Генерация CSR ECC Certificate Signing Request

Чтобы создать запрос CSR, для сервера должна быть создана пара ключей. Эти два элемента представляют собой пару ключей цифрового сертификата и не могут быть разделены. Если файл или пароль открытого / закрытого ключа потеряны или изменены до того, как сертификат SSL будет установлен, сертификат SSL необходимо будет переиздать. Закрытый ключ, CSR и сертификат должны соответствовать друг другу, чтобы установка была успешной.

Подробнее о элиптических кривых вы можете узнать в Elliptic Curve Cryptography Subject Public Key Information - IETF

Шаг 1: Создание (генерация) Private Key алгоритма ECC

1. Утилита «openssl» используется для генерации ключа и CSR. Эта утилита поставляется с пакетом OpenSSL и обычно устанавливается в директории /usr/local/ssl/bin Если утилита была установлена ​​в другом месте, эти инструкции должны быть соответствующим образом скорректированы.
2. Введите в командной строке следующую команду:
   openssl ecparam -out privatekey.key -name prime256v1 -genkey

   
   

   Эта команда генерирует файл закрытого ключа и кривую ECC с именем prime256v1.

Шаг 2. Создание запроса на подпись сертификата (CSR)

1. Введите в командной строке следующую команду:
   openssl req -new -key privatekey.key -out request.csr -sha256

   
   

   Если вы используете openSSL в Windows, вам может потребоваться указать путь к openssl.cnf

   openssl req -new -key privatekey.key -out request.csr -config "c:\OpenSS-Win64\bin\openssl.cnf
   
   
2. Эта команда предложит следующие атрибуты сертификата X.509:

   
   

   • Название страны (C): используйте двухбуквенный код без знаков препинания для страны, например: UA
   • Штат или провинция (S): область
   • Местность или город (L): город
   • Организация (O): Если ваша компания или отдел имеет символ &, @ или любой другой символ, используя ключ смены в своем имени, вы должны указать символ или опустить его для регистрации, например: XY & Z Corporation будет XYZ Корпорация или XY и Z Corportation.
   • Организационное подразделение (OU): это поле - название отдела или организационного подразделения, подающего запрос.
   • Общее имя (CN): Общее имя - это имя хоста + домен. Он выглядит как «www.company.com» или «company.com».

Пожалуйста, не вводите адрес электронной почты, пароль для запроса или альтернативное название компании при создании CSR .

Пара открытого и закрытого ключа создана. Закрытый ключ (www.domain.com.key) хранится локально на серверной машине и используется для шифрования. Публичная часть в виде запроса на подпись сертификата (certrequest.csr) предназначена для регистрации сертификатов. Сохраните резервную копию приватного ключа на случай утери или сбои серверного по.

Инструкции для генерации запроса подписи сертификата (CSR) с алгоритмом шифрования ECC на сервере Microsoft Windows 2008 Server.

Посмотрите видео-демонстрацию для создания CSR с алгоритмом шифрования ECC на сервере Microsoft Windows 2008

Шаг 1. Создание оснастки для сертификатов в консоли управления Microsoft

1. Нажмите кнопку «Пуск» и выполните поиск MMC
2. В окне MMC выберите «Файл»> «Добавить / удалить оснастку»
3. Выберите «Сертификаты» в левом столбце
4. Нажмите Добавить
5. Когда появится мастер оснастки «Сертификат», выберите «Учетная запись компьютера»
6. Нажмите «Далее»
7. Выбор локального компьютера
8. Нажмите Готово
9. Подтвердить сертификат появится в правой колонке
10. Нажмите ОК.

Шаг 2 Создание файла CSR из хранилища личных сертификатов в MMC

1. В окне MMC опустите дерево сертификатов
2. Щелкните правой кнопкой мыши личную папку
3. Выберите «Все задачи> Дополнительные операции»> «Создать пользовательский запрос».
4. В мастере регистрации сертификатов нажмите «Далее».
5. Выбрать Продолжить без политики регистрации
6. Нажмите «Далее»
7. В разделе «Шаблон» выберите (Без шаблона) СCNG-ключ
8. В разделе Формат запроса выберите PKCS # 10
9. Нажмите «Далее»
10. Когда появится окно «Информация о сертификате», нажмите стрелку раскрывающегося списка рядом с «Подробности»
11. Щелкните Свойства
12. Введите дружественное имя
    ПРИМЕЧАНИЕ . Дружественное имя в основном используется для указания отдела или фиктивного имени, чтобы помочь идентифицировать сертификат на сервере.
13. Перейдите на вкладку Тема.
14. Выбросьте меню для «Тип» и введите информацию в поле «Значение», нажав кнопку «Добавить» , когда каждое поле будет завершено. Сделайте это для следующих полей:
    • Общее имя: полное доменное имя, на которое будет выдан ваш сертификат.
    • Страна. Введите двухзначную аббревиатуру страны, в которой находится организация (например, UA).
    • Город: Обычно это главный офис вашей организации или главный офис вашей организации.
    • Организация: полное юридическое название вашей компании.
    • Организационное подразделение: используйте это поле для разграничения между подразделениями внутри организации.
    • State: Введите полное имя вашей области.
      Примечание. Убедитесь, что название области не сокращено не сокращены (например, Khmelnitska).
15. Перейдите на вкладку «Частный ключ»
16. Нажмите стрелку раскрывающегося списка рядом с поставщиком криптографических услуг
17. Снимите флажок, выбранный по умолчанию для RSA
18. Установите флажок для ECDH_P256
    ПРИМЕЧАНИЕ. На момент публикации этого документа DigiCert в настоящее время поддерживает только эллиптическую кривую ECDH_P256 для серверов Microsoft. - уточните информацию на сегодня
19. Нажмите стрелку раскрывающегося списка рядом с параметрами клавиш
20. Установите флажок Сделать доступным закрытый ключ
    ПРИМЕЧАНИЕ. Этот параметр позволяет резервировать или экспортировать сертификат с сервера.
21. Нажмите Применить> ОК.
22. В мастере регистрации сертификатов нажмите «Далее».
23. Нажмите Обзор
24. В окне «Сохранить как» перейдите к местоположению для сохранения файла
25. Введите имя файла
26. Нажмите Сохранить.
27. В мастере регистрации сертификатов выберите Base 64
28. Нажмите Готово

ECC CSR теперь создан. При открытии файла CSR убедитесь, что используется только приложение для текстового редактора (например, Блокнот или Vi).

Генерация ECC Certificate Signing Request для Oracle Java используя keytool

Java SE 7 поддерживает управление ключами ECC и управление сертификатами.

Чтобы загрузить последнюю версию Java JDK, посетите http://www.oracle.com/technetwork/java/javase/downloads/index.html

Прежде чем создать CSR, необходимо создать соответствующий Keystore (и PrivateKeyEntry). Если объект Keystore (содержащий PrivateKeyEntry ), сгенерированный CSR, был удален или потерян, полученный сертификат больше не может быть установлен, и замена должна быть завершена.

Шаг 1: Создайте Keystore и Private Key

1. Создайте хранилище ключей и закрытый ключ, выполнив следующую команду:
   keytool -genkeypair -keyalg EC -keystore ecckeystore.jks -keysize 256 -alias ecckeyname
2. Введите дважды пароль хранилища ключей.
3. Введите информацию для сертификата
4. При запросе пароля для псевдонима частного ключа нажмите Enter . Это установит пароль секретного ключа на тот же пароль, который используется для хранилища ключей на предыдущем шаге. Обратите внимание на Keystore, Alias ​​и пароль хранилища ключей.
5. Сделайте резервное копирование Keystore

Step 2 Проверьте список Keystore

1. Посомтрите содержимое кейсторе:
   keytool -list -v -keystore <Keystore from Step 1>

   Ниже приведен пример:
   * Детали этого вывода являются просто демонстрацией

   Keystore type: JKS
   Keystore provider: SUN

   Your keystore contains 1 entry

   Alias name: ecckeyname
   Creation date: Feb 4, 2014
   Entry type: PrivateKeyEntry
   Certificate chain length: 1
   Certificate[1]:
   Owner: CN=www.DigiCert.com, OU=IT, O=DigiCert Corporation, L=Mountain View, ST=California, C=US
   Issuer: CN=www.DigiCert.com, OU=IT, O=DigiCert Corporation, L=Mountain View, ST=California, C=US
   Serial number: 11fd0457
   Valid from: Tue Feb 04 12:59:42 GMT 2014 until: Mon May 05 13:59:42 BST 2014
   Certificate fingerprints:
            MD5:  9F:35:48:D9:11:BF:DB:C4:71:16:J8:75:CA:67:8C:12
            SHA1: 29:16:C1:45:95:B3:CF:2C:E6:97:D1:2D:C1:A6:61:26:6D:A2:88:17
            SHA256: A5:54:D4:2A:F9:A9:28:4B:88:AE:21:93:02:FF:BD:86:63:CB:6F:FB:A1:26:40:9F:35:FE:A7:5D:4A:0E:5A:15
            Signature algorithm name: SHA256withECDSA
            Version: 3

   Extensions:

   #1: ObjectId: 2.5.29.14 Criticality=false
   SubjectKeyIdentifier [
   KeyIdentifier [
   0000: 73 3A E5 0C 56 9F D0 FA   F8 2F F2 39 B2 AB 50 91  s:..W......9..Q.
   0010: 56 FB FC AA                                        V...
   ]
   ]

   *******************************************
   *******************************************

Шаг 3: Создание Certificate Signing Request при помощи Keystore

Выполните следующую команду для генерации CSR:

CSR, сгенерированные с использованием ECC, по умолчанию будет SHA-256ECDSA