Pengantar
Artikel ini akan menjelaskan cara membuat Permintaan Penandatanganan Sertifikat (CSR). Anda akan diminta untuk mengirimkan CSR saat mendapatkan sertifikat SSL/TLS dari otoritas sertifikat (CA).
Prasyarat
Semua distribusi Linux dengan OpenSSL terinstal. Jika Anda tidak memiliki server, mengapa tidak mempertimbangkan VPS Linux dari Atlantic.Net dan siap beroperasi dalam waktu kurang dari 30 detik.
Buat Permintaan Penandatanganan Sertifikat (CSR)
Baik CSR dan kunci pribadi untuk server Anda dapat dibuat dalam satu langkah mudah. Pastikan untuk menjaga akses ke kunci pribadi Anda seketat mungkin, karena pengenal unik ini digunakan untuk memverifikasi keaslian server Anda.
Catatan:Jika Anda mengalami kesulitan menjalankan perintah dengan sukses, Anda mungkin perlu masuk sebagai sudo atau root.
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
Anda kemudian akan dimintai informasi berikut:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Catatan:Kata sandi tantangan tidak terkait dengan kata sandi kunci pribadi. Biarkan kosong kecuali diminta oleh otoritas sertifikat Anda. Anda juga dapat mengosongkan pertanyaan “nama perusahaan opsional”.
Anda sekarang memiliki file “.csr” (Permintaan Penandatanganan Sertifikat) yang perlu dikirimkan ke otoritas sertifikat (CA). Setelah CA menandatangani sertifikat, CA akan mengembalikan file sertifikat. Format sertifikat yang diterbitkan akan bervariasi tergantung pada otoritas sertifikat. Jenis yang paling umum adalah format PEM yang menggunakan ekstensi seperti .crt , .key , .csr , .cer , dan .pem .
Bergantung pada kebutuhan aplikasi atau server web, Anda mungkin perlu mengonversi salah satu format ini ke format lain seperti PKCS#7, PKCS#12, atau DER. Berikut adalah beberapa perintah konversi file yang berguna:
PEM → PKCS#7 (P7B)
openssl crl2pkcs7 -nocrl -certfile yourdomain.cer -out yourdomain.p7b -certfile CACert.cer
-nocrl opsi menunjukkan bahwa Anda tidak akan menyertakan daftar pencabutan sertifikat (CRL) dalam struktur PKCS#7. Sebagian besar penerapan baru akan menggunakan opsi ini, karena tidak akan ada sertifikat lama yang harus dicabut.
Setiap -certfile opsi menunjukkan file sertifikat yang akan disertakan dalam file output, yang berguna dalam membuat rantai sertifikat termasuk sertifikat server dan sertifikat perantara otoritas sertifikat ("domainanda.cer" dan "CACert.cer", masing-masing, dalam contoh di atas).
The -out opsi menunjukkan nama file untuk menulis keluaran PKCS#7.
PEM → PKCS#12 (PFX)
openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt -certfile CACert.crt
-export opsi menunjukkan bahwa perintah ini akan membuat file PKCS#12. Perilaku default tanpa -export pilihannya adalah mengurai input.
The -in opsi menunjukkan file berformat PEM yang akan dibaca. Jika file ini juga tidak menyertakan kunci pribadi, Anda memerlukan -inkey opsi untuk menunjukkan file kunci pribadi juga.
The -certfile opsi menunjukkan sertifikat tambahan untuk disertakan dalam file PKCS#12, seperti sertifikat perantara.
The -out opsi menunjukkan file untuk menulis output, biasanya file “.pfx”.
PEM → DER
openssl x509 -outform der -in yourdomain.pem -out yourdomain.der
-in opsi menunjukkan file sertifikat input yang akan dikonversi.
The -out opsi menunjukkan nama file keluaran.
The -outform opsi menunjukkan format file untuk output (dalam contoh ini, file input dalam format PEM, dan perintah ini akan mengambil file tersebut dan membuat file berformat DER).