FoMM's Blog

Learning Security

0%

发表于 更新于

本来我是把这个篇幅放在某一篇博文里面,后来发现之后的博文可能也需要引用这个方法,因此单独拿出来写一篇。

Generate CSR normally

用Openssl生成私钥和CSR非常简单

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# Generate Private key
openssl genrsa -out test.key 2048
Generating RSA private key, 2048 bit long modulus
...........+++
...........................................................................................................+++
e is 65537 (0x10001)
# Generate CSR
openssl req -new -key test.key -out test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:AU
State or Province Name (full name) []:Victoria
Locality Name (eg, city) []:Melbourne
Organization Name (eg, company) []:Aufomm
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:www.aufomm.win
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:

但是这样生成CSR的问题在于没有办法加SANs到CSR里面,如果是跟CA申请证书还好说,大部分CA都是根据application里面的SAN来前发证书(毕竟每个SAN都要收钱嘛),如果是用Let’s Encrypt来申请证书就必须要求申请人的CSR里面包含所有需要的SANs,因此如何把SANs加到CSR里面是今天我们要解决的问题。

阅读全文 »

发表于 更新于

在之前的文章中我们已经提到过SSL的功能和其重要性。特别是Google已经在它的Chrome Version 68中把HTTP链接全部标识为不安全,给自己的网站部署SSL可以说迫在眉睫。但是对于大部分用户,特别是个人用户,好像没有必要花钱买一个证书,毕竟一张证书的价格可能已经比Hosting的价格还要贵了。

Google有理由强推HTTPS的理由就是Let’s Encrypt,因为所有人都可以通过它来获取免费的证书。

Let’s Encrypt 提供免费的DV证书,支持多域名,支持通配符,支持ECC。在我看来唯一的问题就是有效期太短,Let’s Encrypt的证书有效期只有三个月。网上有很多教程和工具可以在服务器端自动生成/续约Let’s Encrypt的SSL证书,今天我要demonstrate的是如何通过工具在本地生成SSL证书,手动配置到服务器或者在本地测试。

本文会使用ZeroSSL来申请证书,你问为什么用它?主要是因为它颜值高……

阅读全文 »