參考:https://www.alibabacloud.com/help/zh/doc-detail/28549.htm?spm=a2c63.p38356.b99.17.5ee516e7GdyF45
主流數字證書都有哪些格式(以及證書轉換):https://www.alibabacloud.com/help/zh/faq-detail/42214.htm?spm=a2c63.q38357.a3.2.649268e5cBUCFZ
填寫申請信息
如果您購買的是專業版SSL或者高級版SSL證書,您在填寫申請時需要填寫企業組織的詳細信息。
填寫企業組織信息
按要求填寫所需的企業組織信息,這些信息將會用來驗證您企業的真實性。
上傳相關信息
建議您使用 系統生成CSR的方式來直接生成證書請求文件。也就是填寫相關信息時會自動幫你生產CSR文件。如果自己製作很麻煩,容易出問題。
使用系統生成CSR方式,系統將自動幫您生成證書私鑰,並且在證書申請成功後可直接在證書管理列表中下載您的證書和私鑰。
您也可以自己生成CSR(Certificate Signing Request)證書請求文件,並上傳。關於如何生成CSR文件,請查看如何製作CSR文件。https://www.alibabacloud.com/help/zh/faq-detail/42218.htm
您的CSR文件格式正確與否直接關係到您的證書申請流程是否能順利完成。
您在製作CSR文件時請務必保存好您的私鑰文件,私鑰和數字證書一一對應,一旦丟失了私鑰您的數字證書也將不可使用。阿里雲不負責保管您的私鑰,如果您的私鑰丟失,您需要重新購買並替換您的數字證書。
在申請數字證書之前,您必須先生成證書私鑰和證書請求文件(deven:自己生存證書私鑰和CSR很麻煩,建議自己用阿里雲自己生成的,我們錄入信息就行了。)(Cerificate Signing Request,簡稱 CSR)。CSR文件是您的公鑰證書原始文件,包含了您的服務器信息和您的單位信息,需要提交給CA認證中心進行審覈。
說明 | |
建議您使用系統提供的系統創建CSR功能,避免出現內容不正確而導致的審覈失敗。關於審覈失敗詳細信息,請參考審覈失敗 - 主域名不能爲空。 |
手動生成CSR文件的同時會生成私鑰文件,請務必妥善保管和備份您的私鑰。
您手動生成CSR文件時,一般需要輸入以下信息:
說明 | |
輸入的中文信息需要使用UTF8編碼格式。 |
Organization Name(O): 申請單位名稱法定名稱,可以是中文或英文。
Organization Unit(OU): 申請單位的所在部門,可以是中文或英文。
Country Code(C): 申請單位所屬國家,只能是兩個字母的國家碼。例如,中國只能是CN。
State or Province(S): 申請單位所在省名或州名,可以是中文或英文。
Locality(L): 申請單位所在城市名,可以是中文或英文。
Common Name(CN): 申請SSL證書的具體網站域名。
說明 | |
證書服務系統對CSR文件的密鑰長度有嚴格要求,密鑰長度必須是2,048位,密鑰類型必須爲RSA。如果申請證書是多域名或者通配子域名,在Common Name或What is your first and last name?字段只需要輸入一個域名即可(通配子域名可以輸入*.example.com等)。 |
什麼是公鑰和私鑰?
公鑰和私鑰就是俗稱的不對稱加密方式。公鑰(Public Key)與私鑰(Private Key)是通過一種算法得到的一個密鑰對(即一個公鑰和一個私鑰),公鑰是密鑰對中公開的部分,私鑰則是非公開的部分。公鑰通常用於加密會話密鑰、驗證數字簽名,或加密可以用相應的私鑰解密的數據。
通過這種算法得到的密鑰對能保證在世界範圍內是唯一的。使用這個密鑰對的時候,如果用其中一個密鑰加密一段數據,則必須用另一個密鑰才能解密。比如用公鑰加密的數據就必須用私鑰才能解密,如果用私鑰進行加密也必須用公鑰才能解密,否則將無法成功解密。
數字證書的原理
數字證書採用公鑰體制,即利用一對互相匹配的密鑰對進行加密、解密。每個用戶自己設定一把特定的僅爲本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,爲一組用戶所共享,用於加密和驗證簽名。
由於密鑰僅爲本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。
數字證書是一個經證書授權中心(CA)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特徵就是隻在特定的時間段內有效。
創建私鑰
阿里雲證書服務對您的私有密鑰的加密算法和長度有如下要求:
加密算法使用RSA算法
加密長度至少2,048位
說明 | |
建議您使用2,048位加密長度的SHA256摘要算法。 |
您可以通過以下兩種方式創建您的私鑰:
使用OpenSSL工具生成私鑰
OpenSSL是一個強大且應用廣泛的安全基礎庫工具,您可以從 http://www.openssl.org/source/ 下載最新的OpenSSL工具安裝包。
說明 | |
要求OpenSSL版本必須是1.0.1g或以上版本。 |
安裝OpenSSL工具後,在命令行模式下運行openssl genrsa -out myprivate.pem 2048
即可生成您的私鑰文件。
myprivate.pem即爲您的私鑰文件。
2,048指定加密長度。
使用Keytool工具導出私鑰
Keytool工具是JDK中自帶的密鑰管理工具,可以製作Keystore(jks)格式的證書文件,您可以從 http://www.oracle.com/technetwork/java/javase/downloads/index.html 下載JDK工具包來獲取Keytool工具。
由於使用Keytool工具製作的公鑰和私鑰默認是不可以導出的,需要您從已經創建好的.keystore文件中導出私鑰。關於如何從.keystore文件中導出私鑰,請參考主流數字證書都有哪些格式中的轉換方法。
在導出的文件中,以下部分的內容即是您的私鑰:
-----BEGIN RSA PRIVATE KEY----- ...... -----END RSA PRIVATE KEY-----
或者
-----BEGIN PRIVATE KEY----- ...... -----END PRIVATE KEY-----
說明 | |
無論您通過哪種方式生成密鑰,請您完善地保管好您的私鑰文件,私鑰文件一旦丟失或者損壞,您申請的對應的公鑰、及數字證書都將無法使用。 |
crt、key以及pem的區別以及生成
crt — Alternate synonymous most common among *nix systems .pem (pubkey).
csr — Certficate Signing Requests (synonymous most common among *nix systems).
cer — Microsoft alternate form of .crt, you can use MS to convert .crt to .cer (DER encoded .cer, or base64[PEM] encoded cer).
pem = The PEM extension is used for different types of X.509v3 files which contain ASCII (Base64) armored data prefixed with a «—– BEGIN …» line. These files may also bear the cer or the crt extension.
der — The DER extension is used for binary DER encoded certificates.
證書(Certificate) .cer .crt
私鑰(Private Key).key
證書籤名請求(Certificate sign request) .csr
至於pem和der,是編碼方式,以上三類均可以使用這兩種編碼方式,因此.pem和.der(少見)不一定是以上三種(Cert,Key,CSR)中的某一種
PEM - Privacy Enhanced Mail,打開看文本格式,以”—–BEGIN…”開頭, “—–END…”結尾,內容是BASE64編碼.
查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout
Apache和*NIX服務器偏向於使用這種編碼格式.
DER - Distinguished Encoding Rules,打開看是二進制格式,不可讀.
查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服務器偏向於使用這種編碼格式.