保持交易與客戶資料隱密性
使用OPENSSL工具產製CSR檔案步驟
當您購買憑證的時候,除了一些基本資料與付費方式的填寫外,最重要的一個檔案就是CSR(憑證請求檔),這個檔案不管是哪一家的廠商,一定都必須由您進行製作提供,本篇文章教您使用OPENSSL,從頭到尾產製一個CSR檔案,相信您看過之後,一定會覺得很簡單!
還記得我們有一篇文章教您使用本網站的工具產生CSR檔案吧!我們這篇文章將說明,直接使用OPENSSL的工具來產製CSR檔案,通常我們會建議您的CSR檔案最好在安全的機器上產製,因為產製CSR檔案的同時,同時會產生對應的私密金鑰(Private Key),這私鑰必須是安全的保存,因此在安全的機器上產製並保護好,才不會在SSL加解密的同時發生資料被破解的危機!
本文章是用於Window與linux的作業系統平台上,您可以參照步驟來進行產製的工作!
本文章的前提是您已經安裝好了openssl,如果尚未安裝好,請參照 window環境安裝openssl檔案 或者update openssl在linux環境文章說明
環境說明
widows作業系統下產生CSR檔案
環境說明: 作業系統: win 7 pro
openssl版本:1.0.1i
首先我們畫面左下找到開始,在搜尋程式與檔案中輸入cmd,打開dos視窗,如下圖
然後在dos視窗中,輸入openssl version,可以看到版本資訊,表示openssl安裝正常,如下圖
我們可看到版本,表示openssl安裝正常,要產製CSR檔之前,請先確認以下的欄位資訊(這些資訊是CSR中必須提供的)
1.保護的網域名稱(Common Name)[CN] : 例如: www.sslbuyer.com ,將來顯示在瀏覽器的上網址就是https://www.sslbuyer.com,您可能會問,中文的可否,可以的!如www.憑證購買者.com
2.組織名稱 : Organization [O] : 這是公司或組織的合法登記的名稱,例如sslbuyer Inc,您也可取中文喔,如:憑證購買者公司
3.部門名稱 : Organization Unit [OU]: 這是您公司或組織的部門名稱,例如: Security Dept,或者資安部(處)
4.公司登記的所在城市 : Locality [L] : 這是您公司合法登記所在的城市名稱,例如Taipei
5.公司登記的所在州或郡 : State [S] : 這是您公司合法登記所在的州或郡名稱,例如California, 如果沒有,可以填寫國名
6.公司登記的所在國家: Country[C] :這是您公司合法登記所在的國家,以國碼(兩碼)顯示, 如 US,TW
以上的資料是憑證主體名稱中會顯示的資料.
接下來決定加密強度,分成金鑰長度(RSA)與雜臭函數演算法,目前主流的金鑰長度為RSA 2048位元,雜臭函數要SHA2以上
都決定好後,我們就開始來製作CSR檔案囉
第一步: 產生2048位元的金鑰 ,語法 : openssl genrsa -out private.key 2048 2048代表2048位元,如下圖
這時候我們看一下是否產生的私密金鑰檔案,如下圖有產生了
第二步: 產生產生CSR檔案 openssl req -new -sha256 -key private.key -out csr.csr 其中-sha256代表SHA2的雜臭函數演算法,
當您按下enter後,請依據畫面提示一步步填入上面準備好的的資訊,
Country Name (2 letter code) [XX]:TW => 填寫國名(兩碼),填完後按下enter
State or Province Name (full name) []:Taiwan =>填寫州或郡,填完後按下enter
Locality Name (eg, city) [Default City]:Taipei =>填寫城市名稱,填完後按下enter
Organization Name (eg, company) [Default Company Ltd]:sslbuyer Inc =>填寫公司名稱,填完後按下enter
Organizational Unit Name (eg, section) []:Security Dept =>填寫部門名稱,填完後按下enter
Common Name (eg, your name or your server's hostname) []:www.sslbuyer.com =>填寫保護網域名稱,填完後按下enter
Email Address []: =>填寫電子郵件地址(可不填),填完後按下enter
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []: =>請留空白,按下enter
An optional company name []: =>填寫公司名稱(可不填),填完後按下enter
如下圖
這時來看一下兩個檔案是否都產生,如下圖有產生了
我們來看一下檔案的內容,csr如下
private.key如下
您就可以把csr檔案的內容貼到申請的網站CSR頁面中囉! 私密金鑰記得好好保存!
-----------------------------------------------------------------------------------------------------
linux環境下產生CSR檔案
環境說明: 作業系統: centos 6
openssl版本:1.0.1e
首先我們先來到openssl的畫面,先查看一下版本,如下圖
我們可看到版本,表示openssl安裝正常,要產製CSR檔之前,請先確認以下的欄位資訊(這些資訊是CSR中必須提供的)
1.保護的網域名稱(Common Name)[CN] : 例如: www.sslbuyer.com ,將來顯示在瀏覽器的上網址就是https://www.sslbuyer.com,您可能會問,中文的可否,可以的!如www.憑證購買者.com
2.組織名稱 : Organization [O] : 這是公司或組織的合法登記的名稱,例如sslbuyer Inc,您也可取中文喔,如:憑證購買者公司
3.部門名稱 : Organization Unit [OU]: 這是您公司或組織的部門名稱,例如: Security Dept,或者資安部(處)
4.公司登記的所在城市 : Locality [L] : 這是您公司合法登記所在的城市名稱,例如Taipei
5.公司登記的所在州或郡 : State [S] : 這是您公司合法登記所在的州或郡名稱,例如California, 如果沒有,可以填寫國名
6.公司登記的所在國家: Country[C] :這是您公司合法登記所在的國家,以國碼(兩碼)顯示, 如 US,TW
以上的資料是憑證主體名稱中會顯示的資料.
接下來決定加密強度,分成金鑰長度(RSA)與雜臭函數演算法,目前主流的金鑰長度為RSA 2048位元,雜臭函數要SHA2以上
都決定好後,我們就開始來製作CSR檔案囉
非常簡單, 我們先來到tmp的目錄下面,
第一步: 產生2048位元的金鑰 ,語法 : openssl genrsa -out private.key 2048 2048代表2048位元,如下圖
這時候會產製一個檔案出來,在tmp下,您可以使用vi看一下內容 vi private.key,如下圖
第二步: 產生產生CSR檔案 openssl req -new -sha256 -key private.key -out csr.csr 其中-sha256代表SHA2的雜臭函數演算法,
當您按下enter後,請依據畫面提示一步步填入上面準備好的的資訊,
Country Name (2 letter code) [XX]:TW => 填寫國名(兩碼),填完後按下enter
State or Province Name (full name) []:Taiwan =>填寫州或郡,填完後按下enter
Locality Name (eg, city) [Default City]:Taipei =>填寫城市名稱,填完後按下enter
Organization Name (eg, company) [Default Company Ltd]:sslbuyer Inc =>填寫公司名稱,填完後按下enter
Organizational Unit Name (eg, section) []:Security Dept =>填寫部門名稱,填完後按下enter
Common Name (eg, your name or your server's hostname) []:www.sslbuyer.com =>填寫保護網域名稱,填完後按下enter
Email Address []: Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它 =>填寫電子郵件地址(可不填),填完後按下enter
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []: =>請留空白,按下enter
An optional company name []:sslbuyer =>填寫公司名稱(可不填),填完後按下enter
如下圖
CSR檔案已經產生,如下圖
第三步:這時候來看一下csr.csr的檔案內容vi csr.csr,如下圖
這內容就是要複製並貼到到您申請網站的CSR頁面中!
以上就完成了CSR檔案的產製!此CSR檔案適用於任何一家的憑證請求檔格式!所以產製CSR檔案不一定要在指定的機器上製作!
特別注意:您的私密金鑰一定要保存好喔!將來等憑證申請下來後,需要一併放到web server的指定位置,來完成憑證的安裝!
另外提醒! 在產製的過程中,Common Name (eg, your name or your server's hostname)欄位,填寫方式
1.單網域=>直接輸入一個網域,如www.sslbuyer.com
2.多網域=>請在網域與網域以,隔開,如
www.sslbuyer.com,www.sslbuyergood.com,www.sslbuyernice.com....
可依據廠商的要求分隔
3.萬用網域=>請輸入*.sslbuyer.com