Jak vygenerovat žádost o podpis certifikátu (CSR) pomocí OpenSSL

Úvod

Žádost o podepsání certifikátu (CSR) je prvním krokem při nastavení certifikátu SSL na vašem webu. Certifikáty SSL poskytují certifikační autority (CA), které vyžadují žádost o podpis certifikátu (CSR).

V této příručce se dozvíte, jak vygenerovat žádost o podpis certifikátu pomocí OpenSSL.

Předpoklady

• Přístup k uživatelskému účtu pomocí root nebo sudo privilegia
• Příkazový řádek/okno terminálu
• Pokud pracujete na vzdáleném serveru, je navázáno připojení SSH k serveru
• Aby mohl být klíč vygenerován, musí být ve vašem systému nainstalován OpenSSL
• Textový editor, například nano , zobrazí se váš klíč

Vygenerujte požadavek na podpis certifikátu OpenSSL

Krok 1:Přihlaste se k serveru

Otevřete okno terminálu. Pomocí připojení SSH se přihlaste ke vzdálenému serveru.

Krok 2:Vytvořte soukromý klíč RSA a CSR

Při každém generování CSR se doporučuje vydat nový soukromý klíč. Níže uvedené kroky tedy popisují, jak vygenerovat soukromý klíč i CSR.

openssl req -new -newkey rsa:2048 -nodes -keyout your_domain.key -out your_domain.csr

Nezapomeňte nahradit your_domain se skutečnou doménou, pro kterou generujete CSR.

Příkazy jsou rozděleny následovně:

• openssl – aktivuje software OpenSSL
• požadavek – označuje, že chceme CSR
• –new –newkey – vygenerovat nový klíč
• rsa:2048 – vygenerovat 2048bitový matematický klíč RSA
• –uzly – žádné DES, což znamená, že nešifrujte soukromý klíč v souboru PKCS#12
• –keyout – označuje doménu, pro kterou generujete klíč
• –mimo – určuje název souboru, jako bude uložen váš CSR

Krok 3:Zadejte informace o CSR

Váš systém by měl spustit textový dotazník, který budete muset vyplnit.

Zadejte své informace do polí následovně:

• Název země – použijte 2písmenný kód země (USA pro Spojené státy)
• Stát – stát, ve kterém je vlastník domény zapsán
• Lokalita – město, ve kterém je vlastník domény zapsán
• Název organizace – právnická osoba, která doménu vlastní
• Název organizační jednotky – název oddělení nebo skupiny ve vaší organizaci, které se certifikáty zabývá
• Obecné jméno – obvykle plně kvalifikovaný název domény (FQDN), tedy to, co uživatelé zadají do webového prohlížeče, aby přešli na váš web
• E-mailová adresa – e-mailová adresa správce webu
• Vyzvat heslo – volitelné heslo pro váš pár klíčů

Vezměte prosím v úvahu Název organizace a Název jednotky nesmí obsahovat následující znaky:

< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Krok 4:Vyhledejte soubor žádosti o podpis certifikátu

Jakmile software skončí, měli byste být schopni najít soubor CSR ve svém pracovním adresáři.

Můžete také zadat následující:

ls *.csr

Systém by měl vypsat všechny požadavky na podpis certifikátu v systému. Ten, který se shoduje s názvem domény, který jste zadali v kroku 2 s příponou .csr, je ten, na který se musíte podívat.

Krok 5:Odešlete CSR jako součást vašeho požadavku SSL

Soubor .csr můžete otevřít v textovém editoru a najít vygenerovaný alfanumerický kód.

Zadejte následující příkaz:

sudo nano your_domain.csr

Tento text lze zkopírovat a vložit do formuláře pro odeslání žádosti o certifikát SSL od certifikační autority.

Ujistěte se, že zkopírujete celý text. Některé CA vám mohou umožnit jednoduše nahrát vámi vygenerovaný soubor .csr. Níže je uveden příklad CSR.

Soukromý klíč nemusíte posílat CA. Jakmile získáte certifikát SSL, soukromý klíč na serveru se s ním spojí, aby byla komunikace šifrována.