在安装数字证书时,需要准备CSR证书请求文件,本文主要介绍一下如何在常用服务器下生成CSR证书请求文件,以nginx为例,在Linux服务器中,我们通常采用openSSL来配置csr文件
第一步,生成私钥
以root登录到服务器,并进入根root用户目录
root@yourhost:~# cd ~
在已安装openSSL的服务器中输入以下命令,用来生成私钥
sudo openssl genrsa -out server.key 2048
也可以设置口令如下,如果使用在线CSR请求工具,带有下述口令的不会被识别错误(如使用上述命令,直接跳过到第二步)
sudo openssl genrsa -des3 -out server.key 2048
通常现在全球大多SSL证书商都是基于2048方式加密,所以私钥也是2048位,回车之后出现下述指令
Enter pass phrase for server.key:12345
输入“12345”方便好记,下一步会要求重新输入
Verifying - Enter pass phrase for server.key:12345
输入完毕,这时会在当前目录下看到server.key文件(/root/server.key)
第二步,生成CSR证书请求文件
输入下述指令,依赖于上面生成的server.key
sudo openssl req -new -key server.key -out server.csr
然后看到下一步会逐步要求输入前面的phrase,也就是12345
Enter pass phrase for test.key:12345
再就会要求输入相关信息,请务必认真输入,并不能有其它字符
Common Name不是Company Name,本项千万不可输入错误,会影响到证书安装!这是表示证书验证的域名,比如gworg.com和www.gworg.com,如果用户想节省成本,同时使用不带www和带www,那就在Common Name中直接输入gworg.com顶级域名
Country Name (2 letter code) [AU]:CN #国家代码State or Province Name (full name) [Some-State]:ShangHai #省份Locality Name (eg, city) []:ShangHai #城市Organization Name (eg, company) [Internet Widgits Pty Ltd]:Goovell Inc #公司名称Organizational Unit Name (eg, section) []:IT #部门名称Common Name (e.g. server FQDN or YOUR name) []: www.gworg.com #对应验证证书域名Email Address []: admin@gworg.com #管理员邮箱
继续回车,会要求输入补充信息
Please enter the following 'extra' attributes to be sent with your certificate request
下述留空即可
A challenge password []:An optional company name []:
再到当前目录下,即可看到server.csr文件(/root/server.csr)
用记事本或者其它编辑器将server.csr的内容保存为utf-8格式编码,并转交给证书商INFINISIGN,剩下的就是等待证书商颁发证书文件。后续操作请参阅其它教学