申请SSL证书时比较重要的一步就是生成CSR文件。要生成CSR,您将需要为服务器创建密钥对。这两项是数字证书密钥对,不能分开。如果丢失了公用/专用密钥文件或密码并生成了一个新的文件,则SSL证书将不再匹配。您将需要申请新的SSL证书,并且可能需要付费。本文来说说如何生成2048位CSR。
步骤一:生成密钥对
实用程序“ openssl”用于生成密钥和CSR。该实用程序随OpenSSL软件包一起提供,通常安装在/ usr / local / ssl / bin下。如果将它们安装在其他位置,则需要适当调整这些说明。
在提示符下键入以下命令:
openssl genrsa –des3 –out /usr/share/ssl/private/www.domain.com.key 2048
此命令生成一个2048位RSA私钥,并将其存储在文件www.domain.com.key中。
当提示您输入密码时:输入安全密码并记住密码,因为该密码是保护私钥的密码。启用SSL必须同时使用私钥和证书。
注意:要绕过密码要求,请在生成私钥时省略-des3选项。如果您不保护私钥,则GeoTrust建议限制对服务器的访问,以便只有授权的服务器管理员才能访问或读取私钥文件。
步骤二:产生CSR
在提示符下键入以下命令:
openssl req –新–key /usr/share/ssl/private/www.domain.com.key –out www.domain.com.csr
此命令将提示您输入证书的以下X.509属性:
国家/地区名称:国家/地区使用两个字母的代码且不带标点符号
州或省:完全说明州或省(请勿缩写州或省名)
地区或城市:地区字段是城市或城镇名称。
公司:如果您的公司或部门名称中使用Shift键,则带有&,@或任何其他符号,则必须拼写该符号或将其省略以进行注册。
组织单位:此字段是可选的;但可用于帮助识别注册到组织的证书。组织单位(OU)字段是发出请求的部门或组织单位的名称。要跳过OU字段,请按键盘上的Enter键。
通用名称:通用名称是域名,如www.domain.com或domain.com。
现在已经创建了公钥/私钥对。私钥(www.domain.com.key)本地存储在服务器计算机上,并用于解密。证书签名请求(certrequest.csr)形式的公共部分将用于证书注册。
要将信息复制并粘贴到注册表单中,请在文本编辑器(如记事本或Vi)中打开文件,然后将其另存为.txt文件。不要使用Microsoft Word,因为它可能会插入多余的隐藏字符,从而改变CSR的内容。
至此2048位的CSR就算创建成功了。