SSL 证书分为两大类:1)自签名证书,这是由同一实体签名的身份证书,该实体使用自己的私钥进行身份验证,2)由 CA 签名的证书(证书颁发机构),例如 Let's Encrypt、Comodo和许多其他公司。
自签名证书通常用于 LAN 服务或应用程序的测试环境。它们可以使用OpenSSL或任何相关工具免费生成。另一方面,对于敏感的、面向公众的生产服务、应用程序或网站,强烈建议使用由受信任的 CA 颁发和验证的证书。
获取由CA颁发和验证的SSL证书的第一步是生成CSR (证书签名请求的缩写)。
在本文中,我们将演示如何在 Linux 系统上创建CSR(证书签名请求)。
在 Linux 中创建 CSR – 证书签名请求
要创建CSR,您需要在系统上安装OpenSSL 命令行实用程序,否则,请运行以下命令来安装它。
$ sudo apt install openssl [在 Debian/Ubuntu 上] $ sudo yum install openssl [在 CentOS/RHEL 上] $ sudo dnf install openssl [在 Fedora 上]
然后发出以下命令来生成CSR和用于保护您的证书的密钥。
$ openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr
在哪里:
- req启用 OpenSSL 处理证书请求签名的部分。
- -newkey rsa:2048创建 2048 位 RSA 密钥。
- -nodes表示“不加密密钥”。
- -keyout example.com.key指定要写入创建的私钥的文件名。
- -out example.com.csr指定要写入 CSR 的文件名。
正确回答您将被问到的问题。请注意,您的答案应与有关您公司注册的法律文件中的信息相符。CA在颁发证书之前会严格检查此信息。
创建CSR后,使用cat 实用程序查看文件的内容,选择并复制它。
$ cat example.com.csr
然后返回您的 CA 网站,登录,转到包含您购买的 SSL 证书的页面,并将其激活。然后在如下所示的窗口中,将您的 CSR 粘贴到正确的输入字段中。
在此示例中,我们为从Namecheap购买的多域证书创建了CSR。
然后按照其余说明启动 SSL 证书的激活。有关 OpenSSL 命令的更多信息,请参阅其手册页:
$ 人openssl
目前为止就这样了!请始终记住,从 CA 获取您自己的 SSL 证书的第一步是生成 CSR。使用下面的反馈表提出任何问题或与我们分享您的意见。