使用 openssl 產生 SSL 電子證書

產生 SSL 電子證書很多方法，而使用 openssl 屬較手動的方法，繁瑣但適用於所有 GNU/Linux 及 Unix 平台。

基本流程

產生金鑰對 (public-private key pair)

首先您需要產生一對 RSA 金鑰對 (public-private key pair)，可以使命令「openssl -out 私鑰檔案 genrsa [-des|des3|-idea] 大小」：

$ openssl genrsa -out www.example.com.key -des3 2048
Generating RSA private key, 2048 bit long modulus
........................+++
..............................................................................+++
e is 65537 (0x10001)
Enter pass phrase for www.example.com.key: Don't show my passphrase
Verifying - Enter pass phrase for www.example.com.key: Don't show my passphrase

命令中最尾的參數表示要產生的金鑰對位元大小，以現今電腦的效能，建議使用 2048 位元會較安全。此外，在命令中因為加入選項 -des3，產生出來的金鑰對會以 TriDES 加密來加強私鑰 (private key) 的安全性。您亦可以使用 -des 或 -idea 取代 -des3 來改用 DES 或 IDEA 對私鑰進行加密。(當然 DES 加密演算法大弱，絕不應使用) 加密了的私鑰在會次被使用時都會輸入密碼解密才可以使用，會較安全。如果您的電子證書是用在 Apache HTTTd 等伺服器中，每次啟動伺服器時都要輸入密碼一次。不少人會選擇省去選項 -des3 來產生一個不被加密的私鑰 (即是不會問您輸入密碼，也不會把私鑰加密) :

$ openssl genrsa -out www.example.com.key 2048
Generating RSA private key, 2048 bit long modulus
........................+++
..............................................................................+++
e is 65537 (0x10001)

這個命令和上面幾乎沒有分別，只是這次不會問您輸入密碼了。這方法當然免卻每次要輸入密碼的麻煩，但如果別人只要抄走有私鑰檔案就可以較易真接盜用電子證書，非常危險。

完成後，新金鑰會以 PKCS#1 PEM 格式記錄在金鑰檔案 www.example.com.key 中 (雖然金鑰的標頭為 RSA PRIVATE KEY，意思為 RSA 私鑰，但內容載有產生對應公鑰 public key 的資料):

以上金鑰是沒有被加密。加密的金鑰會有「Proc-Type: 4,ENCRYPTED」

產生 Certificate Signing Request (CSR)

產生了金鑰對後，您需要有公信加的人當中的公鑰 (public key) 為您所有。所以您需要產生這個公鑰的 Certificate Signing Request (CSR) 給一個 Certificate Authority (CA) 簽署才可以使用。要產生 CSR ，可以使用命令「openssl req -new -key 金鑰檔案 > CSR檔案」：

$ openssl req -new -key www.example.com.key > www.example.com.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:HK
State or Province Name (full name) [Some-State]:HKSAR
Locality Name (eg, city) []:Hong Kong
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Ltd.
Organizational Unit Name (eg, section) []:Web Team
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abc123
An optional company name []:Example Ltd.

以上命令會詢問要產生電子證書的資料並由金鑰檔案抽出有關公鑰並產生 CSR。記謹 Common Name 必須填上將會使用此電子證書網站的全名 (FQDN, Full Qualified Domain Name)，填錯了又已送去 CA 將會浪費金錢。

產生出來的 CSR 會放在 www.example.com.csr 中：

您只要把這個 CSR 檔案提交給 CA ，CA 核實您的資料後就會簽署並產生您的電子證書。

自簽 (Self-sign) 電子證書

如果您只是想做一張測試用的電子證書或不想花錢去找個 CA 簽署，您可以造一張自簽 (Self-signed) 的電子證書。當然這類電子證書沒有任何保證，大部份軟件遇到這證書會發出警告，甚至不接收這類證書。要自簽電子證書可以使用命令「openssl req -x509 -days 有效日數 -key 金鑰檔案 -in CSR檔案 > 電子證書檔案」，例如:

$ openssl req -x509 -days 60 -key www.example.com.key -in www.example.com.csr > www.example.com.crt

完成後，檔案 www.example.com.crt 就是自簽證書。

請參看

管理您的 CA

igofun

使用 openssl 產生 SSL 電子證書

目錄

基本流程

產生金鑰對 (public-private key pair)

產生 Certificate Signing Request (CSR)

請參看

Leave a Reply Cancel reply

就是igofun