Поиск по сайту:

Как сгенерировать запрос на подпись сертификата (CSR) с помощью OpenSSL?

Введение

Запрос на подпись сертификата (CSR) — это документ, содержащий информацию об объекте, запрашивающем сертификат SSL/TLS. CSR включает в себя открытый ключ и соответствующую идентифицирующую информацию об объекте, такую как его имя и местоположение. Эта информация используется центром сертификации (CA) для проверки того, что объект, запрашивающий сертификат, является тем, кем он себя выдает.

CSR является важной частью процесса получения сертификата SSL/TLS, поскольку он позволяет проверить вашу личность и право собственности на ваш домен. Без действующего CSR вы не сможете получить сертификат SSL/TLS, а это означает, что ваш веб-сайт не будет защищен шифрованием.

Понимание OpenSSL и его компонентов

OpenSSL — это набор инструментов с открытым исходным кодом, который обеспечивает безопасный канал связи между двумя компьютерами через Интернет. Он использует различные криптографические функции для обеспечения конфиденциальности, целостности и подлинности данных. OpenSSL стала одной из наиболее широко используемых криптографических библиотек в мире с поддержкой различных операционных систем, включая Linux, Windows и macOS.

Закрытый ключ

Закрытый ключ — это криптографически безопасный ключ, который может использоваться физическим или юридическим лицом для цифровой подписи сообщений, поэтому их может проверить только тот, кто имеет доступ к соответствующему открытому ключу.

При создании CSR с использованием OpenSSL важно помнить, что ваш закрытый ключ всегда должен оставаться конфиденциальным, поскольку, если он попадет в чужие руки, он может быть использован в злонамеренных целях, таких как выдача себя за другое лицо или подделка. Чтобы сгенерировать закрытый ключ с помощью OpenSSL, мы используем эту команду —

openssl genrsa -out my_private_key.key 2048

Это создаст новый файл с именем `my_private_key.key` в нашем текущем каталоге, который будет содержать наш недавно сгенерированный закрытый ключ, который мы позже будем использовать при создании нашего CSR.

Открытый ключ

Открытый ключ служит идентификатором вашего личного ключа, позволяя другим отправлять вам зашифрованные сообщения без ущерба для своей конфиденциальности, поскольку ваш закрытый ключ всегда остается конфиденциальным. Криптография с открытым ключом, лежащая в основе SSL/TLS, основана на том, что эти ключи математически связаны, но различны; должно быть вычислительно невозможно сгенерировать один ключ из другого.

Чтобы сгенерировать открытый ключ с помощью OpenSSL, мы используем эту команду —

openssl rsa -in my_private_key.key -out my_public_key.crt -pubout

Это создаст новый файл с именем my_public_key.crt в нашем текущем каталоге, который будет содержать наш недавно сгенерированный открытый ключ. Позже мы будем использовать этот открытый ключ при создании нашего CSR.

Генерация закрытого ключа с помощью OpenSSL

Что такое закрытый ключ и почему он важен?

Закрытый ключ — это криптографический ключ, который используется для защиты связи между двумя сторонами. В случае SSL/TLS закрытый ключ используется для шифрования данных, отправляемых с сервера клиенту. Важно сгенерировать закрытый ключ, поскольку он позволяет вам создать безопасное соединение между вашим сервером и клиентами, что важно для обеспечения безопасности конфиденциальной информации, такой как номера кредитных карт и пароли.

Пошаговые инструкции о том, как сгенерировать закрытый ключ с помощью OpenSSL

Чтобы сгенерировать закрытый ключ с помощью OpenSSL, выполните следующие простые шаги:

  • Откройте терминал или командную строку и введите следующую команду —

openssl genrsa -out example.com.key 2048

Замените «example.com» на свое доменное имя.

  • Затем вам будет предложено ввести парольную фразу для вашего закрытого ключа.

    Эта фраза-пароль должна быть чем-то надежным, чтобы вы могли легко ее запомнить.

  • После того, как вы введете парольную фразу, OpenSSL сгенерирует ваш закрытый ключ и сохранит его как «example.com.key» в текущем каталоге.

    Важно отметить, что после того, как вы сгенерировали свой закрытый ключ, вам следует хранить его в безопасности.

Создание открытого ключа из закрытого ключа

Определение открытого ключа и его важность в создании CSR

Открытый ключ — это криптографический ключ, который используется для шифрования данных и проверки цифровых подписей. Он широко используется в протоколах веб-безопасности, таких как SSL/TLS, где помогает установить безопасную связь между серверами и клиентами.

Затем центр сертификации использует этот открытый ключ для создания сертификата SSL, который можно использовать для безопасной связи. Важность открытого ключа в формировании CSR невозможно переоценить.

Пошаговые инструкции о том, как создать открытый ключ из закрытого ключа с помощью OpenSSL

Чтобы создать открытый ключ из вашего закрытого ключа с помощью OpenSSL, выполните следующие действия:

  • Откройте окно терминала и перейдите в каталог, в котором хранится ваш закрытый ключ.

  • Введите следующую команду –

openssl rsa -in privkey.pem -pubout -out pubkey.pem

Замените «privkey.pem» именем вашего файла закрытого ключа, а «pubkey.pem» — именем, которое вы хотите дать новому созданному файлу открытого ключа.

  • Нажмите Ввод.

  • Вам будет предложено ввести парольную фразу закрытого ключа, если она была установлена во время генерации.

  • После успешного ввода вы должны увидеть вывод, похожий на —

writing RSA key -----BEGIN PUBLIC KEY----- 
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5mg4yAgzgzY6rS/yz1lx lXTCjLv6NifJ45XQmOt3G+zs2RLpT8coUhU04KNxMm5N+RyOoK7Fw9ud1PvS0yRG 
tCji8bz0Hbszgde4hZl7ogcZffKtWXAkg/TltaiUxrOaEgWJ5jBNs9wAMRqvBR4k 5fetn1Gz/SNSd03LqAFg48mvn67/NA+iQlLOyBbLjMoxoJ2kRSsEnUU6K0AFiXrI 
uPVPYHzDv7qc+eTsqyzKrHG4hg/kVI6xCZNFGX4aWBFEkz50VibLooRv15ymW72y SvqfMY8dZKM033IFDhgx4wjBKCEGD04ehqicI7cP89LCBQr3A+RzfV02riB0UFTs 
DwIDAQAB -----END PUBLIC KEY-----

Этот вывод представляет ваш вновь созданный открытый ключ. Поздравляем, вы успешно создали открытый ключ из своего закрытого ключа с помощью OpenSSL!

Генерация открытого ключа из закрытого ключа является важным шагом в создании действительного запроса на подпись сертификата при использовании OpenSSL.

Создание запроса на подпись сертификата (CSR)

Определение КСО и почему это важно.

Запрос на подпись сертификата (CSR) — это цифровой файл, содержащий информацию об организации и открытый ключ, который будет включен в сертификат SSL/TLS. CSR отправляется в центр сертификации (CA) при запросе сертификата SSL/TLS.

Центр сертификации будет использовать эту информацию для создания подписанного сертификата, удостоверяющего личность организации. Важно создать CSR, поскольку без него организация не сможет получить сертификат SSL/TLS.

Сертификат SSL/TLS шифрует конфиденциальные данные, передаваемые через Интернет между веб-сервером и клиентским браузером, обеспечивая безопасную связь.

Пошаговые инструкции о том, как создать запрос на подпись сертификата с помощью openssl.

Чтобы создать CSR с использованием OpenSSL, выполните следующие действия:

  • Откройте терминал или командную строку

  • Создайте закрытый ключ —

openssl genpkey -algorithm RSA -out example.com.key

  • Введите свои данные в CSR:

openssl req -new -key example.com.key -out example.com.csr

  • Вам будет предложено ввести различные данные, такие как название страны, название штата или провинции, название организации и т. д., заполните эти поля по мере необходимости.

  • Ваш CSR был создан и сохранен в файле example.com.csr.

Обязательно надежно храните файл закрытого ключа, а также сгенерированный файл CSR, поскольку они оба являются важными компонентами получения подписанных сертификатов SSL/TLS от центров сертификации.

Проверка запроса на подпись сертификата (CSR)

После создания CSR важно проверить его точность, чтобы избежать потенциальных ошибок в процессе подписания сертификата. Чтобы проверить свой CSR, вы можете использовать встроенные инструменты проверки OpenSSL.

Во-первых, выполните следующую команду, чтобы проверить, соответствует ли CSR закрытому ключу:

openssl req -noout -modulus -in [csr_file].csr | openssl md5

Затем запустите эту команду, чтобы убедиться, что информация в вашем CSR верна –

openssl req -text -in [csr_file].csr

Если все совпадает и нет ошибок, вы можете приступить к отправке CSR на подпись.

Заключение

Генерация запроса на подпись сертификата (CSR) с помощью OpenSSL на первый взгляд может показаться сложной задачей; однако это важный шаг в получении подписанного сертификата SSL для вашего веб-сайта или приложения. Выполнив действия, описанные в этой статье, и проверив точность вашего CSR, вы сможете обеспечить бесперебойный процесс отправки его в выбранный вами центр сертификации на подпись.

Статьи по данной тематике: