文件记录5.2. 生成证书签名请求 (CSR)
无论您是从 CA 获取证书还是生成自己的自签名证书,第一步都是生成密钥。
如果证书将被服务守护进程使用,例如 Apache、Postfix、Dovecot 等,没有密码短语的密钥通常是合适的。 没有密码允许服务在没有人工干预的情况下启动,这通常是启动守护程序的首选方式。
本节将介绍生成带密码的密钥和不带密码的密钥。 然后,非密码短语密钥将用于生成可与各种服务守护程序一起使用的证书。
在没有密码的情况下运行安全服务很方便,因为您无需在每次启动安全服务时都输入密码。 但它是不安全的,密钥的泄露也意味着服务器的泄露。
生成 键 对于证书签名请求 (CSR),从终端提示符运行以下命令:
openssl genrsa -des3 -out server.key 2048
生成 RSA 私钥,2048 位长模数
.....................++++++
......++++++
e 是 65537 (0x10001)
输入 server.key 的密码:
您现在可以输入密码。 为获得最佳安全性,它至少应包含八个字符。 指定 -des3 时的最小长度为四个字符。 它应该包括数字和/或标点符号,而不是字典中的单词。 还要记住,您的密码是区分大小写的。
重新键入密码以进行验证。 一旦您重新输入正确,服务器密钥就会生成并存储在 server.key 文件中。
现在创建不安全的密钥,没有密码短语的密钥,并随机调整密钥名称:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv server.key.insecure server.key
不安全的密钥现在被命名为 server.key,您可以使用此文件生成没有密码的 CSR。 要创建 CSR,请在终端提示符处运行以下命令:
openssl req -new -key server.key -out server.csr
它会提示您输入密码。 如果您输入正确的密码,它会提示您输入公司名称、站点名称、电子邮件 ID 等。输入所有这些详细信息后,您的 CSR 将被创建并存储在 服务器.csr 文件中。
您现在可以将此 CSR 文件提交给 CA 进行处理。 CA 将使用此 CSR 文件并颁发证书。 另一方面,您可以使用此 CSR 创建自签名证书。