหน่งที่จะบันทึกไฟล์ CSR ไฟล์
• ด้วยสองรายการสุดท้ายอย่าลืมใช้เส้นทางและชื่อไฟล์ของคุณเองสำหรับคีย์ส่วนตัวและ CSRไม่ใช่ตัวยึดตำแหน่ง

หลังจากพิมพ์คำสั่งแล้วให้กด เข้าสู่. คุณจะได้รับชุดข้อความแจ้ง:

• ขั้นแรกให้สร้างและตรวจสอบรหัสผ่าน จำวลีรหัสผ่านนี้ไว้เพราะคุณจะต้องใช้อีกครั้งเพื่อเข้าถึงคีย์ส่วนตัวของคุณ
• ตอนนี้คุณจะได้รับแจ้งให้ป้อนข้อมูลซึ่งจะรวมอยู่ในไฟล์ CSR. ข้อมูลนี้เรียกอีกอย่างว่า Distinguished Name,หรือ DN. ชื่อสามัญ SSL.com ต้องการฟิลด์เมื่อส่งไฟล์ CSRแต่อย่างอื่นเป็นทางเลือก หากคุณต้องการข้ามรายการทางเลือกเพียงพิมพ์ เข้าสู่ เมื่อปรากฏ:
  • พื้นที่ ชื่อประเทศ (ไม่บังคับ) ใช้ตัวอักษรสองตัว รหัสประเทศ.
  • พื้นที่ ชื่อท้องที่ ฟิลด์ (ไม่บังคับ) มีไว้สำหรับเมืองหรือเมืองของคุณ
  • พื้นที่ ชื่อองค์กร ฟิลด์ (ไม่บังคับ) ใช้สำหรับชื่อ บริษัท หรือองค์กรของคุณ
  • พื้นที่ ชื่อสามัญ ฟิลด์ (จำเป็น) ใช้สำหรับไฟล์ ชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ของเว็บไซต์ใบรับรองนี้จะปกป้อง
  • ที่อยู่อีเมล (ถ้ามี)
  • พื้นที่ รหัสผ่านท้าทาย ฟิลด์เป็นทางเลือกและสามารถข้ามได้เช่นกัน

เมื่อเสร็จสิ้นกระบวนการนี้คุณจะกลับไปที่พรอมต์คำสั่ง คุณจะไม่ได้รับการแจ้งเตือนใด ๆ ว่าไฟล์ CSR สร้างสำเร็จแล้ว

ECDSA

ในการสร้างคีย์ส่วนตัว ECDSA ด้วยไฟล์ CSRคุณต้องเรียกใช้ยูทิลิตี้ OpenSSL ตัวที่สองเพื่อสร้างพารามิเตอร์สำหรับคีย์ ECDSA

คำสั่ง OpenSSL นี้จะสร้างไฟล์พารามิเตอร์สำหรับคีย์ ECDSA 256 บิต:

openssl genpkey -genparam - อัลกอริทึม ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem

• openssl genpkey รันยูทิลิตี้ของ openssl สำหรับการสร้างคีย์ส่วนตัว
• -genparam สร้างไฟล์พารามิเตอร์แทนคีย์ส่วนตัว คุณยังสามารถสร้างคีย์ส่วนตัวได้ แต่ใช้ไฟล์พารามิเตอร์เมื่อสร้างคีย์และ CSR ตรวจสอบให้แน่ใจว่าคุณจะได้รับแจ้งสำหรับวลีรหัสผ่าน
• -algorithm ec ระบุอัลกอริธึมเส้นโค้งรูปไข่
• -pkeyopt ec_paramgen_curve:P-256 เลือกเส้นโค้ง 256 บิต หากคุณต้องการเส้นโค้ง 384 บิตให้เปลี่ยนส่วนหลังลำไส้ใหญ่เป็น P-384.
• -out ECPARAM.pem จัดเตรียมพา ธ และชื่อไฟล์สำหรับไฟล์พารามิเตอร์

ตอนนี้ระบุไฟล์พารามิเตอร์ของคุณเมื่อสร้างไฟล์ CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

คำสั่งเหมือนกับที่เราใช้ในตัวอย่าง RSA ด้านบน แต่ -newkey RSA:2048 ถูกแทนที่ด้วย -newkey ec:ECPARAM.pem. ก่อนหน้านี้คุณจะได้รับแจ้งให้ป้อนรหัสผ่านและข้อมูลชื่อที่แตกต่างกันสำหรับไฟล์ CSR.

หากคุณต้องการคุณสามารถใช้การเปลี่ยนเส้นทางเพื่อรวมคำสั่ง OpenSSL สองคำสั่งไว้ในบรรทัดเดียวโดยข้ามการสร้างไฟล์พารามิเตอร์ดังต่อไปนี้:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

ถัดไป ขั้นตอน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้งใบรับรองของคุณ อ่านที่นี่, สำหรับการผูกกับ IIS 10, อ่านที่นี่