如何產生 CSR

您需要先產生 CSR(憑證簽署要求)檔,來啟動您的 SSL 憑證購買程序。

CSR 是一個加密過的文字檔,內容記載了您的身份,以及您所要簽署的域名(主域名、子域名或萬用字元域名)。 您必須先透過特定的軟體產生 CSR 檔,並將生成的內容複製、貼上在購買 SSL 憑證的訂單表格中,才能夠啟動您的 SSL 憑證購買程序。

以下提供您兩個常用來生成 CSR 檔的程式。請您務必在我們網站上購買憑證的過程中註明您是使用哪一個程式生成 CSR 檔,因此,建議您把上述申請事宜一次全部完成,確保訂單順利完成。

使用 Apache/ModSSL 產生 CSR(使用 OpenSSL)

如果您要為您在 Simple Hosting 所架設的網站申請 SSL 憑證,金鑰長度必須是 2048 位元。

我們建議您在伺服器上安裝中繼憑證以及交互簽署憑證,如此一來可降低網路瀏覽器不相容的風險。

由於 SHA1 演算法的憑證已不再支援,我們的合作認證機構 Comodo 將針對所有 2017 年之後到期的憑證自動重新簽發一個 SHA2 的憑證 ,不論其 CSR 檔是不是以 SHA1 的方式簽署。

如何產生 CSR(SHA-2): 若您可以使用 Unix-like/Linux 系列等可以安裝 openssl 的主機,請在登入後輸入下列指令:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

此指令將會產生兩個檔案:一個公開的 .csr 檔與一個私有金鑰 .key 檔。私有金鑰檔是在產生 CSR 檔時一併生成的,儲存在您的電腦或是伺服器。只有您有權限存取此私有金鑰檔,檔案名稱結尾是 「.key」。

當您執行指令時,系統將會詢問您幾個問題,如以下的範例:

Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: Minnesota
Locality Name (eg, city) []: Moorhead
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Inc.
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: subdomain.example.com
Email Address []:
A challenge password []:
An optional company name []:

「optional company name」 與 「challenge password」 為選填(非必填)問題。

電子郵件欄位(Email Address)也是選填,但我們仍建議您填入您的信箱。

範例中的 「subdomain.example.com」 是您的 SSL 憑證所要保護的子域名。這是最重要的資訊。

備註

如果您要啟用的是單一位址憑證,且您使用主域名 (例如 「example.com」 ) 來產生 CSR 檔,這時認證機構 (CA) 會自動新增 “www” 子域名;舉例來說,”example.com” 將同時保障 “example.com” 及 ”www.example.com” 的安全性。反之亦然,若您以 “www” 子域名來產生 CSR 檔,您的主域名也會被納入保護範圍。如果您申請的是萬用字元 (Wildcard) 憑證,子域名應以 “*” 代替 (例如 “*.example.com”)。萬用字元 (Wildcard) 憑證也會同時保護主域名本身的安全性。

多重域名憑證(Multidomain)則不適用上述作法:您必須註明每一個您所要保護的域名及(或)子域名。也就是說,如果您使用多重域名憑證保護主域名,並不會同時保護相對應的 “www” 子域名。

您必須擷取 CSR 檔的文字內容才能啟用您的憑證。透過以下的指令,您可以開啟並顯示您的 CSR 檔,請將其複製貼上於驗證頁面上:

cat server.csr

輸入以上的指令,會顯示如下的文字區塊:

-----BEGIN CERTIFICATE REQUEST-----
...encrypted text...
-----END CERTIFICATE REQUEST-----

請確定您複製了整個區塊內容,包含起始行(Begin…)及結束行(End…)。

小訣竅

所有以 OpenSSL 所建立的 CSR 檔,在提交您的 CSR 檔時,請選擇 Apache/ModSSL 模組。通常使用 OpenSSL 函式庫的開放原始碼軟體所產生的 CSR ,都是選擇 Apache/ModSSL。

您可以使用下面的指令開啟並顯示您私鑰(KEY)檔案的內容:

cat myserver.key

請把 “myserver” 替換成您私鑰的檔案名稱 (如您有另外自訂檔案名稱)。

在 Simple Hosting 上生成 CSR 檔

只要連接 SSH 終端機,就可以在 Simple Hosting 上生成 CSR 檔及私鑰。

請前往 /srv/data/tmp 資料夾:

$ cd /srv/data/tmp

接著執行上述的 OpenSSL 指令。

使用 Microsoft IIS 生成 CSR 檔

請在 Windows 的 “控制台” → “管理工具”, 選擇 IIS 管理。

在所要保護的網站上按右鍵,然後選擇 “屬性”。

在 “目錄安全性” 分頁上點選 “伺服器憑證”,然後選擇 “建立一個新的憑證”,接著 “現在進行請求準備,但稍候再送出”。

建立表單內需填入與 OpenSSL (請參照上方) 相同的資訊。請確實填寫欄位,並確認子域名、域名及萬用字元 (Wildcard) 的資訊都是正確的。

請在流程最後註明 CSR 檔儲存的位置。請在我們的網站上啟用憑證的申請流程中,複製貼上該檔案的內容。