OpenSSL-使用OpenSSL生成CSR文件

OpenSSL-使用OpenSSL生成CSR文件

前言

在申请SSL证书之前,需要先生成CSR文件(CSR,Cerificate Signing Request,证书请求文件)。CSR是公钥证书的原始文件,它包含了服务器信息和单位信息,需要提交给CA认证中心。很多网站可以帮我们生成CSR文件,图形化的操作也非常方便,但毕竟不是我们本地生成,恐有key泄露的风险。为此,我找到了在Linux系统下通过OpenSSL工具生成该文件的方法。

读懂实践本文,你可能需要在技能树中点亮以下技能:

  • Linux系统操作基础

准备

  • 一台运行Linux系统的本地计算机或服务器

利用OpenSSL命令生成ECC CSR文件

我申请的SSL证书是ECC类型的(ECC,椭圆曲线加密),相对RSA类型的SSL证书,ECC类型有更好的性能,但其兼容性较RSA差。这里先介绍ECC类型SSL证书申请所用的CSR文件生成的过程。

  1. 使用以下命令在当前目录生成一个名为“Lexsion_ECC.key”的私钥文件,其加密方式为prime256v1。
openssl ecparam -out Lexsion_ECC.key -name prime256v1 -genkey
  1. 使用以下命令利用上面生成的私钥文件“Lexsion_ECC.key”生成一个CSR文件名为:Lexsion_ECC.csr
openssl req -new -key Lexsion_ECC.key -out Lexsion_ECC.csr

上文中“Lexsion_ECC.key”“Lexsion_ECC.csr”可自定义为需要的文件名。

利用OpenSSL命令生成RSA CSR文件

生成RSA CSR文件只需要一行命令。其中,Lexsion_RSA.csr为CSR文件,Lexsion_RSA.key为私钥文件。rsa:2048为加密强度,可按需求修改。

openssl req -out Lexsion_RSA.csr -new -newkey rsa:2048 -nodes -keyout Lexsion_RSA.key

最终的生成

无论是ECC算法还是RSA算法,生成CSR文件的过程中,都要求我们输入一些信息。我们只需要按照提示输入信息即可完成生成。

部分回显信息翻译:

Country Name (2 letter code) [XX]: #国家 ;两个字母表示,可留空。
State or Province Name (full name) []: #州或省;输入全称,可留空
Locality Name (eg, city) [Default City]: #所在城市;可留空
Organization Name (eg, company) [Default Company Ltd]: #组织名称;比如可填公司名称,可留空
Organizational Unit Name (eg, section) []: #组织部门名称;比如IT,可留空
Common Name (eg, your name or your server's hostname) []: #简称FQHN;填写单域名或泛域名,此处必填。
Email Address []: #邮箱地址;可不填写

A challenge password []: #密码;一般留空
An optional company name []: #可选公司名;可留空

按照提示输入完需要的信息后,key文件&csr文件会于当前所在目录产生。这时我们就可以把产生的CSR文件提交给CA了。私钥(key文件)非常重要,切记保存好,不能泄露。

参考

  1. openssl manpage
  2. 公钥加密算法那些事 | RSA 与 ECC 系统对比

标签: OpenSSL, CSR

添加新评论