Documentație5.2. Generarea unei cereri de semnare a certificatului (CSR)
Indiferent dacă obțineți un certificat de la o CA sau generați propriul certificat autosemnat, primul pas este să generați o cheie.
Dacă certificatul va fi folosit de demoni de serviciu, cum ar fi Apache, Postfix, Dovecot etc., o cheie fără o frază de acces este adesea adecvată. Lipsa unei fraze de acces permite ca serviciile să pornească fără intervenție manuală, de obicei modalitatea preferată de a porni un daemon.
Această secțiune va acoperi generarea unei chei cu o expresie de acces și una fără. Cheia fără expresie de acces va fi apoi utilizată pentru a genera un certificat care poate fi utilizat cu diverși demoni de serviciu.
Rularea serviciului dumneavoastră securizat fără o expresie de acces este convenabilă, deoarece nu va trebui să introduceți expresia de acces de fiecare dată când porniți serviciul securizat. Dar este nesigur și un compromis al cheii înseamnă și un compromis al serverului.
Pentru a genera chei pentru Cererea de semnare a certificatului (CSR) rulați următoarea comandă dintr-un prompt de terminal:
openssl genrsa -des3 -out server.key 2048
Se generează cheia privată RSA, modul lung de 2048 biți
..........................++++++
.......++++++
e este 65537 (0x10001)
Introduceți expresia de acces pentru server.key:
Acum puteți introduce expresia de acces. Pentru cea mai bună securitate, ar trebui să conțină cel puțin opt caractere. Lungimea minimă când se specifică -des3 este de patru caractere. Ar trebui să includă numere și/sau semne de punctuație și să nu fie un cuvânt într-un dicționar. De asemenea, amintiți-vă că expresia dvs. de acces ține cont de majuscule și minuscule.
Reintroduceți expresia de acces pentru a verifica. Odată ce ați reintrodus-o corect, cheia serverului este generată și stocată în server.cheie fișier.
Acum creați cheia nesigură, cea fără o frază de acces și amestecați numele cheilor:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv server.key.server nesigur.cheie
Cheia nesigură este acum numită server.cheie, și puteți utiliza acest fișier pentru a genera CSR fără expresie de acces. Pentru a crea CSR, rulați următoarea comandă la promptul terminalului:
openssl req -new -key server.key -out server.csr
Vă va solicita să introduceți expresia de acces. Dacă introduceți expresia de acces corectă, vă va solicita să introduceți Numele companiei, Numele site-ului, Id-ul de e-mail etc. Odată ce ați introdus toate aceste detalii, CSR-ul dvs. va fi creat și va fi stocat în server.csr fișier.
Acum puteți trimite acest fișier CSR unei CA pentru procesare. CA va folosi acest fișier CSR și va emite certificatul. Pe de altă parte, puteți crea un certificat autosemnat folosind acest CSR.