Tài liệu
Tạo yêu cầu ký chứng chỉ (CSR)
Để tạo Yêu cầu ký chứng chỉ (CSR), bạn nên tạo khóa riêng của mình. Bạn có thể chạy lệnh sau từ dấu nhắc đầu cuối để tạo khóa:
openssl genrsa -des3 -out server.key 1024
Đang tạo khóa riêng RSA, mô-đun dài 1024 bit ..................... ++++++ .............. ... ++++++ không thể viết 'trạng thái ngẫu nhiên' e là 65537 (0x10001) Nhập cụm từ mật khẩu cho server.key:
Bây giờ bạn có thể nhập cụm mật khẩu của mình. Để bảo mật tốt nhất, ít nhất phải có tám ký tự. Độ dài tối thiểu khi chỉ định -des3 là bốn ký tự. Nó phải bao gồm số và / hoặc dấu câu và không phải là một từ trong từ điển. Cũng hãy nhớ rằng cụm mật khẩu của bạn phân biệt chữ hoa chữ thường.
Nhập lại cụm mật khẩu để xác minh. Khi bạn đã nhập lại chính xác, khóa máy chủ được tạo và lưu trữ trong tệp server.key .
[Cảnh báo]
Bạn cũng có thể chạy máy chủ web bảo mật của mình mà không cần cụm mật khẩu. Điều này thuận tiện vì bạn sẽ không cần phải nhập cụm mật khẩu mỗi lần bạn khởi động máy chủ web bảo mật. Nhưng nó là rất không an toàn và một sự thỏa hiệp của chìa khóa có nghĩa là một sự thỏa hiệp của máy chủ là tốt.
Trong mọi trường hợp, bạn có thể chọn chạy máy chủ web bảo mật của mình mà không có cụm mật khẩu bằng cách rời khỏi công tắc -des3 trong giai đoạn tạo hoặc bằng cách phát lệnh sau tại dấu nhắc thiết bị đầu cuối:
openssl rsa -in server.key -out server.key.insecure
Khi bạn chạy lệnh trên, khóa không an toàn sẽ được lưu trữ trong tệp server.key.insecure . Bạn có thể sử dụng tệp này để tạo CSR không có cụm mật khẩu.
Để tạo CSR, hãy chạy lệnh sau tại dấu nhắc đầu cuối:
openssl req -new -key server.key -out server.csr
Nó sẽ nhắc bạn nhập cụm mật khẩu. Nếu bạn nhập cụm mật khẩu chính xác, nó sẽ nhắc bạn nhập Tên công ty, Tên trang web, Id email, v.v. Khi bạn nhập tất cả các chi tiết này, CSR của bạn sẽ được tạo và sẽ được lưu trữ trong tệp server.csr . Bạn có thể gửi tệp CSR này tới một CA để xử lý. CAN sẽ sử dụng tệp CSR này và cấp chứng chỉ. Mặt khác, bạn có thể tạo chứng chỉ tự ký bằng CSR này.