Как создать CSR для присоединения SSL-сертификата к сайту?

Как я могу создать CSR для присоединения SSL-сертификата к сайту? В различных статьях об установке SSL-сертификатов описаны различные способы генерации секретного ключа и CSR. Это как две разные версии: (a) openssl req -nodes -newkey rsa: 2048 -keyout myserver.key -out server.csr и (b) openssl genrsa -des3 -out www.mydomain.com.key 2048 .

Так –

  1. Как создать CSR и закрытый ключ?
  2. В чем разница между командами, генерирующими CSR и ключ (a) и (b)?
  3. Нужно ли устанавливать пароль при создании CSR и ключа?
  4. Уменьшает, уязвим ли сайт для атаки в качестве пароля для закрытого ключа?

2 Solutions collect form web for “Как создать CSR для присоединения SSL-сертификата к сайту?”

SSL работает путем сопоставления открытых и закрытых ключей. Вот почему вы сначала должны сгенерировать ключ, а затем сгенерировать CSR на основе этого ключа. Позже, когда вы используете этот сертификат, вы найдете, что ваше приложение или служба должны знать, где находится сертификат AND, где находится ключ. Вам нужен ключ для правильного использования сертификата. В некоторых случаях ключ и cert могут быть объединены в один файл или импортированы в хранилище ключей java.

Когда вы видите флаг «-sha256» в команде openssl req, он сообщает openssl, что вы хотите поместить кодовую фразу в этот сертификат (это очень плохая идея и головная боль, 99% вероятность того, что вам не нужна кодовая фраза. Парольная фраза просто не позволяет кому-либо просмотреть ваш ресурс, если у них нет кодовой фразы специально для сертификата. Это никогда не используется, через 7 лет я НИКОГДА не видел, чтобы кто-либо использовал парольную фразу ssl.

Это отвечает на ваш вопрос о том, почему. Теперь как вы это делаете:

  1. openssl genrsa -out mydomain.com.key 2048

Теперь вы создали ключ шифрования в 2048 бит. Теперь вам нужно минимум 2048, или ваш сертификат не завершит аудит, и вам придется переделать его.

  1. openssl req -new -key ./mydomain.com.key -out mydomain.com.csr

Теперь вы сказали openssl создать CSR на основе этого ключа, который вы сделали в первой части. Теперь у вас есть эта CSR. Вы также можете использовать openssl для создания собственного сертификата без знака, или вы можете отправить регистратору, чтобы предоставить вам сертификат (стоимость $).

Когда вы получите этот сертификат, вы дадите директиву своему приложению или сервису, в котором указывается, где находится ключ и где находится сертификат. Если вы используете присвоенный сертификат, он все равно будет шифроваться так же хорошо, как и подписанный, но браузеры будут рассматривать его как ненадежный, потому что капитализм (и безопасность).

Я собираюсь вставить вам сайт, который действительно помог мне, когда я создавал свой сертификат ssl, и это было действительно полезно. Надеюсь, это сработает для вас.

Как создать сертификат SSL

  • Сертификат SSL подстановки не работает с открытым доменом
  • apache2 Неверная команда 'SSLEngine'
  • Подтверждение SSL-сертификата для xampp localhost
  • Как настроить Apache для обслуживания https?
  • Что случилось с моим сертификатом SSL?
  • Конвергенция с Firefox 3.6?
  • Проверка SMTP через SSL
  • Lynx считает, что все сертификаты не доверяют моему файлу конфигурации
  • Отключить SSLv3 В cURL?
  • Пусть шифрование - nginx - скрепление OCSP
  • Неподтвержденное сообщение об ошибке SSL?
  • Interesting Posts
    Linux и Unix - лучшая ОС в мире.