凭证签章要求 (CSR) 产生说明 - Apache SSL

General Information ID:    INFO198    Updated:    12/28/2015

Description

若要产生CSR,您需要先为伺服器建立金钥配对。这两个项目是数位凭证金钥配对,无法分开。如果您在SSL还未安装之前,遗失公用/私密金钥档或密码,您的SSL 凭证将需要再重发。私密金钥, 签章要求, 和凭证必要相符才能成功安装。
 
赛门铁克 建议您洽询Apache-SSL 供应商以取得其他相关资讯。  
 
观看视频演示: 如何​在​Apache服务器上轻松地生成一个证书签名请求​

 
步骤 1:产生金钥配对
 
注意:  所有的凭证必须是2048 位元或​以上
 
公用程式openssl 可用来产生金钥和CSR。
此公用程式随附OpenSSL 套件,通常会安装在/usr/local/ssl/bin 之下。
如果您已将其安装在其他地方,您必须适当修改这里的说明。
 
1. 在提示下输入以下指令:
 
openssl genrsa –des3 –out <金钥档名>.key 2048 
 
例如:

 
此指令会产生2048位元RSA 私密金钥,并将它储存在档案www.mydomain.com.key 中。
 
2. 提示输入 安全密码(passphrase):请输入安全密码并记住它,因为此安全密码是​用来保护私密金钥。 你将​需要私密金钥和凭证才能启用SSL。
 
注意若要略过安全密码要求,当产生私密金钥时请省略-des3 选项。如果您的私密金钥未获保护,赛门铁克 建议限制伺服器的存取,使仅取得授权的伺服器管理员才能存取或读取私密金钥档。
 
步骤 2:产生 CSR
 
1. 在提示下输入以下指令:
 
openssl req –new –key <金钥档名>.key –out <凭证签章要求档名>.csr
 
例如:
 
注意:   如果在Windows上使用OpenSSL可能需要openssl.cnf中指定路径,如下列  
openssl req -new -key <private key file name>.key -config "c:\Apache Software Foundation\Apache2.2\conf\openssl.cnf" -out <csr file name> .csr
 
此指令会提示输入凭证的以下X.509 属性:
 
  • 国家名称:使用无标点符号的两个字母代码表示国家,例如:US 或CA​
  • 州或省别完整拼出州别;请勿使用州或省别名称的缩写,例如:California​
  • 地区或城市:「地区」栏位是城市或乡镇名称,例如:Berkeley。请勿使用缩写。例如:Saint Louis,而非 St.Louis​
  • 公司:如果您的公司或部门名称中有&、@ 或其他使用shift 键的符号,请拼出该符号或在注册时省略此字元。例如:XY & Z Corporation 会是XYZ Corporation 或XY and Z Corporation​
  • 组织单位:此栏位是选用的;但可用于识别在组织注册的凭证。 「组织单位(OU)」栏位是提出要求的部门或组织单位的名称。若要略过OU 栏位,请在键盘上按Enter​
  • 一般名称:「一般名称」​​是指主机+ 网域名称。类似于「www.company.com」或「company.com」
赛门铁克 凭证仅能用于使用在登录期间指定的「一般名称」​​之Web 伺服器。例如,使用网域「domain.com」的凭证存取名称为「www.domain.com」或「secure.domain.com」的网站时就会收到警告,因为「www.domain.com」和「 secure.domain.com」与「domain.com」不同。
 
注意: 在产生 CSR 时,请勿输入您的电子邮件地址(email address)、通关词组(A challenge password ) 或选用的公司名称(An option company name)
 
2. 现在您已经建立了公用/私密金钥配对。私密金钥(www.domain.com.key) 会储存在本机伺服器上,并可用于解密。其中公用部分会以​​凭证签章要求(ce​​rtrequest.csr) 形式用于凭证登录。
 
3. 若要复制此资讯并将它贴至登录表中,请在「记事本」或Vi 等文字编辑器中开启此档案,然后将它储存为.txt 档。请勿使用Microsoft Word,因为它可能会插入额外的隐藏字元,而改变CSR 的内容。
 
 
5. 在建立CSR 后,请继续进行登录
 
步骤3:备份您的私密金钥
 
赛门铁克 建议您备份.key 档并储存对应的通关词组。您可以使用磁碟片或其他可携式媒体建立此档案的副本。虽然不需要备份私密金钥,但是当发生伺服器故障时,它就会很有帮助。
 
联络资讯
 
在验证过程中,赛门铁克 可能需要联络您的组织。务必提供电子邮件地址、电话号码和传真号码,以利快速检查和回覆。这些栏位不是凭证的一部分。
 
 

 一旦证书已发出,请遵循此链接步骤在您的服务器上安装证书 INFO193

Contact Support

Find Answers