SSL验证时,CSR文件的生成

最近在给自己公司的网站进行SSL验证的设置，对于证书的购买问题，在这里就不多说了，请参考以下文章,针对自己网站的需求选择合适的证书即可：

http://blog.youkuaiyun.com/andy1219111/article/details/22716315

下面来说一下重点，在购买完成证书时，在CA的网站上生成证书等文件(一个公有证书、一个或多个中间证书和一个根证书)时，创建证书签名请求：

1. 安装和配置 OpenSSL

2. 创建私有密钥

3. 创建证书签名请求

4. 向证书颁发机构提交证书签名请求

一般在创建证书签名请求需要以上四个步骤。

1.在服务器上安装OpenSSl，用于生成私钥文件，命令如下

openssl genrsa 2048 > your-private-key-file-name.pem

请将红色字体替换成你自己的文件名，

在示例中，2048 表示 2048 位加密。AWS 还支持 1024 位和 4096 位加密。我们建议您创建 2048 位的 RSA 密钥。

请务必将私有密钥存储在安全位置。私有密钥一旦丢失便无法取回。

2.创建证书签名请求（CSR）

CSR 是指您为申请服务器证书而发送至证书颁发机构 (CA) 的文件

创建 CSR

按照以下语法使用 openssl req 命令创建 CSR：

openssl req -new -key private-key.pem -out csr.pem

private-key.pem为你上一步生成的私钥的文件名，csr.pem为要生成的SDR

输出类似于以下示例：

You are about to be asked to enter information that will be incorporated 
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank.
For some fields there will be a default value.
If you enter '.', the field will be left blank.

下表可帮助您创建证书请求。

姓名	描述	示例
国家名称	代表国家的两个字母 ISO 缩写。	US = 美国
州或省	组织所在州或省的名称。此名称不可使用缩写。	华盛顿州
所在地名称	组织所在城市的名称。	Seattle
组织名称	组织的法定全称。请勿缩写组织名称。	示例 Corp
组织部门	可选，用于提供额外的组织信息。	市场营销
公用名	别名记录的完全限定域名。如果两者不能精确匹配，那么您会收到一条证书名称检测警告。	www.yourdomain.com
电子邮件地址	服务器管理员的电子邮件地址	someone@yourdomain.com

Note
通常情况下，“Common Name”字段很容易出现误解，也不容易填写正确。公用名通常指的是您的主机加上域名。具体形式为“www.company.com”或“company.com”。您需要使用正确的公用名创建 CSR。



将CSR提交给证书颁发机构

您的 CSR 包含识别您身份的信息。如要申请服务器证书，请将您的 CSR 发送至证书颁发机构 (CA)。CA 可能要求提供其他证书或身份证明。

如果针对证书的请求成功，则 CA 将返回一个公有（标识）证书，并可能返回一个经过数字签名的链证书。

参考：

AWS ec2 ssl教程: http://docs.aws.amazon.com/zh_cn/ElasticLoadBalancing/latest/DeveloperGuide/ssl-server-cert.html

http://support.rightscale.com/12-Guides/Dashboard_Users_Guide/Clouds/AWS_Global/Server_Certificates/Actions/Create_a_Certificate_Signing_Request_(CSR)

godaddy证书申请过程及方法： http://www.freehao123.com/godaddy-ssl-setup/

htttps的七个误解: http://www.ruanyifeng.com/blog/2011/02/seven_myths_about_https.html