GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So generieren Sie eine Certificate Signing Request (CSR) für ein SSL

Einführung

In diesem Artikel wird erläutert, wie Sie eine Certificate Signing Request (CSR) generieren. Sie müssen eine CSR einreichen, wenn Sie ein SSL/TLS-Zertifikat von einer Zertifizierungsstelle (CA) erhalten.

Voraussetzungen

Jede Linux-Distribution mit installiertem OpenSSL. Wenn Sie keinen Server haben, ziehen Sie doch einen Linux-VPS von Atlantic.Net in Betracht, der in weniger als 30 Sekunden einsatzbereit ist.

Generieren Sie eine Zertifikatsignierungsanforderung (CSR)

Sowohl der CSR als auch der private Schlüssel für Ihren Server können in einem einfachen Schritt generiert werden. Achten Sie darauf, den Zugriff auf Ihren privaten Schlüssel so eingeschränkt wie möglich zu halten, da diese eindeutige Kennung verwendet wird, um die Authentizität Ihres Servers zu überprüfen.

Hinweis:Wenn Sie Probleme haben, den Befehl erfolgreich auszuführen, müssen Sie sich möglicherweise als sudo oder root anmelden. 

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Sie werden dann nach folgenden Informationen gefragt:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Hinweis:Das Challenge-Passwort steht in keinem Zusammenhang mit dem Passwort des privaten Schlüssels. Lassen Sie es leer, sofern dies nicht von Ihrer Zertifizierungsstelle verlangt wird. Sie können die Frage „optionaler Firmenname“ auch leer lassen.

Sie haben jetzt die CSR-Datei (Certificate Signing Request), die an eine Zertifizierungsstelle (CA) gesendet werden muss. Sobald die CA das Zertifikat signiert hat, wird sie eine Zertifikatsdatei zurücksenden. Das Format des ausgestellten Zertifikats variiert je nach Zertifizierungsstelle. Der gebräuchlichste Typ ist das PEM-Format, das Erweiterungen wie .crt verwendet , .key.csr.cer und .pem .

Abhängig von den Anforderungen Ihrer Anwendung oder Ihres Webservers müssen Sie möglicherweise eines dieser Formate in andere Formate wie PKCS#7, PKCS#12 oder DER konvertieren. Hier sind einige nützliche Dateikonvertierungsbefehle:

PEM → PKCS#7 (P7B)

openssl crl2pkcs7 -nocrl -certfile yourdomain.cer -out yourdomain.p7b -certfile CACert.cer

Das -nocrl Option gibt an, dass Sie keine Zertifikatsperrliste (CRL) in die PKCS#7-Struktur aufnehmen. Die meisten neuen Bereitstellungen verwenden diese Option, da keine älteren Zertifikate widerrufen werden müssen.
Jede -certfile Die Option gibt eine Zertifikatsdatei an, die in die Ausgabedatei eingeschlossen wird, was beim Erstellen einer Zertifikatskette hilfreich ist, die das Serverzertifikat und das Zwischenzertifikat der Zertifizierungsstelle enthält (in diesem Beispiel jeweils „yourdomain.cer“ und „CACert.cer“) oben).
Der -out Option gibt den Dateinamen an, in den die PKCS#7-Ausgabe geschrieben werden soll.

PEM → PKCS#12 (PFX)

openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt -certfile CACert.crt

Der -export Die Option gibt an, dass dieser Befehl eine PKCS#12-Datei erstellt. Das Standardverhalten ohne den -export Option ist, die Eingabe zu parsen.
Der -in Die Option gibt die PEM-formatierte Datei an, aus der gelesen werden soll. Wenn diese Datei nicht auch den privaten Schlüssel enthält, benötigen Sie den -inkey Option, um auch die private Schlüsseldatei anzugeben.
Die -certfile Option gibt zusätzliche Zertifikate an, die in die PKCS#12-Datei aufgenommen werden sollen, wie z. B. Zwischenzertifikate.
Der -out Die Option gibt die Datei an, in die die Ausgabe geschrieben werden soll, normalerweise eine „.pfx“-Datei.

PEM → DER

openssl x509 -outform der -in yourdomain.pem -out yourdomain.der

Das -in Option gibt die zu konvertierende Eingabezertifikatsdatei an.
Der -out Option gibt den Namen der Ausgabedatei an.
Der -outform Die Option gibt das Dateiformat für die Ausgabe an (in diesem Beispiel ist die Eingabedatei im PEM-Format, und dieser Befehl würde diese Datei nehmen und eine DER-formatierte Datei erstellen).


Linux

  1. So generieren Sie eine Zertifikatsignierungsanforderung (CSR) unter Linux

  2. Wie erstelle ich einen CSR-Schlüssel und installiere ein SSL-Zertifikat von CWP?

  3. So generieren Sie einen Schlüssel und eine CSR in cPanel für Ihr SSL-Zertifikat

  4. Wie erstelle ich eine Certificate Signing Request (CSR) mit OpenSSL?

  5. Generieren Sie eine Zertifikatsignierungsanforderung

So generieren Sie selbstsignierte SSL-Zertifikate mit OpenSSL

Wie generiert man CSR in Plesk 17?

Wie generiere ich CSR und installiere das SSL-Zertifikat in SolidCP?

Wie generiert man CSRs für SSL in cPanel?

Wie generiert man CSR aus BGM?

So generieren Sie eine CSR (Certificate Signing Request) unter Linux