OpenSSL 精粹:SSL 证书、私钥和 CSR | Linux 中国

2020-06-08 00:00:00 命令 文件 生成 证书 选项
这本小抄风格的指南提供了 OpenSSL 命令的快速参考,这些命令在常见的日常场景中非常有用。
  • 来源:linux.cn/article-12293-
  • 作者:Mitchell Anicas
  • 译者:Xingyu.Wang

介绍

OpenSSL 是一个多功能的命令行工具,可以用于与 公钥基础设施(Public Key Infrastructure)(PKI)和 HTTPS(HTTP over TLS)相关的大量任务。这本小抄风格的指南提供了 OpenSSL 命令的快速参考,这些命令在常见的日常场景中非常有用。这包括生成私钥、 证书签署请求(certificate signing request)(CSR)和证书格式转换的 OpenSSL 示例,但它并没有涵盖 OpenSSL 的所有用途。

如何使用本指南

  • 如果你不熟悉证书签署请求(CSR),请阅读部分。
  • 除了部分,本指南采用了简单的小抄格式:自带了命令行代码片段。
  • 跳到与你准备完成的任务相关的任何部分。
  • 大多数命令都是单行的,为了清晰起见,已经扩展到多行(使用 \ 符号)。

关于证书签署请求(CSR)

如果你想从 证书颁发机构(certificate authority)(CA)那里获得 SSL 证书,你必须生成一个 证书签署请求(certificate signing request)(CSR)。一个 CSR 主要是由一个密钥对的公钥和一些附加信息组成。当证书被签署时,这两部分都会被插入到证书中。

每当你生成一个 CSR 时,你会被提示提供有关证书的信息。这些信息被称为 区分名称(Distinguised Name)(DN)。DN 中的一个重要字段是 通用名称(Common Name)(CN),它应该是你打算使用证书的主机的 完全合格域名(Fully Qualified Domain Name)(FQDN)。当创建 CSR 时,也可以通过命令行或文件传递信息来跳过交互式提示。

DN 中的其他项目提供了有关你的业务或组织的附加信息。如果你是从证书机构购买 SSL 证书,通常要求这些附加字段(如“ 组织(Organization)”)准确地反映你的组织的详细信息。

下面是一个 CSR 信息提示的例子:

---
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:Brooklyn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Brooklyn Company
Organizational Unit Name (eg, section) []:Technology Division
Common Name (e.g. server FQDN or YOUR name) []:examplebrooklyn.com
Email Address []:

相关文章