របៀបបង្កើត CSR នៅលើ Amazon Web Services (AWS)

របៀបបង្កើត CSR នៅលើ Amazon Web Services (AWS)

វិញ្ញាបនបត្រ SSL គឺចាំបាច់សម្រាប់ផលិតផល AWS ជាច្រើន រួមទាំង AWS Elastic Beanstalk, Elastic Load Balancing, CloudFront និង AWS OpsWorks ។ អត្ថបទនេះផ្តល់ការណែនាំអំពីការបង្កើតសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ (CSR) ដែលសមរម្យសម្រាប់សេវាកម្មទាំងនេះ។

CSR ដែលតំណាងឱ្យសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ មានព័ត៌មានដែលបានអ៊ិនគ្រីបអំពីអ្នកដាក់ពាក្យសុំវិញ្ញាបនបត្រ និងឈ្មោះដែនដែលពាក់ព័ន្ធ។

នៅពេលទិញវិញ្ញាបនបត្រ SSL វាចាំបាច់ក្នុងការធ្វើឱ្យ SSL ដំណើរការ ហើយបញ្ជូន CSR ទៅ CA (Certificate Authority) កំឡុងពេលដំណើរការ។ CA ប្រើប្រាស់ទិន្នន័យ CSR សម្រាប់សុពលភាពវិញ្ញាបនបត្រ។

សោឯកជន RSA ត្រូវបានបង្កើតរួមជាមួយ CSR ដែលបម្រើតួនាទីយ៉ាងសំខាន់ក្នុង ការអ៊ិនគ្រីបទិន្នន័យ។ វាមានសារៈសំខាន់ណាស់ក្នុងការការពារសោឯកជននៅលើ server ដើម្បីការពារការសម្របសម្រួល។

ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាខាងក្រោមគឺចាំបាច់សម្រាប់ការបង្កើតវិញ្ញាបនបត្រ និងការ hosting ទៅកាន់ AWS៖

  • OpenSSL៖ ប្រើសម្រាប់បង្កើត Private Keys និង CSRs។
  • PowerShell ឬ cmd៖ ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាស្តង់ដារសម្រាប់ម៉ាស៊ីនមេវីនដូ។
  • ចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា AWS (CLI)៖ បើកដំណើរការផ្ទុកវិញ្ញាបនបត្រទៅ AWS។

វិធីសាស្រ្តពីរសម្រាប់បង្កើត CSRs ត្រូវបានរៀបរាប់ខាងក្រោម៖

ការបង្កើត CSR ដោយប្រើ OpenSSL

ជម្រើសនេះត្រូវបានប្រើជាធម្មតានៅលើឧទាហរណ៍ Amazon ដែលមានមូលដ្ឋានលើ Linux ព្រោះជាធម្មតាពួកគេមានការដំឡើងឧបករណ៍ដែលត្រូវការរួចហើយ ឬវាងាយស្រួលក្នុងការរៀបចំ។ ពាក្យបញ្ជាទាំងអស់គួរតែដំណើរការតាមរយៈ CLI ឬឧបករណ៍បន្ទាត់ពាក្យបញ្ជាភាគីទីបីណាមួយដែលភ្ជាប់ជាមួយឧទាហរណ៍របស់អ្នក (ឧទាហរណ៍ Putty ឬកម្មវិធី Terminal នៅលើ MacOS និង Linux) ។

ចំពោះ កូនសោឯកជន នបង្កើតជាមុន ហើយបន្ទាប់មក CSR ត្រូវបានបង្កើតដោយផ្អែកលើវា។

1) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបង្កើតកូនសោរ៖

sudo openssl genrsa -out private.key 2048

ដែលជាកន្លែងដែល 2048 គឺជាទំហំគន្លឹះ។ ប្រសិនបើអ្នកមិនបញ្ជាក់ទំហំទេ គ្រាប់ចុច 2048-bit ត្រូវបានបង្កើត។

អ្នកអាចបញ្ជាក់ឈ្មោះណាមួយសម្រាប់ឯកសារសោ (
private.key) ដើម្បីធ្វើឱ្យវាអាចស្គាល់បានក្នុងករណីដែលអ្នកមាន SSLs ច្រើនត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេ។

ប្រសិនបើអ្នកចង់បង្កើត SSL
ECDSA អ្នកអាចប្រើពាក្យបញ្ជានេះជំនួសវិញ (នេះគ្រាន់តែជាជម្រើសដែលបានណែនាំ — មានការដំឡើងផ្សេងទៀតដែលអ្នកអាចប្រើផងដែរ)៖

sudo openssl ecparam -genkey -name secp384r1 -out private.key -genkey

2) CSR ត្រូវបានបង្កើតដោយផ្អែកលើ Private Key ។ ពាក្យបញ្ជាខាងក្រោមត្រូវបានប្រើសម្រាប់ការបង្កើត CSR៖

sudo openssl req -new -key private.key -out csr.pem

2.1) ជាជម្រើសអ្នកអាចប្រើពាក្យបញ្ជាមួយដើម្បីបង្កើត RSA Private Key និង CSR៖

sudo openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out csr.pem

លទ្ធផលនឹងមើលទៅស្រដៀងនឹងឧទាហរណ៍ខាងក្រោម៖

អ្នកហៀបនឹងត្រូវបានស្នើសុំឱ្យបញ្ចូលព័ត៌មានដែលនឹងបញ្ចូលទៅក្នុងសំណើវិញ្ញាបនបត្ររបស់អ្នក។
អ្វីដែលអ្នកហៀបនឹងបញ្ចូលគឺជាអ្វីដែលគេហៅថា Distinguished Name ឬ DN។
មាន​វាល​មួយ​ចំនួន ប៉ុន្តែ​អ្នក​អាច​ទុក​ឲ្យ​នៅ​ទទេ។
សម្រាប់វាលខ្លះនឹងមានតម្លៃលំនាំដើម។
ប្រសិនបើអ្នកគ្រាន់តែចុច Enter នោះវាលនឹងទុកចោល។

2.2) ព័ត៌មានខាងក្រោមចាំបាច់ត្រូវបំពេញ។ យើងសូមផ្តល់អនុសាសន៍យ៉ាងមុតមាំក្នុងការបំពេញគ្រប់វាលទាំងអស់។ CSR ដែលមានវាលទទេណាមួយអាចត្រូវបានបដិសេធដោយប្រព័ន្ធរបស់យើង ឬដោយអាជ្ញាធរវិញ្ញាបនបត្រ។

ចំណាំ៖ សម្រាប់ប្រភេទ SSLs ដែលមានសុពលភាព (OV) ឬ Extended Validation (EV) ត្រូវប្រាកដថាប្រើឈ្មោះក្រុមហ៊ុនស្របច្បាប់ត្រឹមត្រូវ។ ប្រសិនបើវាជា CSR ដែលបានចេញផ្សាយឡើងវិញ សូមប្រាកដថាព័ត៌មានលម្អិតរបស់ក្រុមហ៊ុនគឺដូចគ្នាទៅនឹងអ្វីដែលបានប្រើពីមុន។

ចំណាំ៖ សូមប្រើតែអក្សរអក្សរក្រមប៉ុណ្ណោះ។ CSR ដែលមាននិមិត្តសញ្ញាពិសេសដូចជា Ä ឬ È នឹងមិនត្រូវបានគេទទួលស្គាល់ទេ។ តួអក្សរពិសេសបែបនេះគួរតែត្រូវបានជំនួសដោយអាណាឡូករបស់ពួកគេពីអក្សរក្រមលេខដូចជា A និង E ។

ឈ្មោះ​ប្រទេស: ប្រើ ប្រើលេខកូដប្រទេសដែលមានអក្សរ 2 ត្រឹមត្រូវ។ .
រដ្ឋនៃខេត្ត: ប្រើឈ្មោះរដ្ឋ ឬខេត្តរបស់អ្នក ឬប្រើឈ្មោះតំបន់ ប្រសិនបើអ្នកមិនមាន។
ឈ្មោះតំបន់: ប្រើទីក្រុង ទីក្រុង ឬឈ្មោះតំបន់ផ្សេងទៀត។
ឈ្មោះ​អង្គការ: ប្រើឈ្មោះក្រុមហ៊ុន/អង្គការរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
អង្គភាពរៀបចំ: ប្រើអង្គភាព ឬឈ្មោះនាយកដ្ឋានរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
ឈ្មោះទូទៅ: មានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ពេញលេញ ឈ្មោះដែនត្រឹមត្រូវ ដែលអ្នកត្រូវការដើម្បីធានា, www.example.com

ចំណាំ៖ នៅពេលបំពេញក្នុងវាល ឈ្មោះទូទៅ វាជាការសំខាន់ក្នុងការចងចាំថាវាគួរតែជាឈ្មោះដែនពិតប្រាកដដែលអ្នកត្រូវការដើម្បីធានា។ វាគួរតែមើលទៅដូចជា www.example.com, example.com ឬដូច mail.example.com ប្រសិនបើអ្នកត្រូវការធានាដែនរង។

សម្រាប់វិញ្ញាបនបត្រ Wildcard ឈ្មោះទូទៅគួរតែត្រូវបានបញ្ជាក់ជា *.example.com ឬ *.sub.example.com ។

អាស័យ​ដ្ឋាន​អ៊ី​ម៉េ​ល: Server administrator’s email address: for example, [អ៊ីមែលការពារ] This email address will be fetched by the system as an administrative contact for the SSL certificate files to be sent to once the certificate is issued. You’ll be able to change it during the SSL activation as well.

ពាក្យសម្ងាត់សម្រាប់ការប្រកួតប្រជែង និងឈ្មោះក្រុមហ៊ុនជាជម្រើសគឺជាវាលកេរ្តិ៍ដំណែល ហើយអាចរំលងបាន។

វិញ្ញាបនបត្រភាគច្រើនយើងផ្តល់សុវត្ថិភាពទាំង www.example.com និង example.com ដោយស្វ័យប្រវត្តិ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកមានការសង្ស័យណាមួយ យើងសូមណែនាំឱ្យពិនិត្យមើលវិធីត្រឹមត្រូវដើម្បីកំណត់ឈ្មោះដែនរបស់អ្នកសម្រាប់វិញ្ញាបនបត្រជាក់លាក់មួយជាមួយក្រុមជំនួយរបស់យើង។

3) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបើកឯកសារ CSR ដែលអ្នកទើបតែបង្កើត៖

cat csr.pem

នៅក្នុងលទ្ធផលអ្នកនឹងឃើញ CSR នៅក្នុងអត្ថបទធម្មតា។ ចម្លងអត្ថបទទាំងមូលដោយចាប់ផ្តើមដោយបន្ទាត់ “—–ចាប់ផ្តើមការស្នើសុំវិញ្ញាបនបត្រ—–” ហើយប្រើវាសម្រាប់ការធ្វើឱ្យសកម្មវិញ្ញាបនបត្រ។ នៅពេលដែលវិញ្ញាបនបត្រត្រូវបានចេញដោយអាជ្ញាធរវិញ្ញាបនប័ត្រ អ្នកអាចបន្តការដំឡើងរបស់វា។

ដំណើរការគឺដូចគ្នាសម្រាប់ការចែកចាយ Linux ទាំងអស់ រួមទាំង Amazon AMI Linux ផងដែរ។

ចំណាំ៖ ប្រព័ន្ធប្រតិបត្តិការ Windows មានដំណើរការស្រដៀងគ្នា ដែលអាចធ្វើបានតាមវិធីនេះ។

ការព្រមាន៖ សូមចងចាំចំណុចខាងក្រោមមុនពេលចាប់ផ្តើមដំណើរការ៖

សរសេរថតដែល CSR ត្រូវបានបង្កើត ព្រោះថា Private Key សម្រាប់ SSL នឹងត្រូវបានរក្សាទុកនៅទីនោះ។ អ្នកនឹងត្រូវដឹងពីកន្លែងដែលសោស្ថិតនៅ ដើម្បីដំឡើង SSL ។

ប្រសិនបើ​អ្នក​មិន​ប្រាកដ​ថា​វា​ជា​ថត​មួយ​ណា​នោះ អ្នក​អាច​ពិនិត្យ​មើល​វា​ដោយ​ប្រើ​ពាក្យ​បញ្ជា pwd៖

find / -type f -name “*.csr”

or

find / -type f -name “*.pem”

(depending on what extension was used)

ការបង្កើត CSR ដោយប្រើ PowerShell

វិធីសាស្រ្តនេះត្រូវបានប្រើនៅលើម៉ាស៊ីនដែលមានមូលដ្ឋាន Window ព្រោះវាមានលក្ខណៈពិសេសឧបករណ៍បន្ទាត់ពាក្យបញ្ជាដែលត្រូវការរួចហើយ ហើយការផ្ទុកសំណើវិញ្ញាបនបត្រត្រូវបានបង្កើតជំនួសឱ្យសោឯកជន។

XNUMX) បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ example.inf (អ្នកអាចប្រើឈ្មោះឯកសារណាមួយ) នៅលើ server window បស់អ្នកជាមួយនឹងព័ត៌មានលម្អិត CSR ដូចឧទាហរណ៍នេះ៖

[NewRequest]
Subject = “/CN=*Common Name*/C=*Country*/ST=*State or Province*/L=*Locality or City*/O=*Company*/OU=*Organizational unit*”
Exportable = TRUE
KeyLength = *key size in bits*
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[RequestAttributes]
CertificateTemplate=”WebServer”
[Extensions]
OID = 1.3.6.1.5.5.7.3.1
OID = 1.3.6.1.5.5.7.3.2

ជំនួសតម្លៃទាំងអស់ដែលបានសម្គាល់ដោយ '**' ជាមួយនឹងព័ត៌មានលម្អិតពិតប្រាកដរបស់អ្នក។

2) រក្សាទុកវាហើយដំណើរការពាក្យបញ្ជាខាងក្រោមក្នុង cmd ឬ PowerShell៖

certreq -new example.inf csr.txt

3) បើកឯកសារដោយប្រើកម្មវិធីនិពន្ធអត្ថបទណាមួយ (យើងប្រើ Notepad ក្នុងឧទាហរណ៍នេះព្រោះវាតែងតែមានវត្តមាននៅលើ Windows) ឬប្រើពាក្យបញ្ជាខាងក្រោម៖

notepad csr.txt

ចំណាំ៖ ប្រសិនបើអ្នកមានគម្រោងនាំចូល SSL ដោយប្រើកម្មវិធីគ្រប់គ្រងវិញ្ញាបនបត្រ AWS (ACM) វាគាំទ្រតែគ្រាប់ចុច XNUMX និងហួសសុពលភាព XNUMX-bit ប៉ុណ្ណោះ៕