Introduzione
Questo articolo spiegherà come generare una richiesta di firma del certificato (CSR). Ti verrà richiesto di inviare una CSR quando ottieni un certificato SSL/TLS da un'autorità di certificazione (CA).
Prerequisiti
Qualsiasi distribuzione Linux con OpenSSL installato. Se non hai un server, perché non prendere in considerazione un VPS Linux di Atlantic.Net ed essere operativo in meno di 30 secondi.
Genera una richiesta di firma del certificato (CSR)
Sia il CSR che la chiave privata per il tuo server possono essere generati in un semplice passaggio. Assicurati di mantenere l'accesso alla tua chiave privata il più limitato possibile, poiché questo identificatore univoco viene utilizzato per verificare l'autenticità del tuo server.
Nota:se hai problemi a eseguire correttamente il comando, potresti dover accedere come sudo o root.
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
Ti verranno quindi richieste le seguenti informazioni:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Nota:la password di verifica non è correlata alla password della chiave privata. Lascialo vuoto a meno che non sia richiesto dall'autorità di certificazione. Puoi anche lasciare vuota la domanda "nome azienda facoltativo".
Ora hai il file ".csr" (Richiesta di firma del certificato) che dovrà essere inviato a un'autorità di certificazione (CA). Una volta che la CA ha firmato il certificato, restituirà un file di certificato. Il formato del certificato emesso varia a seconda dell'autorità di certificazione. Il tipo più comune sarà il formato PEM che utilizza estensioni come .crt , .key , .csr , .cer e .pem .
A seconda delle esigenze della tua applicazione o del tuo server web, potresti dover convertire uno di questi formati in altri formati come PKCS#7, PKCS#12 o DER. Ecco alcuni utili comandi per la conversione dei file:
PEM → PKCS#7 (P7B)
openssl crl2pkcs7 -nocrl -certfile yourdomain.cer -out yourdomain.p7b -certfile CACert.cer
Il -nocrl opzione indica che non includerai un elenco di revoche di certificati (CRL) nella struttura PKCS#7. La maggior parte delle nuove implementazioni utilizzerà questa opzione, poiché non ci saranno certificati precedenti da revocare.
Each -certfile l'opzione indica un file di certificato che verrà incluso nel file di output, utile per creare una catena di certificati che includa il certificato del server e il certificato intermedio dell'autorità di certificazione ("tuodominio.cer" e "CACert.cer", rispettivamente, nell'esempio sopra).
Il -out opzione indica il nome del file in cui scrivere l'output di PKCS#7.
PEM → PKCS#12 (PFX)
openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt -certfile CACert.crt
Il -export opzione indica che questo comando creerà un file PKCS#12. Il comportamento predefinito senza -export l'opzione è analizzare l'input.
Il -in opzione indica il file in formato PEM da cui leggere. Se questo file non include anche la chiave privata, avrai bisogno di -inkey opzione per indicare anche il file della chiave privata.
Il -certfile l'opzione indica certificati aggiuntivi da includere nel file PKCS#12, come certificati intermedi.
Il -out opzione indica il file in cui scrivere l'output, di solito un file ".pfx".
PEM → DER
openssl x509 -outform der -in yourdomain.pem -out yourdomain.der
Il -in l'opzione indica il file del certificato di input da convertire.
Il -out l'opzione indica il nome del file di output.
The -outform l'opzione indica il formato del file per l'output (in questo esempio, il file di input è in formato PEM e questo comando prenderà quel file e creerà un file formattato DER).