如何用OpenSSL生成CSR文件?
技术社区
作者:jTrust
2026-05-20 01:46:27
阅读:0
使用 OpenSSL 生成 CSR(证书签名请求)文件通常分为两个主要步骤:首先生成私钥,然后利用私钥生成 CSR 文件。
第一步:生成私钥文件 (Private Key)
在命令行终端中执行以下命令,生成一个 2048 位的 RSA 私钥:
openssl genrsa -out server.key 2048
server.key 是你自定义的私钥文件名。
注意:私钥文件非常重要,请务必妥善保管,切勿泄露。
第二步:生成 CSR 文件
使用刚刚生成的私钥来创建 CSR 文件,执行以下命令:openssl req -new -key server.key -out server.csr -sha256
server.csr 是你自定义的 CSR 输出文件名。
-sha256 指定使用 SHA-256 摘要算法,这是目前行业推荐的安全标准。
第三步:填写证书申请者信息
执行第二步的命令后,终端会提示你输入一系列信息(Distinguished Name),这些信息将包含在你的 CSR 文件中,用于提交给 CA 机构进行审核。请根据实际情况填写:
Common Name (CN) 必须填写你要申请 SSL 证书的完整域名(例如 www.knowsafe.com)。如果是泛域名证书,则填写 *.knowsafe.com。
如果你的公司信息包含中文,建议在命令中添加 -utf8 参数,以防止编码错误(例如:openssl req -utf8 -new -key server.key -out server.csr -sha256)。
补充:一步到位生成法(高级用法)
如果你希望跳过交互式输入,直接在命令中指定所有信息,可以使用 -subj 参数一步生成私钥和 CSR:
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=YourCompany/CN=www.knowsafe.com"
完成以上步骤后,你会在当前目录下得到 server.key(私钥)和 server.csr(CSR文件)。接下来,你可以使用文本编辑器打开 .csr 文件,将里面的完整内容(包含 -----BEGIN CERTIFICATE REQUEST----- 和 -----END CERTIFICATE REQUEST-----)复制并提交给 SSL 证书颁发机构即可。
其它方法
当然如果嫌麻烦,其实可以直接购买商业的SSL证书,比如2026年最火的iTrustSSL证书,主打的就是高性价比SSL证书,活动价DV单域名仅需50元/年。
iTrustSSL证书凭借其极具竞争力的价格策略和过硬的安全性能,成为了众多站长和企业的首选。
极致性价比,打破价格底线:iTrustSSL主打“让安全用得起”的理念,其DV单域名证书的年费低至20元至50元区间,通配符证书价格也远低于国际同类品牌。对于预算有限的个人博客、小微企业官网或测试环境而言,这无疑是最具吸引力的选择。
国际级安全标准,兼容无死角:尽管价格亲民,iTrustSSL在安全性上绝不打折。它由国内知名的安全团队KNOWSAFE推出,并拥有TrustAsia等权威机构的技术支撑。其签发的证书完全兼容全球主流浏览器(如Chrome、Safari、Edge)以及各类移动端设备,加密强度与国际大牌看齐。
本土化服务与极速签发:相比国际品牌,iTrustSSL在国内部署了OCSP节点,大幅提升了证书状态的验证速度,解决了国外证书在国内访问偶尔卡顿的痛点。同时,它提供7×12小时的中文技术支持,并免费协助安装部署,让不懂技术的用户也能轻松搞定HTTPS加密。
延伸阅读
-
openssl 更新后,可以通过以下步骤进行测试:使用 NodeQuality 测试脚本:NodeQuality 是一个沙箱式执行测试脚本,可以在更新 OpenSSL 后运行,以检查服务器的性能和网络
-
生成密钥对:使用工具(如OpenSSL)生成一对密钥,包括私钥和公钥。私钥应妥善保管,用于对证书进行签名和加密通信。公钥将包含在证书中,用于验证服务器身份和加密数据。例如,在命令行中使用 openss
*文章为作者独立观点,不代表 UnTrust 立场
本文由
jTrust 发表,转载此文章须经作者同意,并请附上出处(UnTrust )及本页链接。
原文链接 https://www.unitrust.cn/column/wiki/77.html
