OpenSSL生成證書請求CSR

一、部署前特別說明

本文檔主要描述如何通過openssl產生密鑰對；

本指南在windows下適用OpenSSL工具方式生成證書請求文件；

您可以使用其它方式并不要求按照本指南在windows下使用OpenSSL工具方式生成證書請求文件；

二、生成證書請求

1、安裝OpenSSL工具

您需要使用Openssl工具來創建證書請求。下載OpenSSL：

http://slproweb.com/products/Win32OpenSSL.html 安裝OpenSSL到C:\OpenSSL

安裝完后將C:\OpenSSL\bin目錄下的openssl.cfg重命名為openssl.cnf

2、生成服務器證書私鑰

命令行進入C:\OpenSSL\bin，生成證書私鑰。如產生的私鑰文件可以是server.key這樣簡單的命名或者使用我們推薦的使用主機域名方式進行命名。

cd c:\OpenSSL\bin

先設置環境變量

set OPENSSL_CONF=openssl.cnf

參考：

openssl genrsa -out server.key 2048

例：

openssl genrsa -out D:\testweb.95105813.cn.key 2048

3、生成服務器證書請求（CSR）文件

參考：

openssl req -new -key server.key -out certreq.csr

例：

openssl req -new -key D:\testweb.95105813.cn.key -out D:\certreq.csr

如出現以下報錯請先設置環境變量

set OPENSSL_CONF=openssl.cnf

執行成功后提示要輸入您的相關信息。填寫說明：

3.1.Country Name：

填您所在國家的ISO標準代號，如中國為CN，美國為US

3.2.State or Province Name：

填您單位所在地省/自治區/直轄市，如廣東省或 Guangdong

3.3.Locality Name：

填您單位所在地的市/縣/區，如佛山市或Foshan

3.4.Organization Name：

填您單位/機構/企業合法的名稱，如遨游網絡科技有限公司或Travel Network Technology Co., Ltd.

3.5.Organizational Unit Name：

填部門名稱，如技術支持部或Technical support

3.6.Common Name：

填域名，如：testweb.95105813.cn。在多個域名時，填主域名

3.7.Email Address：

填您的郵件地址，不必輸入，按回車跳過

3.8.‘extra’attributes

從信息開始的都不需要填寫，按回車跳過直至命令執行完畢。

除第1、6、7、8項外，2-5的信息填寫請統一使用中文或者英文填寫。并確保您填寫的所有內容和您提交到GDCA的內容一致，以保證SSL證書的簽發。

4．提交證書請求

請您保存證書私鑰文件testweb.95105813.cn.key，最好復制一份以上副本到不同的物理環境上（如不同的主機），防止丟失。并將證書請求文件certreq.csr提交給GDCA。

三、服務器證書轉碼與CA證書鏈生成

3.1、獲取服務器證書的根證書和CA證書

服務器證書需要安裝根證書和CA證書,以確保證書在瀏覽器中的兼容性。有兩種方式獲取。

3.2、從郵件中獲取

在您完成申請GDCA服務器證書的流程后，GDCA將會在返回給您的郵件中附上服務器證書以及根證書GDCA_TrustAUTH_R5_ROOT.cer和相應的CA證書。如果您申請的是睿信(OV) SSL證書（Organization Validation SSL Certificate），CA證書就是文件就是GDCA_TrustAUTH_R4_OV_SSL_CA.cer；如果您申請的是恒信企業EV SSL證書（Extended Validation SSL Certificate），CA證書就是文件就是GDCA_TrustAUTH_R4_EV_SSL_CA.cer,請確認所收到的證書文件是您需要的CA證書: （注意：所發至郵箱的文件是壓縮文件，里面有3張證書，請確認所收到的證書文件是您需要的CA證書文件）

四、證書遺失處理

若您的證書文件損壞或者丟失且沒有證書的備份文件，請聯系GDCA（客服熱線 95105813）辦理遺失補辦業務，重新簽發服務器證書。