產生 SSL 憑證簽署要求(CSR)

本章節將說明憑證簽署要求(Certificate Signing Request,CSR)的用途以及產生方法。如果您自動產生的 SSL 憑證是用於 Gandi Simple Hosting 網頁代管主機,則系統會為您自動產生 CSR;如果您需要在 Gandi Simple Hosting 主機或是外部伺服器上手動安裝 SSL 憑證,您需要自己產生 CSR。

什麼是憑證簽署要求(CSR)?

CSR 是一個加密過的文字檔,其內容記載您的身份以及您使用憑證的域名(主域名、子域名或萬用字元域名);您必須先在特定的軟體輸入您的資料,該軟體便會使用您提供的資料產生加密的 CSR。

如果您的憑證是要安裝在 Gandi 的代管主機上,系統可以為您自動產生 CSR,否則您需要自行先產生 CSR,才能完成憑證訂單。在您產生 CSR 之後,您需要複製並貼上 CSR 的內容至 Gandi 網站上的表格,此操作屬於 SSL 購買程序 中的一環。

在您提供 CSR 檔之後,我們會將其遞交給 Sectigo(驗證 SSL 憑證的機構)。Sectigo 將會執行相關的驗證程序並簽發憑證,完成後,您就可以安裝憑證在自己的主機上,如此一來,您的網站訪客便能憑藉 Sectigo 的權威性相信當下瀏覽的網站實屬其聲稱的公司。

如何產生憑證簽署要求(CSR)?

準備事項

欲產生 CSR ,您需要先登入支援 OpenSSL 的 Unix-like 系統,而您用於產生 CSR 的機器與安裝憑證的機器不需要是同一台。

例如:

  • 您的個人電腦(若您使用的是 Linux 或是 OSx)

  • Gandi 雲端伺服器

  • Gandi Simple Hosting 網頁代管主機(即使您打算安裝憑證在 Gandi 外部)

  • 運作在 Linux 或 Unix 上且可存取的生產伺服器

  • 安裝 OpenSSL 的 Windows 電腦

確認簽署名稱(CN)

在產生 CSR 的過程中,您需要填寫 簽署名稱(Common Name,CN),即為您要用憑證保護的網域名稱;請參考 簽署名稱 的相關章節深入瞭解。

執行命令

請複製貼上以下指令至您電腦的終端機以產生 CSR:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8

下列清單解釋了此命令的部份參數,若您有興趣瞭解所有參數,請參考 OpenSSL 官方文件

  • -newkey rsa:2048: 產生 CSR 與一個 2048 位元的 RSA 密鑰;如果您的憑證是要安裝在 Gandi Simple Hosting 網頁代管主機上,請務必使用 2048 位元的密鑰

  • -sha256:使用 SHA-2,SHA256 雜湊演算法(hash algorithm)。如果您使用現已棄用的 SHA1 憑證,Sectigo 將會自動為您轉換成 SHA2 憑證

  • -keyout myserver.key:將密鑰儲存在當下目錄的「myserver.key」檔案中。

  • -out server.csr:將 CSR 檔案儲存在當下目錄的「server.csr」檔案中。

在您執行命令之後,系統會提示您輸入個人資料,該資料是憑證驗證單位在驗證憑證時會查閱的個人資料,其中包含:

  • Country name:二字元國碼

  • State or Province Name:州或省的名稱,請勿用縮寫

  • Locality Name:城市或鄉鎮的名稱

  • Organization Name:您組織(公司)的英文名稱;此欄位在申請 標準型 SSL 憑證 時為非必填,但是若為申請 進階型企業型 SSL 憑證則為必填欄位

  • Organization Unit Name:您的部門名稱(例如:資訊部門)

  • Common Name:您要保護的網域名稱;詳見本頁先前的段落

  • Email Address:您的電子信箱位址;此欄位為非必填,但是建議填寫

  • A challenge password:為極少使用的功能,建議您不用填寫,留白即可

  • An optional company name: 建議不用填寫,留白即可

在您完成指令之後,系統會同時產生兩個檔案:一般的 .csr 檔、私鑰 .key 檔,儲存於您的電腦或伺服器上,因此只有您自己可以存取此「.key」檔。

開啟 CSR 檔並複製內容

在您產生完 CSR 檔之後,於購買 SSL 憑證的過程中,系統會請您提供 CSR 的內容。請用文字編輯器打開 .csr 檔案,並且複製貼上全部的內容,包含 "-----BEGIN CERTIFICATE REQUEST-----""-----END CERTIFICATE REQUEST-----" 部份。

備註

CSR 的內容在 .csr 檔中,私鑰則在 .key 檔中,兩者用途不同,請勿混淆,並且請在提交請求時提供正確的檔案內容。