GNU/Linux >> Linux Esercitazione >  >> Linux

Genera una richiesta di firma del certificato

Prima di poter installare un certificato SSL (Secure Socket Layer), devi prima generare una richiesta di firma del certificato (CSR). Puoi farlo usando uno dei seguenti metodi:

  • (server Linux®) OpenSSL
  • Gestione Internet Information Services (IIS) (server Microsoft® Windows®)
  • Pannello di controllo cloud (clienti Cloud)
  • (Clienti gestiti) Portale MyRackspace

OpenSSL

Le sezioni seguenti descrivono come utilizzare OpenSSL per generare un CSR per un singolo nome host. Se desideri generare una CSR per più nomi host, ti consigliamo di utilizzare il Cloud Control Panel o il MyRackspace Portal.

Installa OpenSSL

Verifica se OpenSSL è installato utilizzando il seguente comando:

  • CentOS® e Red Hat® Enterprise Linux®

    rpm -qa | grep -i openssl

    L'output seguente fornisce un esempio di ciò che il comando restituisce:

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian® e il sistema operativo Ubuntu®

    dpkg -l | grep openssl

    L'output seguente fornisce un esempio di ciò che il comando restituisce:

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

Se i pacchetti precedenti non vengono restituiti, installa OpenSSL eseguendo il comando seguente:

  • CentOS e Red Hat

    yum install openssl openssl-devel

  • Debian e il sistema operativo Ubuntu

    apt-get install openssl

Genera la chiave RSA

Esegui i seguenti comandi per creare una directory in cui memorizzare la tua chiave RSA, sostituendo un nome di directory a tua scelta:

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

Esegui il comando seguente per generare una chiave privata:

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048

Crea una CSR

Eseguire il comando seguente per creare una CSR con la chiave privata RSA (l'output è in formato PEM (Privacy-Enhanced Mail):

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

Quando richiesto, inserisci le informazioni necessarie per creare una CSR utilizzando le convenzioni mostrate nella tabella seguente.

Nota: Non puoi utilizzare i seguenti caratteri nel Nome organizzazione o Unità organizzativa campi:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Campo Spiegazione Esempio
Nome comune Il nome di dominio completo a cui si applica il certificato. I nomi di dominio example.com e www.example.com sono distinti l'uno dall'altro, quindi assicurati di inviare la tua richiesta per il dominio giusto. Se stai acquistando un certificato con caratteri jolly, utilizza *.example.com . esempio.com
Nome organizzazione Il nome legale esatto della tua organizzazione. L'autorità di certificazione (CA) potrebbe cercare di confermare che la tua organizzazione è reale e legalmente registrata, quindi non abbreviare parole che non sono abbreviate nel nome legale dell'organizzazione. Esempio Inc.
Unità organizzativa Il ramo della tua organizzazione che sta effettuando la richiesta. Marketing
Città/località La città in cui ha sede legale la tua organizzazione. Non abbreviare il nome della città. San Antonio
Stato/provincia Lo stato o la provincia in cui ha sede legale la tua organizzazione. Non abbreviare il nome dello stato o della provincia. Texas
Paese/regione L'abbreviazione di due lettere dell'International Standards Organization (ISO) per il tuo paese. USA

Avviso: Lascia vuota la password della sfida (premi Invio ).

Verifica la tua CSR

Esegui il comando seguente per verificare la tua CSR:

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

Dopo aver verificato la tua CSR, puoi inviarla a una CA per l'acquisto di un certificato SSL.

Gestione IIS di Windows

Utilizzare la procedura seguente per generare un CSR utilizzando Gestione IIS di Windows:

Nota: I passaggi seguenti sono per IIS 8 o IIS 8.5 su Windows Server 2012.

  1. Apri Gestione IIS.

  2. In Connessioni a sinistra pannello, fai clic sul server per il quale desideri generare una CSR.

  3. Nel server centrale Casa riquadro sotto IIS sezione, fare doppio clic su Certificati server .

  4. Nella parte destra Azioni riquadro, fai clic su Crea richiesta di certificato .

  5. Nella Richiedi certificato procedura guidata, in Proprietà del nome distinto pagina, inserisci le seguenti informazioni e fai clic su Avanti .

    Campo Spiegazione Esempio
    Nome comune Il nome di dominio completo a cui si applica il certificato. I nomi di dominio example.com e www.example.com sono distinti l'uno dall'altro, quindi assicurati di inviare la tua richiesta per il dominio giusto. Se stai acquistando un certificato con caratteri jolly, utilizza *.example.com . esempio.com
    Nome organizzazione Il nome legale esatto della tua organizzazione. La CA potrebbe cercare di confermare che la tua organizzazione è reale e legalmente registrata, quindi non abbreviare parole che non sono abbreviate nel nome legale dell'organizzazione. Esempio Inc.
    Unità organizzativa Il ramo della tua organizzazione che sta effettuando la richiesta. Marketing
    Città/località La città in cui ha sede legale la tua organizzazione. Non abbreviare il nome della città. San Antonio
    Stato/provincia Lo stato o la provincia in cui ha sede legale la tua organizzazione. Non abbreviare il nome dello stato o della provincia. Texas
    Paese/regione L'abbreviazione ISO di due lettere per il tuo paese. USA

  6. Nelle Proprietà del provider di server di crittografia pagina, inserisci le seguenti informazioni e fai clic su Avanti .

    • Fornitore di servizi di crittografia :a meno che tu non disponga di un provider di crittografia specifico, utilizza la selezione predefinita.
    • Lunghezza in bit :2048 è la lunghezza in bit consigliata.

  7. Sul Nome file pagina, inserisci il percorso in cui desideri salvare il file di richiesta del certificato e fai clic su Fine .

Dopo aver generato la CSR, puoi inviarla a una CA per l'acquisto di un certificato SSL.

Pannello di controllo del cloud

Rackspace fornisce il generatore CSR per la generazione di una CSR. Il generatore di CSR ti mostra le CSR che hai attualmente e ti consente di creare nuove CSR con un semplice modulo. Dopo aver inserito i tuoi dati, il generatore li combina con la tua chiave privata in modo che tu possa inviare le informazioni codificate combinate a una CA.

Quando hai finito con il generatore, puoi tornare al Pannello di controllo del Cloud facendo clic su uno qualsiasi dei link nella navigazione in alto o andando su login.rackspace.com e selezionando Rackspace Cloud dal menu a discesa del prodotto nella barra di navigazione in alto.

Accedi al generatore CSR

Accedi al Generatore CSR direttamente o tramite il Pannello di Controllo seguendo i seguenti passaggi:

  1. Accedi al pannello di controllo del cloud e seleziona Rackspace Cloud dal menu a discesa del prodotto nella barra di navigazione in alto.
  2. Nella barra di navigazione in alto, fai clic su Server> Server cloud .
  3. Fai clic sul nome del server per il quale desideri generare una CSR.
  4. Nella destra Gestione del server sezione in Aiutami con , fai clic su Genera una CSR .

Il generatore elenca le tue CSR esistenti, se ne hai, organizzate per nome di dominio.

Genera una CSR

  1. Fai clic su Crea CSR .

  2. Immettere le seguenti informazioni, che saranno associate alla CSR:

    Campo Spiegazione Esempio
    Nome di dominio Il nome di dominio completo a cui si applica il certificato. I nomi di dominio example.com e www.example.com sono distinti l'uno dall'altro, quindi assicurati di inviare la tua richiesta per il dominio giusto. Se desideri proteggere entrambi i domini, puoi utilizzare i Nomi alternativi campo. Se stai acquistando un certificato con caratteri jolly, utilizza *.example.com . esempio.com
    Nomi alternativi (Facoltativo) Domini aggiuntivi che desideri aggiungere alla richiesta. Ogni CA li tratta in modo diverso e la CA potrebbe addebitare nomi aggiuntivi. Puoi inviare un elenco separato da virgole. www.example.com, secure.example.com
    Indirizzo e-mail (Facoltativo) Un indirizzo email di contatto per il certificato. [email protected]
    Nome organizzazione Il nome legale esatto della tua organizzazione. La CA potrebbe cercare di confermare che la tua organizzazione è reale e legalmente registrata, quindi non abbreviare parole che non sono abbreviate nel nome legale dell'organizzazione. Esempio Inc.
    Unità organizzativa (Facoltativo) Il ramo della tua organizzazione che sta effettuando la richiesta. Marketing
    Città La città in cui ha sede legale la tua organizzazione. Non abbreviare il nome della città. San Antonio
    Stato o Provincia Lo stato o la provincia in cui ha sede legale la tua organizzazione. Non abbreviare il nome dello stato o della provincia. Texas
    Paese Scegli il tuo Paese dal menu a tendina. L'abbreviazione ISO di due lettere per il tuo paese è inclusa nella CSR. Stati Uniti
    Lunghezza bit chiave privata Le dimensioni delle chiavi inferiori a 2048 sono considerate non sicure e potrebbero non essere accettate da una CA. 1024,2048,4096
    Algoritmo di hashing Entrambi gli algoritmi sono attualmente considerati affidabili nei browser tradizionali e offrono la sicurezza consigliata dal settore. SHA-512 richiede un'ulteriore elaborazione della CPU. SHA-256, SHA-512

    Nota: Non puoi utilizzare i seguenti caratteri nel Nome organizzazione o Unità organizzativa campi:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. Dopo aver inserito tutte le informazioni richieste, fai clic su Crea CSR .

La generazione della CSR può richiedere da 5 a 60 secondi. Potrebbe essere necessario aggiornare la pagina che mostra le tue CSR prima che la nuova CSR sia elencata.

Visualizza dettagli CSR

Quando la CSR è stata generata, puoi fare clic sul suo UUID (identificatore univoco) nell'elenco CSR per visualizzarne la schermata dei dettagli.

Questa schermata mostra le informazioni che hai fornito, il testo della CSR e la chiave privata associata.

Invia la CSR alla CA

Il testo nella Richiesta di certificato campo è la CSR. Contiene i dettagli codificati della CSR e la tua chiave pubblica.

Per richiedere il tuo certificato SSL, copia la Richiesta di certificato testo e invialo alla tua CA. Includi tutto il testo, incluso BEGIN e FINE righe all'inizio e alla fine del blocco di testo.

Installa la chiave privata

Copia la chiave privata sul server che ospiterà il certificato. Consulta la documentazione della tua applicazione per determinare dove installare la chiave privata e il certificato sul tuo server.

Portale MyRackspace

Se sei un cliente Managed o Dedicato, puoi richiedere una CSR attraverso il Portale MyRackspace seguendo i seguenti passaggi:

  1. Accedi al Portale MyRackspace e seleziona Hosting Dedicato dal menu a discesa del prodotto nella barra di navigazione in alto.

  2. Nella barra di navigazione in alto, fai clic su Biglietti> Crea biglietto .

  3. Su Biglietti / Crea nuovo biglietto pagina, seleziona Genera richiesta di firma del certificato (CSR) dall'Oggetto elenco a discesa.

  4. Inserisci le seguenti informazioni nei Dettagli biglietto sezione:

    Campo Spiegazione Esempio
    Dispositivo/i Il server oi server per i quali si desidera generare una CSR. Usa il menu a tendina per selezionare i tuoi server.
    Nome comune Il nome di dominio completo a cui si applica il certificato. I nomi di dominio example.com e www.example.com sono distinti l'uno dall'altro, quindi assicurati di inviare la tua richiesta per il dominio giusto. Se desideri proteggere entrambi i domini, puoi utilizzare i Nomi alternativi campo. Se stai acquistando un certificato con caratteri jolly, utilizza *.example.com . esempio.com
    Alt. Nomi (Facoltativo) Domini aggiuntivi che desideri aggiungere alla richiesta. Ogni CA li tratta in modo diverso e la CA potrebbe addebitare nomi aggiuntivi. Puoi inviare un elenco separato da virgole. www.example.com, secure.example.com
    Indirizzo email (Facoltativo) Un indirizzo email di contatto per il certificato. [email protected]
    Organizzazione Il nome legale esatto della tua organizzazione. La CA potrebbe cercare di confermare che la tua organizzazione è reale e legalmente registrata, quindi non abbreviare parole che non sono abbreviate nel nome legale dell'organizzazione. Esempio Inc.
    Unità organizzativa (Facoltativo) Il ramo della tua organizzazione che sta effettuando la richiesta. Marketing
    Località (Città) La città in cui ha sede legale la tua organizzazione. Non abbreviare il nome della città. San Antonio
    Nome Stato o Provincia Lo stato o la provincia in cui ha sede legale la tua organizzazione. Non abbreviare il nome dello stato o della provincia. Texas
    Paese Scegli il tuo Paese dal menu a tendina. L'abbreviazione ISO di due lettere per il tuo paese è inclusa nella CSR. Stati Uniti

    Nota: La lunghezza in bit viene impostata automaticamente su 2048.

  5. Fai clic su Crea biglietto .

Passaggi successivi

  • Acquista o rinnova un certificato SSL
  • Installa un certificato SSL

Riferimento

  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6 Opzioni di comando OpenSSL che ogni amministratore di sistema dovrebbe conoscere

  2. Come generare un certificato autofirmato hash x509 SHA256 utilizzando OpenSSL

  3. Genera impronte digitali Hpkp per tutta la catena di certificati?

  4. Come generare una richiesta di firma del certificato (CSR) per un SSL

  5. Openssl:errore certificato autofirmato nella catena di certificati

Come generare una richiesta di firma del certificato (CSR) su Ubuntu

Come generare certificati SSL autofirmati utilizzando OpenSSL

Autorità di certificazione con OpenSSL

Come generare CSR in Plesk 17?

Come generare una CSR (richiesta di firma del certificato) in Linux

Come generare un certificato openssl con scadenza inferiore a un giorno?