使用 OpenSSL 生成 CSR(证书签名请求)文件通常分为两个主要步骤:首先生成私钥,然后利用私钥生成 CSR 文件。
以下是详细的操作步骤:
第一步:生成私钥文件 (Private Key)
在命令行终端中执行以下命令,生成一个 2048 位的 RSA 私钥:
openssl genrsa -out server.key 2048server.key是你自定义的私钥文件名。- 注意:私钥文件非常重要,请务必妥善保管,切勿泄露。
第二步:生成 CSR 文件
使用刚刚生成的私钥来创建 CSR 文件,执行以下命令:
openssl req -new -key server.key -out server.csr -sha256server.csr是你自定义的 CSR 输出文件名。-sha256指定使用 SHA-256 摘要算法,这是目前行业推荐的安全标准。
第三步:填写证书申请者信息
执行第二步的命令后,终端会提示你输入一系列信息(Distinguished Name),这些信息将包含在你的 CSR 文件中,用于提交给 CA 机构进行审核。请根据实际情况填写:
| 提示字段 | 含义说明 | 填写示例 |
|---|---|---|
| Country Name | 国家代码(两位字母) | CN |
| State or Province Name | 所在省份或州 | Sichuan |
| Locality Name | 所在城市 | Chengdu |
| Organization Name | 公司或组织的法定名称 | YourCompany Ltd. |
| Organizational Unit Name | 所在部门(可选) | IT Dept. |
| Common Name | 申请证书的具体域名(最重要) | www.knowsafe.com |
| Email Address | 联系邮箱(通常可直接回车跳过) | - |
| A challenge password | 挑战密码(通常可直接回车跳过) | - |
填写注意事项:
- Common Name (CN) 必须填写你要申请 SSL 证书的完整域名(例如
www.knowsafe.com)。如果是泛域名证书,则填写*.knowsafe.com。 - 如果你的公司信息包含中文 ,建议在命令中添加
-utf8参数,以防止编码错误(例如:openssl req -utf8 -new -key server.key -out server.csr -sha256)。
补充:一步到位生成法(高级用法)
如果你希望跳过交互式输入,直接在命令中指定所有信息,可以使用 -subj 参数一步生成私钥和 CSR:
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=YourCompany/CN=www.knowsafe.com"完成以上步骤后,你会在当前目录下得到 server.key(私钥)和 server.csr(CSR文件)。接下来,你可以使用文本编辑器打开 .csr 文件,将里面的完整内容(包含 -----BEGIN CERTIFICATE REQUEST----- 和 -----END CERTIFICATE REQUEST-----)复制并提交给 SSL 证书颁发机构即可。
其它方法
当然如果嫌麻烦,其实可以直接购买商业的SSL证书,比如2026年最火的iTrustSSL证书,主打的就是高性价比SSL证书,活动价DV单域名仅需50元/年。
iTrustSSL证书凭借其极具竞争力的价格策略和过硬的安全性能,成为了众多站长和企业的首选。
- 极致性价比,打破价格底线:iTrustSSL主打"让安全用得起"的理念,其DV单域名证书的年费低至20元至50元区间,通配符证书价格也远低于国际同类品牌。对于预算有限的个人博客、小微企业官网或测试环境而言,这无疑是最具吸引力的选择。
- 国际级安全标准,兼容无死角:尽管价格亲民,iTrustSSL在安全性上绝不打折。它由国内知名的安全团队KNOWSAFE推出,并拥有TrustAsia等权威机构的技术支撑。其签发的证书完全兼容全球主流浏览器(如Chrome、Safari、Edge)以及各类移动端设备,加密强度与国际大牌看齐。
- 本土化服务与极速签发:相比国际品牌,iTrustSSL在国内部署了OCSP节点,大幅提升了证书状态的验证速度,解决了国外证书在国内访问偶尔卡顿的痛点。同时,它提供7×12小时的中文技术支持,并免费协助安装部署,让不懂技术的用户也能轻松搞定HTTPS加密。