OpenSSL生成证书请求CSR
查看pdf
一、部署前特别说明
-
本文档主要描述如何通过openssl产生密钥对;
-
本指南在windows下适用OpenSSL工具方式生成证书请求文件;
-
您可以使用其它方式并不要求按照本指南在windows下使用OpenSSL工具方式生成证书请求文件;
二、生成证书请求
1.安装OpenSSL工具
您需要使用Openssl工具来创建证书请求。
安装完后将C:OpenSSL�in目录下的openssl.cfg重命名为openssl.cnf
2.生成服务器证书私钥
命令行进入C:OpenSSL�in,生成证书私钥。如产生的私钥文件可以是server.key这样简单的命名或者使用我们推荐的使用主机域名方式进行命名。
cd c:OpenSSL�in
先设置环境变量
set OPENSSL_CONF=openssl.cnf
参考:
openssl genrsa -out server.key 2048
例:
openssl genrsa -out D: key?2048
?3.生成服务器证书请求(CSR)文件
参考:
openssl req -new -key server.key -out certreq.csr
例:
openssl req -new -key D: key?-out D:certreq.csr
如出现以下报错请先设置环境变量
set OPENSSL_CONF=openssl.cnf
执行成功后提示要输入您的相关信息。填写说明:
1.Country Name:
填您所在国家的ISO标准代号,如中国为CN,美国为US
2.State or Province Name:
填您单位所在地省/自治区/直辖市,如广东省或 Guangdong
3.Locality Name:
填您单位所在地的市/县/区,如佛山市或Foshan
4.Organization Name:
填您单位/机构/企业合法的名称,如数安时代科技股份有限公司或Global Digital Cybersecurity Authority Co., Ltd.
5.Organizational Unit Name:
填部门名称,如技术支持部或Technical support
6.Common Name:
填域名。在多个域名时,填主域名
7.Email Address:
填您的邮件地址,不必输入,按回车跳过
8.‘extra’attributes
从信息开始的都不需要填写,按回车跳过直至命令执行完毕。
除第1、6、7、8项外,2-5的信息填写请统一使用中文或者英文填写。并确保您填写的所有内容和您提交到GDCA的内容一致,以保证SSL证书的签发。
4.提交证书请求
请您保存证书私钥文件cn.key,最好复制一份以上副本到不同的物理环境上(如不同的主机),防止丢失。并将证书请求文件certreq.csr提交给GDCA。
三、服务器证书转码与CA证书链生成
1.获取服务器证书的根证书和CA证书
服务器证书需要安装根证书和CA证书,以确保证书在浏览器中的兼容性。有两种方式获取。
1.1 从邮件中获取
在您完成申请GDCA服务器证书的流程后,GDCA将会在返回给您的邮件中附上服务器证书以及根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书。如果您申请的是睿信(OV) SSL证书(Organization Validation SSL Certificate),CA证书就是文件就是GDCA_TrustAUTH_R4_OV_SSL_CA.cer;如果您申请的是恒信企业EV SSL证书(Extended Validation SSL Certificate),CA证书就是文件就是GDCA_TrustAUTH_R4_EV_SSL_CA.cer,请确认所收到的证书文件是您需要的CA证书:?(注意:所发至邮箱的文件是压缩文件,里面有3张证书,请确认所收到的证书文件是您需要的CA证书文件)
四、证书遗失处理
若您的证书文件损坏或者丢失且没有证书的备份文件,请联系GDCA(客服热线 95105813)办理遗失补办业务,重新签发服务器证书。
