CSR Apache SSL

生成CSR,需要先为服务器建立密钥配对。这两个项目是数字证书密钥配对,不能分开。如果您遗失公用/私密密钥档或密码后又再产生新的档案,则新档案与您的SSL 证书就不再相符。您将必须申请新的SSL 证书而且有可能需要付费。 【VeriSign 建议您洽询Apache-SSL 供应商以取得其他相关资讯】

步骤 1:产生密钥配对

公用程式openssl 可用来产生密钥和CSR。此公用程式随附OpenSSL 套件,通常会安装在/usr/local/ssl/bin 之下。如果您已将其安装在其他地方,您必须适当修改这里的说明。
在提示下输入以下指令:
[ openssl genrsa –des3 –out www.mydomain.com.key 1024 ]
此指令会产生1024 位元RSA 私密密钥,并将它储存在档案www.mydomain.com.key 中。
注意:若使用「延伸验证」证书,密钥位元长度必须为2048。

提示输入通关词组时:请输入安全密码并记住它,因为此通关词组会用来保护私密密钥。需要私密密钥和证书才能启用 SSL。

注意:若要略过通关词组要求,当产生私密密钥时请省略-des3 选项。如果您的私密密钥未获保护,VeriSign 建议限制服务器的存取,使仅取得授权的服务器管理员才能存取或读取私密密钥档。
步骤 2:产生 CSR
在提示下输入以下指令:
[ openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr ] 此指令会提示输入证书的以下X.509 属性:
国家名称:使用无标点符号的两个字母代码表示国家,例如:US 或CA。
州或省别:完整拼出州别;请勿使用州或省别名称的缩写,例如:California。
地区或城市:「地区」栏位是城市或乡镇名称,例如:Berkeley。请勿使用缩写。例如: Saint Louis,而非 St.Louis
公司:如果您的公司或部门名称中有&、@ 或其他使用shift 键的符号,请拼出该符号或在注册时省略此字元。例如:XY & Z Corporation 会是XYZ Corporation 或XY and Z Corporation。
组织单位:此栏位是选用的;但可用于识别在组织注册的证书。 「组织单位(OU)」栏位是提出要求的部门或组织单位的名称。若要略过OU 栏位,请在键盘上按Enter。
一般名称:「一般名称」是指主机+ 网域名称。类似于「www.company.com」或「company.com」。
VeriSign 证书仅能用于使用在登录期间指定的「一般名称」之Web 服务器。例如,使用网域「domain.com」的证书存取名称为「www.domain.com」或「secure.domain.com」网站时就会收到警告,因为「www.domain.com」和「 secure.domain.com」与「domain.com」不同。
在产生CSR 时,请勿输入您的电子邮件地址、通关词组或选用的公司名称。

现在您已经建立了公用/私密密钥配对。私密密钥(www.domain.com.key) 会储存在本机服务器上,并可用于解密。其中公用部分会以证书签章要求(certrequest.csr) 形式用于证书登录。
若要复制此资讯并将它贴至登录表中,请在「记事本」或Vi 等文字编辑器中开启此档案,然后将它储存为.txt 档。请勿使用Microsoft Word,因为它可能会插入额外的隐藏字元,而改变CSR 的内容。
在建立 CSR 后,请继续进行登录。
步骤 3:备份您的私密密钥
Verisign 建议您备份.key 档并储存对应的通关词组。您可以使用磁碟片或其他可携式媒体建立此档案的副本。虽然不需要备份私密密钥,但是当发生服务器故障时,它就会很有帮助。
在验证过程中,VeriSign 可能需要联络您的组织。务必提供电子邮件地址、电话号码和传真号码,以利快速检查和回覆。这些栏位不是证书的一部分。