27.7. 生成发送给 CA 的证书请求

一旦你创建了钥匙,下一步就是生成证书请求,你需要把该请求发送给选中的 CA。请确定你位于 /usr/share/ssl/certs 目录,并键入下面的命令:

make certreq

你的系统会显示下列输出,然后还会请你输入口令句(除非你禁用了口令句选项):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase:
	

键入你在生成钥匙时选择的口令。你的系统将会显示一些说明,然后请你回答一系列问题。你的输入会被包括在证书请求中。系统显示的输出以及答复,看起来和下面相似:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

默认回答紧随在每项要求后面的括号内([])。例如,第一项要求的信息是证书要被用于的国家,如下所示:

Country Name (2 letter code) [GB]:

出现在括号内的默认输入是 GB。要接受默认值,只需按 [Enter],或填入你的国家的两个字母的代号。

你必须得回答剩下的问题。这些都应该是不言而喻的,不过你需要遵从以下准则:

信息输入完毕后,一个叫做 /etc/httpd/conf/ssl.csr/server.csr 的文件就会被创建。该文件是你的证书请求,可以随时寄发给你的 CA。

在你选定了 CA 后,按照他们在网站提供的说明行事。这些说明会告诉你如何发送证书请求,你还需要哪些文档以及付款信息。

在你满足了 CA 的要求后,他们就会给你寄发证书(通常通过电子邮件)。将它们寄发的证书保存为(或剪贴为)/etc/httpd/conf/ssl.crt/server.crt 文件。请确定给该文件保留一份备份。