OpenSSL生成证书请求CSR

一、部署前特别说明

本文档主要描述如何通过openssl产生密钥对；

本指南在windows下适用OpenSSL工具方式生成证书请求文件；

您可以使用其它方式并不要求按照本指南在windows下使用OpenSSL工具方式生成证书请求文件；

二、生成证书请求

1、安装OpenSSL工具

您需要使用Openssl工具来创建证书请求。下载OpenSSL：

http://slproweb.com/products/Win32OpenSSL.html 安装OpenSSL到C:\OpenSSL

安装完后将C:\OpenSSL\bin目录下的openssl.cfg重命名为openssl.cnf

2、生成服务器证书私钥

命令行进入C:\OpenSSL\bin，生成证书私钥。如产生的私钥文件可以是server.key这样简单的命名或者使用我们推荐的使用主机域名方式进行命名。

cd c:\OpenSSL\bin

先设置环境变量

set OPENSSL_CONF=openssl.cnf

参考：

openssl genrsa -out server.key 2048

例：

openssl genrsa -out D:\testweb.95105813.cn.key 2048

3、生成服务器证书请求（CSR）文件

参考：

openssl req -new -key server.key -out certreq.csr

例：

openssl req -new -key D:\testweb.95105813.cn.key -out D:\certreq.csr

如出现以下报错请先设置环境变量

set OPENSSL_CONF=openssl.cnf

执行成功后提示要输入您的相关信息。填写说明：

3.1.Country Name：

填您所在国家的ISO标准代号，如中国为CN，美国为US

3.2.State or Province Name：

填您单位所在地省/自治区/直辖市，如广东省或 Guangdong

3.3.Locality Name：

填您单位所在地的市/县/区，如佛山市或Foshan

3.4.Organization Name：

填您单位/机构/企业合法的名称，如遨游网络科技有限公司或Travel Network Technology Co., Ltd.

3.5.Organizational Unit Name：

填部门名称，如技术支持部或Technical support

3.6.Common Name：

填域名，如：testweb.95105813.cn。在多个域名时，填主域名

3.7.Email Address：

填您的邮件地址，不必输入，按回车跳过

3.8.‘extra’attributes

从信息开始的都不需要填写，按回车跳过直至命令执行完毕。

除第1、6、7、8项外，2-5的信息填写请统一使用中文或者英文填写。并确保您填写的所有内容和您提交到GDCA的内容一致，以保证SSL证书的签发。

4．提交证书请求

请您保存证书私钥文件testweb.95105813.cn.key，最好复制一份以上副本到不同的物理环境上（如不同的主机），防止丢失。并将证书请求文件certreq.csr提交给GDCA。

三、服务器证书转码与CA证书链生成

3.1、获取服务器证书的根证书和CA证书

服务器证书需要安装根证书和CA证书,以确保证书在浏览器中的兼容性。有两种方式获取。

3.2、从邮件中获取

在您完成申请GDCA服务器证书的流程后，GDCA将会在返回给您的邮件中附上服务器证书以及根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书。如果您申请的是睿信(OV) SSL证书（Organization Validation SSL Certificate），CA证书就是文件就是GDCA_TrustAUTH_R4_OV_SSL_CA.cer；如果您申请的是恒信企业EV SSL证书（Extended Validation SSL Certificate），CA证书就是文件就是GDCA_TrustAUTH_R4_EV_SSL_CA.cer,请确认所收到的证书文件是您需要的CA证书: （注意：所发至邮箱的文件是压缩文件，里面有3张证书，请确认所收到的证书文件是您需要的CA证书文件）

四、证书遗失处理

若您的证书文件损坏或者丢失且没有证书的备份文件，请联系GDCA（客服热线 95105813）办理遗失补办业务，重新签发服务器证书。