我正在尝试了解在服务器(而不是 AWS 负载均衡器后面的几个服务器)上安装 SSL 的正确流程。
https://www.digicert.com/easy-csr/openssl.htm提供了一个向导。我想确认我可以输入详细信息,运行 openssl 命令并收到两件事:
域名.csr 域名.key
然后我使用 csr 来实际购买证书,并使用密钥进行签名。这样对吗?我是不是漏掉了某个部分?
答案1
CSR 代表证书签名请求,您已经基本了解它了。
CSR 仅用于提交给证书颁发机构;它包含您的公共证书,但除了发送以获取签名之外,没有其他有用的形式。
他们会对其进行签名并发回您的公共证书文件,该文件将为 .pem 或 .crt。这将是发送给每个请求页面的客户端系统的公共证书。它将包含您在该页面中定义的信息(CN 和组织详细信息)以及他们从 CA 添加的内容(客户端可以从中获取父证书、证书吊销列表位置、证书的允许用途等)。
.key 是证书的最终私钥。您将把它作为私钥提供给 Web 服务器,它用于解密客户端发送的数据、加密发送给客户端的数据以及对数据进行签名以进行身份验证。