参考:https://www.alibabacloud.com/help/zh/doc-detail/28549.htm?spm=a2c63.p38356.b99.17.5ee516e7GdyF45
主流数字证书都有哪些格式(以及证书转换):https://www.alibabacloud.com/help/zh/faq-detail/42214.htm?spm=a2c63.q38357.a3.2.649268e5cBUCFZ
填写申请信息
如果您购买的是专业版SSL或者高级版SSL证书,您在填写申请时需要填写企业组织的详细信息。
填写企业组织信息
按要求填写所需的企业组织信息,这些信息将会用来验证您企业的真实性。
上传相关信息
建议您使用 系统生成CSR的方式来直接生成证书请求文件。也就是填写相关信息时会自动帮你生产CSR文件。如果自己制作很麻烦,容易出问题。
使用系统生成CSR方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载您的证书和私钥。
您也可以自己生成CSR(Certificate Signing Request)证书请求文件,并上传。关于如何生成CSR文件,请查看如何制作CSR文件。https://www.alibabacloud.com/help/zh/faq-detail/42218.htm
您的CSR文件格式正确与否直接关系到您的证书申请流程是否能顺利完成。
您在制作CSR文件时请务必保存好您的私钥文件,私钥和数字证书一一对应,一旦丢失了私钥您的数字证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。
在申请数字证书之前,您必须先生成证书私钥和证书请求文件(deven:自己生存证书私钥和CSR很麻烦,建议自己用阿里云自己生成的,我们录入信息就行了。)(Cerificate Signing Request,简称 CSR)。CSR文件是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心进行审核。
| 说明 | |
| 建议您使用系统提供的系统创建CSR功能,避免出现内容不正确而导致的审核失败。关于审核失败详细信息,请参考审核失败 - 主域名不能为空。 |
手动生成CSR文件的同时会生成私钥文件,请务必妥善保管和备份您的私钥。
您手动生成CSR文件时,一般需要输入以下信息:
| 说明 | |
| 输入的中文信息需要使用UTF8编码格式。 |
Organization Name(O): 申请单位名称法定名称,可以是中文或英文。
Organization Unit(OU): 申请单位的所在部门,可以是中文或英文。
Country Code(C): 申请单位所属国家,只能是两个字母的国家码。例如,中国只能是CN。
State or Province(S): 申请单位所在省名或州名,可以是中文或英文。
Locality(L): 申请单位所在城市名,可以是中文或英文。
Common Name(CN): 申请SSL证书的具体网站域名。
| 说明 | |
| 证书服务系统对CSR文件的密钥长度有严格要求,密钥长度必须是2,048位,密钥类型必须为RSA。如果申请证书是多域名或者通配子域名,在Common Name或What is your first and last name?字段只需要输入一个域名即可(通配子域名可以输入*.example.com等)。 |
什么是公钥和私钥?
公钥和私钥就是俗称的不对称加密方式。公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。
通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如用公钥加密的数据就必须用私钥才能解密,如果用私钥进行加密也必须用公钥才能解密,否则将无法成功解密。
数字证书的原理
数字证书采用公钥体制,即利用一对互相匹配的密钥对进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
数字证书是一个经证书授权中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
创建私钥
阿里云证书服务对您的私有密钥的加密算法和长度有如下要求:
加密算法使用RSA算法
加密长度至少2,048位
| 说明 | |
| 建议您使用2,048位加密长度的SHA256摘要算法。 |
您可以通过以下两种方式创建您的私钥:
使用OpenSSL工具生成私钥
OpenSSL是一个强大且应用广泛的安全基础库工具,您可以从 http://www.openssl.org/source/ 下载最新的OpenSSL工具安装包。
| 说明 | |
| 要求OpenSSL版本必须是1.0.1g或以上版本。 |
安装OpenSSL工具后,在命令行模式下运行openssl genrsa -out myprivate.pem 2048即可生成您的私钥文件。
myprivate.pem即为您的私钥文件。
2,048指定加密长度。
使用Keytool工具导出私钥
Keytool工具是JDK中自带的密钥管理工具,可以制作Keystore(jks)格式的证书文件,您可以从 http://www.oracle.com/technetwork/java/javase/downloads/index.html 下载JDK工具包来获取Keytool工具。
由于使用Keytool工具制作的公钥和私钥默认是不可以导出的,需要您从已经创建好的.keystore文件中导出私钥。关于如何从.keystore文件中导出私钥,请参考主流数字证书都有哪些格式中的转换方法。
在导出的文件中,以下部分的内容即是您的私钥:
-----BEGIN RSA PRIVATE KEY----- ...... -----END RSA PRIVATE KEY-----
或者
-----BEGIN PRIVATE KEY----- ...... -----END PRIVATE KEY-----
| 说明 | |
| 无论您通过哪种方式生成密钥,请您完善地保管好您的私钥文件,私钥文件一旦丢失或者损坏,您申请的对应的公钥、及数字证书都将无法使用。 |
crt、key以及pem的区别以及生成
crt — Alternate synonymous most common among *nix systems .pem (pubkey).
csr — Certficate Signing Requests (synonymous most common among *nix systems).
cer — Microsoft alternate form of .crt, you can use MS to convert .crt to .cer (DER encoded .cer, or base64[PEM] encoded cer).
pem = The PEM extension is used for different types of X.509v3 files which contain ASCII (Base64) armored data prefixed with a «—– BEGIN …» line. These files may also bear the cer or the crt extension.
der — The DER extension is used for binary DER encoded certificates.
证书(Certificate) .cer .crt
私钥(Private Key).key
证书签名请求(Certificate sign request) .csr
至于pem和der,是编码方式,以上三类均可以使用这两种编码方式,因此.pem和.der(少见)不一定是以上三种(Cert,Key,CSR)中的某一种
PEM - Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.
查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout
Apache和*NIX服务器偏向于使用这种编码格式.
DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服务器偏向于使用这种编码格式.