OpenSSL-使用OpenSSL生成CSR文件

前言

在申请SSL证书之前，需要先生成CSR文件（CSR,Cerificate Signing Request,证书请求文件)。CSR是公钥证书的原始文件，它包含了服务器信息和单位信息，需要提交给CA认证中心。很多网站可以帮我们生成CSR文件，图形化的操作也非常方便，但毕竟不是我们本地生成，恐有key泄露的风险。为此，我找到了在Linux系统下通过OpenSSL工具生成该文件的方法。

读懂实践本文，你可能需要在技能树中点亮以下技能：

• Linux系统操作基础

准备

• 一台运行Linux系统的本地计算机或服务器

利用OpenSSL命令生成ECC CSR文件

我申请的SSL证书是ECC类型的（ECC,椭圆曲线加密），相对RSA类型的SSL证书，ECC类型有更好的性能，但其兼容性较RSA差。这里先介绍ECC类型SSL证书申请所用的CSR文件生成的过程。

1. 使用以下命令在当前目录生成一个名为“Lexsion_ECC.key”的私钥文件，其加密方式为prime256v1。

openssl ecparam -out Lexsion_ECC.key -name prime256v1 -genkey

2. 使用以下命令利用上面生成的私钥文件“Lexsion_ECC.key”生成一个CSR文件名为：Lexsion_ECC.csr。

openssl req -new -key Lexsion_ECC.key -out Lexsion_ECC.csr

上文中“Lexsion_ECC.key” 和 “Lexsion_ECC.csr”可自定义为需要的文件名。

利用OpenSSL命令生成RSA CSR文件

生成RSA CSR文件只需要一行命令。其中，Lexsion_RSA.csr为CSR文件，Lexsion_RSA.key为私钥文件。rsa:2048为加密强度，可按需求修改。

openssl req -out Lexsion_RSA.csr -new -newkey rsa:2048 -nodes -keyout Lexsion_RSA.key

最终的生成

无论是ECC算法还是RSA算法，生成CSR文件的过程中，都要求我们输入一些信息。我们只需要按照提示输入信息即可完成生成。

部分回显信息翻译：

Country Name (2 letter code) [XX]: #国家 ；两个字母表示，可留空。
State or Province Name (full name) []: #州或省；输入全称，可留空
Locality Name (eg, city) [Default City]: #所在城市；可留空
Organization Name (eg, company) [Default Company Ltd]: #组织名称；比如可填公司名称，可留空
Organizational Unit Name (eg, section) []: #组织部门名称；比如IT，可留空
Common Name (eg, your name or your server's hostname) []: #简称FQHN；填写单域名或泛域名，此处必填。
Email Address []: #邮箱地址；可不填写

A challenge password []: #密码；一般留空
An optional company name []: #可选公司名；可留空

按照提示输入完需要的信息后，key文件&csr文件会于当前所在目录产生。这时我们就可以把产生的CSR文件提交给CA了。私钥（key文件）非常重要，切记保存好，不能泄露。

参考

1. openssl manpage
2. 公钥加密算法那些事 | RSA 与 ECC 系统对比