证书(C) > 使用 OpenSSL 创建 CSR

使用 OpenSSL 创建 CSR

要创建证书,首先需要创建证书签名请求 (CSR)。 您可以将 CSR 发送给证书颁发机构,或者使用它来创建自签名证书。

使用 OpenSSL 生成 CSR

OpenSSL 随大多数 GNU/Linux 分发软件安装。 要下载源代码或 Windows 二进制文件,请转到 http://www.openssl.org/,按照适用于您操作系统的相应安装说明进行操作。 可以使用 OpenSSL 将证书和证书签名请求从一种格式转换为另一种格式。 有关详细信息,请参阅 OpenSSL 手册页或在线文档。

  1. 打开命令行接口终端。
  2. 要在当前工作目录中生成一个名为 privkey.pem 的私钥文件,请键入:openssl genrsa -out privkey.pem 1024
  3. 键入 openssl req -new -key privkey.pem -out request.csr
    此命令在当前工作目录中生成一个 PEM 格式的 CSR。
  4. 当提示您输入 x509 常用名属性信息时,键入完全限定的域名 (FQDN)。 根据需要使用其他信息。
  5. 按照证书颁发机构的说明发送 CSR。

要在证书颁发机构 (CA) 返回您的签名证书之前创建临时的自签名证书,请执行以下操作:

  1. 创建名为 extensions.txt 的纯文本文件。
  2. 将此文本添加到文件:

basicConstraints=CA:TRUE,pathlen:0

keyUsage=digitalSignature,keyEncipherment,keyCertSign,cRLSign

extendedKeyUsage=serverAuth

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid,issuer

  1. 打开命令行接口终端。
  2. 键入 openssl x509 -req -days 30 -in request.csr -signkey privkey.pem -extfile extensions.txt -out sscert.cert

此命令将在您的当前目录内创建一个有效期为 30 天的证书,其中包含您在之前步骤中创建的私钥和 CSR。

不能使用自签名证书进行 VPN 远程网关身份验证。 建议您使用可信任的证书颁发机构签署的证书。

请参阅

关于证书

使用 Microsoft CA 签署证书

XTM 设备信任的证书颁发机构

提供反馈  •   获得支持  •   全部产品文件  •   知识库