我刚刚购买了comodo必备的通配符证书,他们让我生成csr来激活它.
据我了解,我需要:
生成RSA 2048bit私钥
基于它生成CSR
正如我所见,openssl genrsa
命令接受不同的加密参数:
-des在cbc模式下使用DES加密生成的密钥-des3在ede cbc模式下使用DES加密生成的密钥(168位密钥)
-aes128,
-aes192,
-aes256
我该怎么用?
加密参数openssl genrsa
命令用于指定用于加密私钥的算法(使用您指定的密码).
CSR(证书签名请求)包括您的公钥和一些其他公共信息,以包含在证书中.CSR从不包含私钥.
因此,加密私钥的算法选择与CSR完全无关.选择你喜欢的任何东西 AES变体和Triple-DES(-des3
)应该是首选; 如今,普通的DES通常被认为是不安全的.另请参阅为什么AES比DES更安全.但我认为在这种特殊情况下的算法选择并不像使用强密码并保护它一样重要.
注意:请记住,如果使用密码保护私钥,则每次要访问私钥时都会提示您输入密码,例如启动Web服务器时.如果您忘记了密码,您的私钥将被丢失,您必须生成新密钥并申请新证书.你可以生成一个私钥不加密(无密码)openssl genrsa -out filename.key 2048
.也有可能(实际上,其存储未加密)删除密码使用命令像这样在任何时间:openssl rsa -in encrypted.key -out unencrypted.key
.您需要密码(系统会提示您输入密码).