Чтобы сгенерировать CSR и приватный ключ в Апаче modSSL, следуйте следующим инструкциям:
Первое, что Вы должны знать - это полное имя домена (FQDN), для которого требуется сертификат.
Если Вы планируете входить на страничку https://, тогда Ваш FQDN имеет вид www.vashdomen.com.
www.vashdomen.com будет Вашим именем домена.
Сгенерируйте ключ следующей коммандой:
Код: Выделить всё
$ openssl genrsa -des3 -out www.vashdomen.com.key 1024
Эта комманда сгенерирует ключ 1024 бит RSA Private Key и запишет его в файл www.vashdomen.com.key.
Во время генерации, будет задан вопрос:
Enter pass phrase for www.vashdomen.com.key
Используйте любое слово в сочетании букв, и запомните его.
Если Вы не хотите защитить свой ключ фразой (паролем) (Только если Вы абсолютно уверены в своей машине, и имеете к ней полный доступ так, что сможете в любое время прочитать этот ключ), Вы можете тогда запустить комманду без опции -des3.
Вопрос: Для чего нужен ключ?
Ответ: Сертификат без ключа будет бесполезен!
Вопрос: Обязательно ли вводить пароль? (с опцией -des3)
Ответ: Не обязательно. Это всего лиш способ защиты, но никак не параноя.
Запишите Ваш www.vashdomen.com.key файл и сделайте запись контрольной фразы(например в записной книжке).
Хорошей идеей может служить запись файлы на дискету или отдельный диск на домашней машине.
Теперь сделайте CSR следующей коммандой:
Код: Выделить всё
$ openssl req -new -key www.vashdomen.com.key -out www.vashdomen.com.csr
--Country Name (2 letter code) [AU]:DE
--State or Province Name (full name) [Some-State]:Brandenburg
--Locality Name (eg, city) []:Schwedt/Oder
--Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ich-AG Nowikow
--Organizational Unit Name (eg, section) []:Hosting
--Common Name (eg, YOUR name) []:www.vashdomen.com
--Email Address []:
hostmaster@rucable.net--Please enter the following 'extra' attributes
--to be sent with your certificate request
--A challenge password []:
--An optional company name []:RuCable
Эта комманда, в процессе работы, будет выводить вопросы (спрашивать Вас) о X.509 аттрибутов для Вашего сертификата. Не забудьте дать имя www.vashdomen.com когда будет задан вопрос `Common Name (eg, YOUR name)'. Не вводите здесь Ваше персональное имя. Когда корневой сервер запросит имя для домена, - это имя должно будет совпадать с именем Вашего Вебсайта (требование браузеров). Таким образом Общее Название должно соответствовать FQDN вашего вебсайта.
На этом мы закончили генерацию ключа и файла подписи .csr
----------------------------------------------
Сгенерируйте временный self-signed сертификат:
Код: Выделить всё
$ openssl x509 -req -days 30 -in www.vashdomen.com.csr -signkey www.vashdomen.com.key -out www.vashdomen.com.crt
Эта комманад сгенерирует временный сертификат для Вашего сайта и запишет его в файл www.vashdomen.com.crt, который может быть использован как временный сертификат, пока Вы не купите сертификат от корневого провайдера (Thawte etc).
Теперь у Вас есть RSA частный ключ(Private Key), который находится в файле www.vashdomen.com.key
и сертификат в файле www.vashdomen.com.csr. Файл www.vashdomen.com.key - это Ваш секретный ключ, и должен быть установлен в соответствии с инструкцией для mod_ssl.
Файл www.vashdomen.com.csr - это Ваш CSR, и он выглядет примерно так:
-----BEGIN CERTIFICATE REQUEST-----
MIIBPTCB6AIBADCBhDELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2Fw
ZTESMBAGA1UEBxMJQ2FwZSBUb3duMRQwEgYDVQQKEwtPcHBvcnR1bml0aTEYMBYG
A1UECxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cuZm9yd2FyZC5jby56
YTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDT5oxxeBWu5WLHD/G4BJ+PobiC9d7S
6pDvAjuyC+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuuPlHDAgEDoAAw
DQYJKoZIhvcNAQEEBQADQQBf8ZHIu4H8ik2vZQngXh8v+iGnAXD1AvUjuDPCWzFu
pReiq7UR8Z0wiJBeaqiuvTDnTFMz6oCq6htdH7/tvKhhsdafasdg;lasdgpw4tER
-----END CERTIFICATE REQUEST-----
содержание этого файла CSR (www.vashdomen.com.csr) -это то что вы должны предоставить в форму,
на сайте, где Вы будете покупать сертификат.