制作CSR申请文件
|
Openssl模式。
|
制作Openssl模式下的Resin用CSR请求文件
|
(注意:您必须同时保存server.key和server.csr文件)
|
如果要在本地制作CSR和KEY文件,可以采用Openssl命令行工具来生成CSR文件,OpenSSL工具是免费的,可以从www.openssl.org下载到最新的源码,但需要自己编译,你也可以下载使用已经编译好的OpenSSL
0.9.8.a for win32
|
1、Openssl是一个命令行工具,首先将下载包解压到C:\openssl下。
|
2、打开DOS命令行窗口,进入C:\openssl,输入命令: openssl req -new -nodes -keyout server.key -out
server.csr
|
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...........................++++++
....................................++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Shanghai
Organization Name (eg, company) [Internet Widgits Ltd]:
Shanghai Fastcom Technology Co.,Ltd.
Organizational Unit Name (eg, section) []:IT Dept.
Common Name (eg, YOUR name) []:www.myssl.cn
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
|
3、在完成了如上的交互信息输入后,当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。
|
4、在这一命令执行的过程中,系统会要求您填写如下信息:
|
Country Name (2 letter code)
|
使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
|
State or Province Name (full name)
|
省份,比如填写Shanghai
|
Locality Name (eg, city)
|
城市,比如填写Shanghai
|
Organization Name (eg, company)
|
组织单位,比如填写公司名称的拼音
|
Organizational Unit Name (eg, section)
|
比如填写IT Dept
|
Common Name (eg, your websites domain name):
|
行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
pay.abc.com 又是另外一个网站。
|
Email Address
|
邮件地址,可以不填
|
A challenge password
|
可以不填
|
An optional company name
|
可以不填
|
|
5、如何产生2048位的密钥对?
|
在上面的命令行交互中,我们看到“Generating a 1024 bit RSA private key”,即系统缺省采用1024位的RSA密钥长度,一般来说1024位是足够的,但是在申请EV证书的时候,我们必须采用2048位的密钥长度,要生成2048位的密钥,可以修改上面的命令行:(斜体部分为增加的参数)
|
openssl req -new -nodes -newkey rsa:2048 -keyout server.key -out server.csr
|
6、如何制作中文的CSR文件?
|
中文CSR文件,主要指企业名称、部门,城市,省份等信息采用中文,通用名和国家代码仍然必须是英文的,GeoTrust目前已经全面支持中文的CSR,要制作中文的CSR
|
如果希望自己通过Openssl工具来制作中文CSR就需要多费一些工夫了,下面详细介绍一下采用Openssl命令行制作中文CSR的方法。 Openssl本身是可以支持UTF-8编码来支持中文的,但是如果通过DOS命令行是无法输入UTF-8的中文字符的,所以我们必须采用Opnessl.cnf配置文件的缺省值来实现中文字的输入。采用一个文本编辑器,最好是支持utf-8字符的,我采用UltraEdit,打开Openssl.cnf文件,首先修改:
|
string_mask = utf8only
|
这句话将强制字符的输入采用UTF-8的编码格式,然后修改缺省DN信息,录入我们需要合中文字符,如下
|
commonName_default = www.easyssl.cn
organizationName_default = 上海迅通科技有限公司
organizationalUnitName_default = IT 部门
stateOrProvinceName_default = 上海
localityName_default = 上海
countryName_default = CN
|
然后将文件按utf-8,no bom的编码格式保存,在Ultraedit下,请选择“另存为”,格式为“UTF-8 - NO-BOM”。如果没有可以支持UTF-8的编辑工具,也可以下载一个ICONV来做编码转换工作。
|
准备好openss.cnf文件后,输入命令行: openssl req -utf8 -config config.cnf -new -nodes -batch
-keyout server.key -out server.csr 系统将自动生成CSR文件,保存在server.csr中。
|
CSR已经做好,最后强调,必须同时保存好server.csr和server.key2个文件,尤其是server.key一定丢失,将无法再使用这个证书。
|
JSSE模式。
|
常见的JKS文件制作,要采用Keytool工具,这个工具是JRE自带的。通过命令行的方式输入CSR信息,而且可以支持中文资料。 首先,生成一个新的jks文件,命令如下:
keytool -genkey -alias tomcat -keyalg RSA -keystore c:\server.jks
|
输入密钥库密码:changeit
您的姓名是什么?
[未知]: www.myssl.cn
您的组织单位名称是什么?
[未知]: Shanghai Fastcom Technology Co.,Ltd
您的组织名称是什么?
[未知]: It Dept.
您的市/县/区或地点名称是什么?
[未知]: Shanghai
您的省/直辖市名称是什么?
[未知]: Shanghai
此单位的两字母国家或地区代码是什么?
[未知]: CN
CN=www.myssl.cn, OU="Shanghai Fastcom Technology Co.,Ltd",
O=It Dept., L=Shanghai, ST=Shanghai, C=CN 正确吗?
(输入“yes”或“no”)
[否]: Y
为 <tomcat> 输入密钥密码
(如果与密钥库密码相同则返回):
|
说明: 输入keystore密码: 请输入保护证书密钥的密码。
|
您的名字与姓氏是什么?请输入域名,例如:www.easyssl.cn
|
您的组织单位名称是什么?请输入单位名称,如: Shanghai Fastcom Technology Co Ltd
|
您的组织名称是什么?请输入部门名称,如: IT Dept
|
您所在的城市或区域名称是什么?输入城市名称,如:Shanghai
|
您所在的州或省份名称是什么?输入省份名称,如:Shanghai
|
该单位的两字母国家代码是什么?中国请输入CN
|
CN=www.myssl.cn, OU=Shanghai Fastcom Technology Co Ltd, O=IT Dept, L=Shanghai, ST=Shanghai,
C=CN 正确吗?输入 Y
|
输入的主密码(如果和 keystore 密码相同,按回车):按回车
|
根据这个jks文件产生一个csr文件,输入命令: keytool -certreq -alias tomcat -keystore server.jks -file
server.csr
|