使用 OpenSSL 获取 SSL 证书和私钥

此过程是如何使用 OpenSSL 工具包创建 SSL 证书和私钥的简要说明。

您需要使用临时自签名证书还是证书颁发机构签名的证书应该由您的站点管理员或安全专员确定。在您需要获取 SSL 证书（临时自签名或证书颁发机构签名）时，可以遵循下面这些示例 OpenSSL 命令行说明。

1. 创建用于存储证书和私钥的网络共享或本地目录。
2. 要使用 OpenSSL 工具包生成新的 RSA 私钥，请键入：

   openssl genrsa -out <foo>.key 2048

   其中 <foo> 为私钥的名称。

   ---

   注 - 此私钥是以 PEM 格式存储的 2048 位的 RSA 密钥，因此它可以作为 ASCII 文本读取。

   ---

3. 要使用 OpenSSL 工具包生成证书签名请求 (certificate signing request, CSR)，请键入：

   openssl req -new -key <foo>.key -out <foo>.csr

   其中 <foo> 为证书签名请求的名称。

   ---

   注 - 在 CSR 生成期间，系统将显示多条信息以给出提示。

   ---

   <foo>.csr 文件现在应显示在您当前的工作目录中。

4. 要生成 SSL 证书，请执行以下操作之一：
   • 生成临时自签名证书（有效期 365 天）。

     自签名 SSL 证书基于 server.key 私钥和 server.csr 文件生成。

     使用 OpenSSL 工具包，键入：

     openssl x509 -req -days 365 -in <foo>.csr

     -signkey <foo>.key -out <foo>.cert

     其中，<foo> 为分配给私钥 (.key) 或证书 (.cert) 的名称。

     ---

     注 - 此临时证书在客户机浏览器中将生成一个错误，指出签名证书颁发机构未知或者不可信。如果此错误不可接受，则应该请求证书颁发机构向您颁发一个签名的证书。

     ---

   • 从证书颁发机构提供商获取官方签名的证书。

     将您的证书签名请求 (<foo>.csr) 提交至 SSL 证书颁发机构提供商。大多数证书颁发机构提供商都要求您剪切并粘贴 Web 应用程序屏幕中的 CSR 输出。通常需要七个工作日才能收到您的签名证书。

5. 将新的 SSL 证书和私钥上载到 Oracle ILOM。

   请参见以下说明：Upload a Custom SSL Certificate and Private Key to Oracle ILOM。