GNU/Linux >> Znalost Linux >  >> Linux

Vygenerujte žádost o podpis certifikátu

Než budete moci nainstalovat certifikát SSL (Secure Socket Layer), musíte nejprve vygenerovat žádost o podpis certifikátu (CSR). Můžete to provést pomocí jedné z následujících metod:

  • (Linux® server) OpenSSL
  • Správce Internetové informační služby (IIS) (Server Microsoft® Windows®)
  • (Zákazníci cloudu) Ovládací panel cloudu
  • (Spravovaní zákazníci) Portál MyRackspace

OpenSSL

Následující části popisují, jak používat OpenSSL ke generování CSR pro jeden název hostitele. Pokud chcete vygenerovat CSR pro více názvů hostitelů, doporučujeme použít Cloud Control Panel nebo MyRackspace Portal.

Nainstalujte OpenSSL

Zkontrolujte, zda je nainstalováno OpenSSL pomocí následujícího příkazu:

  • CentOS® a Red Hat® Enterprise Linux®

    rpm -qa | grep -i openssl

    Následující výstup poskytuje příklad toho, co příkaz vrací:

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian® a operační systém Ubuntu®

    dpkg -l | grep openssl

    Následující výstup poskytuje příklad toho, co příkaz vrací:

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

Pokud se předchozí balíčky nevrátí, nainstalujte OpenSSL spuštěním následujícího příkazu:

  • CentOS a Red Hat

    yum install openssl openssl-devel

  • Debian a operační systém Ubuntu

    apt-get install openssl

Vygenerujte klíč RSA

Spuštěním následujících příkazů vytvořte adresář, do kterého se uloží váš klíč RSA, a nahraďte jej názvem adresáře podle vašeho výběru:

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

Spuštěním následujícího příkazu vygenerujte soukromý klíč:

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048

Vytvořte CSR

Spusťte následující příkaz k vytvoření CSR se soukromým klíčem RSA (výstup je ve formátu Privacy-Enhanced Mail (PEM):

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

Po zobrazení výzvy zadejte potřebné informace pro vytvoření CSR pomocí konvencí uvedených v následující tabulce.

Poznámka: V Název organizace nemůžete použít následující znaky nebo Organizační jednotka pole:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Pole Vysvětlení Příklad
Obvyklý název Plně kvalifikovaný název domény, na který se certifikát vztahuje. Názvy domén example.com a www.example.com se od sebe liší, takže nezapomeňte odeslat požadavek na správnou doménu. Pokud kupujete certifikát se zástupnými znaky, použijte *.example.com . example.com
Název organizace Přesný právní název vaší organizace. Certifikační autorita (CA) se může snažit potvrdit, že vaše organizace je skutečná a legálně registrovaná, proto nezkracujte slova, která nejsou zkrácena v oficiálním názvu organizace. Example Inc.
Organizační jednotka Pobočka vaší organizace, která podává žádost. Marketing
Město/místo Město, kde se vaše organizace legálně nachází. Název města nezkracujte. San Antonio
Stát/provincie Stát nebo provincie, kde se vaše organizace legálně nachází. Nezkracujte název státu nebo provincie. Texas
Země/region Dvoupísmenná zkratka International Standards Organization (ISO) pro vaši zemi. USA

Upozornění: Heslo výzvy ponechte prázdné (stiskněte Enter ).

Ověřte svou CSR

Spusťte následující příkaz k ověření CSR:

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

Poté, co ověříte svůj CSR, můžete jej odeslat CA, aby si zakoupila certifikát SSL.

Správce služby IIS systému Windows

Ke generování CSR pomocí Správce služby Windows IIS použijte následující kroky:

Poznámka: Následující kroky platí pro IIS 8 nebo IIS 8.5 v systému Windows Server 2012.

  1. Otevřete Správce IIS.

  2. V levé části Připojení klikněte na server, pro který chcete vygenerovat CSR.

  3. Na centrálním serveru Domů podokno pod IIS v sekci, poklepejte na Certifikáty serveru .

  4. V pravé části Akce v podokně klikněte na Vytvořit žádost o certifikát .

  5. V části Požádat o certifikát průvodce na Vlastnosti rozlišujícího názvu zadejte následující informace a klikněte na Další .

    Pole Vysvětlení Příklad
    Obvyklý název Plně kvalifikovaný název domény, na který se certifikát vztahuje. Názvy domén example.com a www.example.com se od sebe liší, takže nezapomeňte odeslat požadavek na správnou doménu. Pokud kupujete certifikát se zástupnými znaky, použijte *.example.com . example.com
    Název organizace Přesný právní název vaší organizace. CA se může snažit potvrdit, že vaše organizace je skutečná a legálně registrovaná, proto nezkracujte slova, která nejsou zkrácena v názvu organizace. Example Inc.
    Organizační jednotka Pobočka vaší organizace, která podává žádost. Marketing
    Město/místo Město, kde se vaše organizace legálně nachází. Název města nezkracujte. San Antonio
    Stát/provincie Stát nebo provincie, kde se vaše organizace legálně nachází. Nezkracujte název státu nebo provincie. Texas
    Země/region Dvoupísmenná zkratka ISO pro vaši zemi. USA

  6. Na stránce Vlastnosti poskytovatele kryptografického serveru zadejte následující informace a klikněte na Další .

    • Poskytovatel kryptografických služeb :Pokud nemáte konkrétního poskytovatele kryptografie, použijte výchozí výběr.
    • Bitová délka :2048 je doporučená bitová délka.

  7. Na kartě Název souboru zadejte umístění, kam chcete soubor žádosti o certifikát uložit, a poté klikněte na Dokončit .

Po vygenerování CSR jej můžete odeslat CA, aby si zakoupila certifikát SSL.

Ovládací panel cloudu

Rackspace poskytuje generátor CSR pro generování CSR. Generátor CSR vám zobrazí CSR, které aktuálně máte, a umožní vám vytvořit nové CSR pomocí jednoduchého formuláře. Poté, co zadáte své údaje, generátor je zkombinuje s vaším soukromým klíčem, abyste mohli kombinované zakódované informace odeslat CA.

Až budete s generátorem hotovi, můžete se vrátit do ovládacího panelu cloudu kliknutím na kterýkoli z odkazů v horní navigaci nebo přechodem na login.rackspace.com a výběrem Rackspace Cloud z rozbalovací nabídky produktu v horní navigační liště.

Přístup ke generátoru CSR

Přístup ke generátoru CSR získáte přímo nebo prostřednictvím ovládacího panelu pomocí následujících kroků:

  1. Přihlaste se do Cloud Control Panel a vyberte Rackspace Cloud z rozbalovací nabídky produktu v horní navigační liště.
  2. V horní navigační liště klikněte na Servery> Cloudové servery .
  3. Klikněte na název serveru, pro který chcete vygenerovat CSR.
  4. V pravé části Správa serveru v části Pomozte mi s , klikněte na Vygenerovat CSR .

Generátor uvádí vaše stávající CSR, pokud nějaké máte, uspořádané podle názvu domény.

Vygenerujte CSR

  1. Klikněte na Vytvořit CSR .

  2. Zadejte následující informace, které budou spojeny s CSR:

    Pole Vysvětlení Příklad
    Název domény Plně kvalifikovaný název domény, na který se certifikát vztahuje. Názvy domén example.com a www.example.com se od sebe liší, takže nezapomeňte odeslat požadavek na správnou doménu. Pokud chcete zabezpečit obě domény, můžete použít Alt Names pole. Pokud kupujete certifikát se zástupnými znaky, použijte *.example.com . example.com
    Alternativní názvy (Volitelné) Další domény, které chcete přidat do požadavku. Každý CA s nimi zachází jinak a CA může účtovat poplatky za další názvy. Můžete odeslat seznam oddělený čárkami. www.example.com, secure.example.com
    E-mailová adresa (Volitelné) Kontaktní e-mailová adresa pro certifikát. [email protected]
    Název organizace Přesný právní název vaší organizace. CA se může snažit potvrdit, že vaše organizace je skutečná a legálně registrovaná, proto nezkracujte slova, která nejsou zkrácena v názvu organizace. Example Inc.
    Organizační jednotka (Volitelné) Pobočka vaší organizace, která podává žádost. Marketing
    Město Město, kde se vaše organizace legálně nachází. Název města nezkracujte. San Antonio
    Stát nebo provincie Stát nebo provincie, kde se vaše organizace legálně nachází. Nezkracujte název státu nebo provincie. Texas
    Země Z rozbalovací nabídky vyberte svou zemi. Dvoupísmenná zkratka ISO pro vaši zemi je součástí CSR. Spojené státy americké
    Délka bitu soukromého klíče Velikosti klíčů menší než 2048 jsou považovány za nezabezpečené a CA je nemusí akceptovat. 1024,2048,4096
    Hašovací algoritmus Oba algoritmy jsou v současnosti důvěryhodné v běžných prohlížečích a nabízejí průmyslově doporučené zabezpečení. SHA-512 vyžaduje další zpracování CPU. SHA-256, SHA-512

    Poznámka: V Název organizace nemůžete použít následující znaky nebo Organizační jednotka pole:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. Po zadání všech požadovaných informací klikněte na Vytvořit CSR .

Generování CSR může trvat 5 až 60 sekund. Možná budete muset obnovit stránku, která zobrazuje vaše CSR, než bude uvedena nová CSR.

Zobrazit podrobnosti CSR

Po vygenerování CSR můžete kliknout na jeho UUID (jedinečný identifikátor) v seznamu CSR a zobrazit jeho obrazovku s podrobnostmi.

Tato obrazovka zobrazuje informace, které jste poskytli, text CSR a související soukromý klíč.

Odeslat CSR certifikační autoritě

Text v Žádosti o certifikát pole je CSR. Obsahuje zakódované podrobnosti o CSR a vašem veřejném klíči.

Chcete-li požádat o certifikát SSL, zkopírujte Žádost o certifikát text a odešlete jej svému CA. Zahrňte veškerý text včetně BEGIN a KONEC řádky na začátku a konci textového bloku.

Nainstalujte soukromý klíč

Zkopírujte soukromý klíč na server, který bude hostitelem certifikátu. V dokumentaci k aplikaci zjistíte, kam na server nainstalovat soukromý klíč a certifikát.

Portál MyRackspace

Pokud jste spravovaný nebo vyhrazený zákazník, můžete požádat o CSR prostřednictvím portálu MyRackspace pomocí následujících kroků:

  1. Přihlaste se na portál MyRackspace a vyberte Dedicated Hosting z rozbalovací nabídky produktu v horní navigační liště.

  2. V horním navigačním panelu klikněte na Vstupenky> Vytvořit vstupenku .

  3. Na stránce Vstupenky / Vytvořit nový tiket vyberte Generovat žádost o podpis certifikátu (CSR) z Předmětu rozevíracího seznamu.

  4. Zadejte následující informace do Podrobnosti vstupenky sekce:

    Pole Vysvětlení Příklad
    Zařízení Server nebo servery, pro které chcete vygenerovat CSR. Pomocí rozbalovací nabídky vyberte své servery.
    Obecné jméno Plně kvalifikovaný název domény, na který se certifikát vztahuje. Názvy domén example.com a www.example.com se od sebe liší, takže nezapomeňte odeslat požadavek na správnou doménu. Pokud chcete zabezpečit obě domény, můžete použít Alt Names pole. Pokud kupujete certifikát se zástupnými znaky, použijte *.example.com . example.com
    Alt. Jména (Volitelné) Další domény, které chcete přidat do požadavku. Každý CA s nimi zachází jinak a CA může účtovat poplatky za další názvy. Můžete odeslat seznam oddělený čárkami. www.example.com, secure.example.com
    E-mailová adresa (Volitelné) Kontaktní e-mailová adresa pro certifikát. [email protected]
    Organizace Přesný právní název vaší organizace. CA se může snažit potvrdit, že vaše organizace je skutečná a legálně registrovaná, proto nezkracujte slova, která nejsou zkrácena v názvu organizace. Example Inc.
    Organizační jednotka (Volitelné) Pobočka vaší organizace, která podává žádost. Marketing
    Místo (město) Město, kde se vaše organizace legálně nachází. Název města nezkracujte. San Antonio
    Název státu nebo provincie Stát nebo provincie, kde se vaše organizace legálně nachází. Nezkracujte název státu nebo provincie. Texas
    Země Z rozbalovací nabídky vyberte svou zemi. Dvoupísmenná zkratka ISO pro vaši zemi je součástí CSR. Spojené státy americké

    Poznámka: Bitová délka je automaticky nastavena na 2048.

  5. Klikněte na Vytvořit lístek .

Další kroky

  • Zakupte nebo obnovte certifikát SSL
  • Nainstalujte certifikát SSL

Odkaz

  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6 Možnosti příkazu OpenSSL, které by měl znát každý správce systému

  2. Jak vygenerovat žádost o podpis certifikátu (CSR) v systému Linux

  3. Generovat otisky prstů Hpkp pro všechny řetězce certifikátů?

  1. Jak vygenerovat x509 SHA256 hash certifikát s vlastním podpisem pomocí OpenSSL

  2. Generovat CSR z Cpanel

  3. Jak vygenerovat žádost o podpis certifikátu (CSR) s OpenSSL?

  1. Jak zkontrolovat, zda je certifikát SSL SHA1 nebo SHA2 pomocí OpenSSL?

  2. Jak vygenerovat žádost o podpis certifikátu (CSR) pro SSL

  3. Pomocí openssl získáte certifikát ze serveru