概述
本文主要介紹如何製作CSR(Certificate Signing Request)檔案。
詳細資料
申請數位憑證之前,您必須先產生認證的密鑰檔案和CSR檔案。CSR檔案是您的密鑰憑證原始檔案,包含了您的伺服器資訊和您的單位資訊,需要提交給CA認證中心進行審核。建議您使用系統建立的CSR檔案,避免出現輸入資訊錯誤而導致審核失敗,若審核失敗請參見上傳CSR檔案時出現“審核失敗-主網域名稱不可為空”報錯。若您選擇手動產生CSR檔案,請務必妥善保管並備份您的密鑰檔案。手動產生CSR檔案時需要注意以下資訊:
輸入的中文資訊需要使用UTF-8編碼格式,同時需要在編輯OpenSSL工具時,指定支援UTF-8編碼格式。
認證服務系統對CSR檔案的密鑰長度有嚴格要求,密鑰長度必須是2048bit,密鑰類型必須為RSA。如果申請認證是多網域名稱或者通配子網域名稱,在
Common Name
或What is your first and last name?
地區只需要輸入一個網域名稱。
以下是使用不同工具產生CSR檔案的詳細內容。
如果您需要輸入中文資訊,建議使用Keytool工具產生CSR檔案。
使用OpenSSL工具產生CSR檔案
登入伺服器。
安裝OpenSSL工具。
執行以下命令,產生CSR檔案。
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout [$Key_File] -out [$OpenSSL_CSR]
-new:指定產生一個新的CSR檔案。
-nodes:指定密鑰檔案不被加密。
-sha256:指定摘要演算法。
-newkey rsa:2048:指定密鑰類型和長度。
[$Key_File]:密鑰檔案名稱。
[$OpenSSL_CSR]:加密後檔案的存放路徑。
說明系統顯示類似如下。
根據系統返回的提示,輸入產生CSR檔案所需的資訊。以下是關於提示的說明:
Organization Name:公司名稱,可以是中文或英文。
Organization Unit Name:部門名稱,可以是中文或英文。
Country Code:申請單位所屬國家,只能是兩個字母的國家碼。例如,中國只能是CN。
State or Province:州名或省份名稱,可以是中文或英文。
Locality:城市名稱,可以是中文或英文。
Common Name:申請SSL認證的具體網站網域名稱。
Email Address:可選擇不輸入。
A challenge password:可選擇不輸入。
完成命令提示的輸入後,目前的目錄下擷取密鑰檔案和CSR檔案。
使用Keytool工具產生CSR檔案
登入伺服器。
安裝Keytool工具。
說明Keytool工具一般包含在JDK工具包中。
執行以下命令,產生keystore認證檔案。
keytool -genkey -alias [$Alias] -keyalg RSA -keysize 2048 -keystore [$Keytool_Path]
-keyalg:密鑰類型。
-keysize:密鑰長度為2048bit。
[$Alias]:認證別名,可自訂。
[$Keytool_Path]:認證檔案儲存路徑。
說明根據系統返回的提示,輸入認證保護密碼。
根據系統返回的提示,輸入產生CSR檔案所需的資訊。以下是關於提示的說明:
first and last name:申請認證的網域名稱。
name of your organizational unit:部門名稱。
name of your organization:公司名稱。
name of your City or Locality:城市名稱。
name of your State or Province:州名或省份名稱。
two-letter country code for this unit:兩位字元的ISO國家代碼。
確認輸入內容是否正確,輸入
Y
表示正確。根據提示輸入密鑰密碼。
執行以下命令,產生CSR檔案。
keytool -certreq -sigalg SHA256withRSA -alias [$Alias] -keystore [$Keytool_Path] -file [$Keytool_CSR]
sigalg:摘要演算法。
[$Keytool_CSR]:CSR檔案存放路徑。
說明根據提示輸入認證密碼,產生CSR檔案。
適用於
SSL認證