产生 CSR 档

如您要启用您的 SSL 凭证,请先生成一个 CSR 档 (Certificate Signing Request)。

CSR 档是一个经加密过的文字区块,里头注明了您的身份以及要透过凭证保护的域名(包含子域名或wildcard)网址为何。您必须透过特定的软体才能生成 CSR 档,另外还要将生成的内容复制并贴在网路表格上,才能够启用您的申请。

这里提供您两个常用来做为生成 CSR 档的程式。请您务必在我们网站上的凭证建立过程中注明您是使用那一个程式生成 CSR 档,所以建议您一次就把上述事宜全部完成,您才不会搞混。

使用 Apache/ModSSL (基于 OpenSSL) 来生成您的 CSR 档

RSA 金钥至少须是 2048 位元,而且要是 1024 的倍数。

如果您的凭证是要使用在我们的 Simple Hosting 产品上,则您的金钥只能是 2048 位元。

Gandi 也支援使用 SHA2 来建立凭证。即使 SHA2 比 SHA1 来的更安全,但您还是可以根据您的情况继续使用 SHA1 。会发生这样的情况发生是因为有些浏览器及作业系统不支援 SHA2。如果您认为使用 SHA2 才符合您 SSL 凭证的需求,而且不会对来您网站的访客造成影响,请您放心使用。

如果您选择使用 SHA2,我们建议您在伺服器上安装 中继凭证以及 交互签署凭证 ,如此一来可降低网路浏览器不相容的风险。

以 SHA-1 或 SHA-2 生成 CSR 档

凭证的交付取决于 CSR 档的编码类型。

一般预设的 OpenSSL 是以 SHA1 生成 CSR 档,所以如果要取得 SHA2 的凭证,您必须在 openssl 指令列中加入 ”-sha256” 或 ”-sha512”,其如下方所示。

SHA-1 凭证请求

要用 OpenSSL 生成 SHA-1 的 CSR 档 , 请使用以下的指令:

openssl req -nodes -newkey rsa:2048 -sha1 -keyout myserver.key -out server.csr

SHA-2 凭证申请

如要生成一个 SHA2 的 CSR 档:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

此流程中会建立两个档案:一个是公开的 .csr 档,另一个是私人的 .key 档,请务必妥善保存 .key 档。

在产生 CSR 档的同时,也会生成私钥并储存在电脑里。所以只有您拥有以 .key 副档名结尾档案的存取权限。

当您运行指令时,会询问一系列的问题。以下是一些范例回复:

国家名称 (2 个字母代码) [AU]: TW
省份名称 (全名) [某些省份]: 台湾省
地方名称 (例如,城市) []: 台北市
组织名称 (例如,公司) [Internet Widgits Pty Ltd]: MyCompany Inc.
组织单位名称 (例如,部门) []: IT
公用名称 (例如,您的姓名) []: subdomain.example.com
电子邮件地址 []:
可靠的密码 []: 
其他公司名称 []:

可选填的公司名称可靠的密码 两个栏位非必填。

我们建议您输入一个电子邮件地址。这也是非必填项目。

“subdomain.example.com” 代表您要保护的子域名。这是最重要的部份。

如果要启用一个单一位址的凭证,请输入完整的子域名 (例如 ”foo.example.com” )。”www” 子域名会由认证机构(CA)自动新增;举例来说,”example.com” 将同时保障 “example.com” 及 ”www.example.com” 的安全性。如果您是 Wildcard 凭证,子域名应以 “*” 代替 (例如 “*.example.com”)。Wildcard 凭证也会同时保障域名本身(即时没有子域名)的安全性。

多重域名 凭证不适用上述作法:您必须注明每个您要保护的域名及/或子域名。

您必须透过 CSR 档内的内容才能启用您的凭证。您可以透过以下指令显示其内容,并将其复制贴上于验证页面内:

cat myserver.csr

将显示以下的文字区块:

-----BEGIN CERTIFICATE REQUEST-----
...encrypted text...
-----END CERTIFICATE REQUEST-----

请确定您已复制整个区块,包含起始行及结束行。

凡所有以 OpenSSL 建立的 CSR 档,请在软体清单上选择 Apache/ModSSL 模组。开放性原始码软体套件,使用 OpenSSL 框架通常都是这样的情况。

使用 Microsoft IIS 生成 CSR 档

请在 Windows 的 “控制台” → “管理工具”, 选择 IIS 管理。

在该网站上按右键,然后选择 “属性”。

在 “目录安全性” 分页上点选 “伺服器凭证”,然后选择 “建立一个新的凭证”,接着 “现在进行请求准备,但稍候再寄送”。

创建表格现在要求与列于 OpenSSL (请参照上方) 上相同的资讯。请确实填入栏位,并确认子域名、域名及 Wildcard 之规格都是正确的。

请在流程最后注明您 CSR 档储存的位置。您会需要在我们的网站上启用凭证时,复制贴上该档案的内容。

其他相关资讯

最后更改: 2016/06/08 08:46 (外部编辑)