របៀបបង្កើត CSR នៅលើ Amazon Web Services (AWS)

វិញ្ញាបនបត្រ SSL គឺចាំបាច់សម្រាប់ផលិតផល AWS ជាច្រើន រួមទាំង AWS Elastic Beanstalk, Elastic Load Balancing, CloudFront និង AWS OpsWorks ។ អត្ថបទនេះផ្តល់ការណែនាំអំពីការបង្កើតសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ (CSR) ដែលសមរម្យសម្រាប់សេវាកម្មទាំងនេះ។

CSR ដែលតំណាងឱ្យសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ មានព័ត៌មានដែលបានអ៊ិនគ្រីបអំពីអ្នកដាក់ពាក្យសុំវិញ្ញាបនបត្រ និងឈ្មោះដែនដែលពាក់ព័ន្ធ។

នៅពេលទិញវិញ្ញាបនបត្រ SSL វាចាំបាច់ក្នុងការធ្វើឱ្យ SSL ដំណើរការ ហើយបញ្ជូន CSR ទៅ CA (Certificate Authority) កំឡុងពេលដំណើរការ។ CA ប្រើប្រាស់ទិន្នន័យ CSR សម្រាប់សុពលភាពវិញ្ញាបនបត្រ។

សោឯកជន RSA ត្រូវបានបង្កើតរួមជាមួយ CSR ដែលបម្រើតួនាទីយ៉ាងសំខាន់ក្នុង ការអ៊ិនគ្រីបទិន្នន័យ។ វាមានសារៈសំខាន់ណាស់ក្នុងការការពារសោឯកជននៅលើ server ដើម្បីការពារការសម្របសម្រួល។

ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាខាងក្រោមគឺចាំបាច់សម្រាប់ការបង្កើតវិញ្ញាបនបត្រ និងការ hosting ទៅកាន់ AWS៖

• OpenSSL៖ ប្រើសម្រាប់បង្កើត Private Keys និង CSRs។
• PowerShell ឬ cmd៖ ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាស្តង់ដារសម្រាប់ម៉ាស៊ីនមេវីនដូ។
• ចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា AWS (CLI)៖ បើកដំណើរការផ្ទុកវិញ្ញាបនបត្រទៅ AWS។

វិធីសាស្រ្តពីរសម្រាប់បង្កើត CSRs ត្រូវបានរៀបរាប់ខាងក្រោម៖

ការបង្កើត CSR ដោយប្រើ OpenSSL

ជម្រើសនេះត្រូវបានប្រើជាធម្មតានៅលើឧទាហរណ៍ Amazon ដែលមានមូលដ្ឋានលើ Linux ព្រោះជាធម្មតាពួកគេមានការដំឡើងឧបករណ៍ដែលត្រូវការរួចហើយ ឬវាងាយស្រួលក្នុងការរៀបចំ។ ពាក្យបញ្ជាទាំងអស់គួរតែដំណើរការតាមរយៈ CLI ឬឧបករណ៍បន្ទាត់ពាក្យបញ្ជាភាគីទីបីណាមួយដែលភ្ជាប់ជាមួយឧទាហរណ៍របស់អ្នក (ឧទាហរណ៍ Putty ឬកម្មវិធី Terminal នៅលើ MacOS និង Linux) ។

ចំពោះ Private Key នបង្កើតជាមុន ហើយបន្ទាប់មក CSR ត្រូវបានបង្កើតដោយផ្អែកលើវា។

1) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបង្កើតកូនសោរ៖

sudo openssl genrsa -out private.key 2048

ដែលជាកន្លែងដែល 2048 គឺជាទំហំគន្លឹះ។ ប្រសិនបើអ្នកមិនបញ្ជាក់ទំហំទេ គ្រាប់ចុច 2048-bit ត្រូវបានបង្កើត។

អ្នកអាចបញ្ជាក់ឈ្មោះណាមួយសម្រាប់ឯកសារសោ (private.key) ដើម្បីធ្វើឱ្យវាអាចស្គាល់បានក្នុងករណីដែលអ្នកមាន SSLs ច្រើនត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេ។

ប្រសិនបើអ្នកចង់បង្កើត SSL ECDSA អ្នកអាចប្រើពាក្យបញ្ជានេះជំនួសវិញ (នេះគ្រាន់តែជាជម្រើសដែលបានណែនាំ — មានការដំឡើងផ្សេងទៀតដែលអ្នកអាចប្រើផងដែរ)៖

sudo openssl ecparam -genkey -name secp384r1 -out private.key -genkey

2) CSR ត្រូវបានបង្កើតដោយផ្អែកលើ Private Key ។ ពាក្យបញ្ជាខាងក្រោមត្រូវបានប្រើសម្រាប់ការបង្កើត CSR៖

sudo openssl req -new -key private.key -out csr.pem

2.1) ជាជម្រើសអ្នកអាចប្រើពាក្យបញ្ជាមួយដើម្បីបង្កើត RSA Private Key និង CSR៖

sudo openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out csr.pem

លទ្ធផលនឹងមើលទៅស្រដៀងនឹងឧទាហរណ៍ខាងក្រោម៖

អ្នកហៀបនឹងត្រូវបានស្នើសុំឱ្យបញ្ចូលព័ត៌មានដែលនឹងបញ្ចូលទៅក្នុងសំណើវិញ្ញាបនបត្ររបស់អ្នក។
អ្វីដែលអ្នកហៀបនឹងបញ្ចូលគឺជាអ្វីដែលគេហៅថា Distinguished Name ឬ DN។
មាន​វាល​មួយ​ចំនួន ប៉ុន្តែ​អ្នក​អាច​ទុក​ឲ្យ​នៅ​ទទេ។
សម្រាប់វាលខ្លះនឹងមានតម្លៃលំនាំដើម។
ប្រសិនបើអ្នកគ្រាន់តែចុច Enter នោះវាលនឹងទុកចោល។

2.2) ព័ត៌មានខាងក្រោមចាំបាច់ត្រូវបំពេញ។ យើងសូមផ្តល់អនុសាសន៍យ៉ាងមុតមាំក្នុងការបំពេញគ្រប់វាលទាំងអស់។ CSR ដែលមានវាលទទេណាមួយអាចត្រូវបានបដិសេធដោយប្រព័ន្ធរបស់យើង ឬដោយអាជ្ញាធរវិញ្ញាបនបត្រ។

ចំណាំ៖ សម្រាប់ប្រភេទ SSLs ដែលមានសុពលភាព (OV) ឬ Extended Validation (EV) ត្រូវប្រាកដថាប្រើឈ្មោះក្រុមហ៊ុនស្របច្បាប់ត្រឹមត្រូវ។ ប្រសិនបើវាជា CSR ដែលបានចេញផ្សាយឡើងវិញ សូមប្រាកដថាព័ត៌មានលម្អិតរបស់ក្រុមហ៊ុនគឺដូចគ្នាទៅនឹងអ្វីដែលបានប្រើពីមុន។

ចំណាំ៖ សូមប្រើតែអក្សរអក្សរក្រមប៉ុណ្ណោះ។ CSR ដែលមាននិមិត្តសញ្ញាពិសេសដូចជា Ä ឬ È នឹងមិនត្រូវបានគេទទួលស្គាល់ទេ។ តួអក្សរពិសេសបែបនេះគួរតែត្រូវបានជំនួសដោយអាណាឡូករបស់ពួកគេពីអក្សរក្រមលេខដូចជា A និង E ។

ឈ្មោះ​ប្រទេស: ប្រើ ប្រើលេខកូដប្រទេសដែលមានអក្សរ 2 ត្រឹមត្រូវ។ .
រដ្ឋនៃខេត្ត: ប្រើឈ្មោះរដ្ឋ ឬខេត្តរបស់អ្នក ឬប្រើឈ្មោះតំបន់ ប្រសិនបើអ្នកមិនមាន។
ឈ្មោះតំបន់: ប្រើទីក្រុង ទីក្រុង ឬឈ្មោះតំបន់ផ្សេងទៀត។
ឈ្មោះ​អង្គការ: ប្រើឈ្មោះក្រុមហ៊ុន/អង្គការរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
Organizational Unit: ប្រើអង្គភាព ឬឈ្មោះនាយកដ្ឋានរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
Common Name: មានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ពេញលេញ domain ដែលអ្នកត្រូវការដើម្បីធានា, www.example.com

ចំណាំ៖ នៅពេលបំពេញក្នុងវាល ឈ្មោះទូទៅ វាជាការសំខាន់ក្នុងការចងចាំថាវាគួរតែជាឈ្មោះដែនពិតប្រាកដដែលអ្នកត្រូវការដើម្បីធានា។ វាគួរតែមើលទៅដូចជា www.example.com, example.com ឬដូច mail.example.com ប្រសិនបើអ្នកត្រូវការធានាដែនរង។

សម្រាប់វិញ្ញាបនបត្រ Wildcard ឈ្មោះទូទៅគួរតែត្រូវបានបញ្ជាក់ជា *.example.com ឬ *.sub.example.com ។

អាស័យ​ដ្ឋាន​អ៊ី​ម៉េ​ល៖ អាសយដ្ឋានអ៊ីមែលរបស់អ្នកគ្រប់គ្រងម៉ាស៊ីនមេ៖ ឧទាហរណ៍ [អ៊ីមែលការពារ] អាសយដ្ឋានអ៊ីមែលនេះនឹងត្រូវបានទៅយកដោយប្រព័ន្ធជាទំនាក់ទំនងរដ្ឋបាលសម្រាប់ឯកសារវិញ្ញាបនបត្រ SSL ដែលត្រូវផ្ញើទៅនៅពេលដែលវិញ្ញាបនបត្រត្រូវបានចេញ។ អ្នក​នឹង​អាច​ផ្លាស់​ប្តូ​រ​វា​កំឡុង​ពេល​ធ្វើ​ឱ្យ​សកម្ម SSL ផង​ដែរ​។

ពាក្យសម្ងាត់សម្រាប់ការប្រកួតប្រជែង និងឈ្មោះក្រុមហ៊ុនជាជម្រើសគឺជាវាលកេរ្តិ៍ដំណែល ហើយអាចរំលងបាន។

វិញ្ញាបនបត្រភាគច្រើនយើងផ្តល់សុវត្ថិភាពទាំង www.example.com និង example.com ដោយស្វ័យប្រវត្តិ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកមានការសង្ស័យណាមួយ យើងសូមណែនាំឱ្យពិនិត្យមើលវិធីត្រឹមត្រូវដើម្បីកំណត់ឈ្មោះដែនរបស់អ្នកសម្រាប់វិញ្ញាបនបត្រជាក់លាក់មួយជាមួយក្រុមជំនួយរបស់យើង។

3) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបើកឯកសារ CSR ដែលអ្នកទើបតែបង្កើត៖

cat csr.pem

នៅក្នុងលទ្ធផលអ្នកនឹងឃើញ CSR នៅក្នុងអត្ថបទធម្មតា។ ចម្លងអត្ថបទទាំងមូលដោយចាប់ផ្តើមដោយបន្ទាត់ “—–ចាប់ផ្តើមការស្នើសុំវិញ្ញាបនបត្រ—–” ហើយប្រើវាសម្រាប់ការធ្វើឱ្យសកម្មវិញ្ញាបនបត្រ។ នៅពេលដែលវិញ្ញាបនបត្រត្រូវបានចេញដោយអាជ្ញាធរវិញ្ញាបនប័ត្រ អ្នកអាចបន្តការដំឡើងរបស់វា។

ដំណើរការគឺដូចគ្នាសម្រាប់ការចែកចាយ Linux ទាំងអស់ រួមទាំង Amazon AMI Linux ផងដែរ។

ចំណាំ៖ ប្រព័ន្ធប្រតិបត្តិការ Windows មានដំណើរការស្រដៀងគ្នា ដែលអាចធ្វើបានតាមវិធីនេះ។

ការព្រមាន៖ សូមចងចាំចំណុចខាងក្រោមមុនពេលចាប់ផ្តើមដំណើរការ៖

សរសេរថតដែល CSR ត្រូវបានបង្កើត ព្រោះថា Private Key សម្រាប់ SSL នឹងត្រូវបានរក្សាទុកនៅទីនោះ។ អ្នកនឹងត្រូវដឹងពីកន្លែងដែលសោស្ថិតនៅ ដើម្បីដំឡើង SSL ។

ប្រសិនបើ​អ្នក​មិន​ប្រាកដ​ថា​វា​ជា​ថត​មួយ​ណា​នោះ អ្នក​អាច​ពិនិត្យ​មើល​វា​ដោយ​ប្រើ​ពាក្យ​បញ្ជា pwd៖

find / -type f -name “*.csr”

or

find / -type f -name “*.pem”

(depending on what extension was used)

ស្វែងយល់ពីសេវាកម្មរបស់យើង។

ប្រើប្រាស់ជំនាញ Cloud Computing ដ៏រឹងមាំរបស់ 1Byte ដើម្បីជំរុញអាជីវកម្មរបស់អ្នកតាមរបៀបដ៏ធំមួយ

Domains

1Byte ផ្តល់ពេញលេញ domain សេវាកម្មចុះឈ្មោះដែលរួមមានបុគ្គលិកគាំទ្រដោយយកចិត្តទុកដាក់ ការថែទាំអតិថិជនដែលមានការអប់រំ ការចំណាយសមរម្យ ក៏ដូចជា ក domain ឧបករណ៍ស្វែងរកតម្លៃ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

វិញ្ញាបនបត្រ SSL

បង្កើនសុវត្ថិភាពលើអ៊ីនធឺណិតរបស់អ្នកជាមួយនឹងសេវាកម្ម SSL របស់ 1Byte ។ ការការពារដែលមិនអាចប្រៀបផ្ទឹមបាន ការរួមបញ្ចូលដោយគ្មានថ្នេរ និងសន្តិភាពនៃចិត្តសម្រាប់ដំណើរឌីជីថលរបស់អ្នក។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Cloud Server

មិនថា cloud server កញ្ចប់ដែលអ្នកជ្រើសរើស អ្នកអាចពឹងផ្អែកលើ 1Byte សម្រាប់ភាពជឿជាក់ ភាពឯកជន សុវត្ថិភាព និងបទពិសោធន៍គ្មានភាពតានតឹង ដែលមានសារៈសំខាន់សម្រាប់អាជីវកម្មជោគជ័យ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Shared Hosting

ការជ្រើសរើសពួកយើងជាអ្នកផ្តល់សេវាបង្ហោះចែករំលែករបស់អ្នកអនុញ្ញាតឱ្យអ្នកទទួលបានតម្លៃដ៏ល្អឥតខ្ចោះសម្រាប់ប្រាក់របស់អ្នក ខណៈពេលដែលរីករាយនឹងកម្រិតគុណភាព និងមុខងារដូចគ្នានឹងជម្រើសដែលមានតម្លៃថ្លៃជាង។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Cloud Hosting

តាមរយៈកម្មវិធីដែលមានភាពបត់បែនខ្ពស់ 1Byte ដ៏ទំនើប cloud hosting ផ្តល់ដំណោះស្រាយដ៏អស្ចារ្យដល់អាជីវកម្មខ្នាតតូច និងមធ្យមលឿនជាងមុន សុវត្ថិភាពជាងមុន និងក្នុងតម្លៃកាត់បន្ថយ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

WordPress Hosting

បន្តនាំមុខការប្រកួតប្រជែងជាមួយនឹងសេវាកម្មបង្ហោះ WordPress ប្រកបដោយភាពច្នៃប្រឌិតរបស់ 1Byte ។ ផែនការដែលសំបូរទៅដោយលក្ខណៈពិសេសរបស់យើង និងភាពជឿជាក់ដែលមិនអាចប្រៀបផ្ទឹមបានធានាថាគេហទំព័ររបស់អ្នកមានភាពលេចធ្លោ និងផ្តល់នូវបទពិសោធន៍អ្នកប្រើប្រាស់ដែលមិនអាចបំភ្លេចបាន។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

ភាពជាដៃគូ AWS

ក្នុងនាមជាដៃគូ AWS ផ្លូវការ ទំនួលខុសត្រូវចម្បងមួយរបស់យើងគឺជួយអាជីវកម្មក្នុងការធ្វើទំនើបកម្មប្រតិបត្តិការរបស់ពួកគេ និងប្រើប្រាស់ច្រើនបំផុតក្នុងការធ្វើដំណើររបស់ពួកគេទៅកាន់ពពកជាមួយ AWS ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

ការបង្កើត CSR ដោយប្រើ PowerShell

វិធីសាស្រ្តនេះត្រូវបានប្រើនៅលើម៉ាស៊ីនដែលមានមូលដ្ឋាន Window ព្រោះវាមានលក្ខណៈពិសេសឧបករណ៍បន្ទាត់ពាក្យបញ្ជាដែលត្រូវការរួចហើយ ហើយការផ្ទុកសំណើវិញ្ញាបនបត្រត្រូវបានបង្កើតជំនួសឱ្យសោឯកជន។

XNUMX) បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ example.inf (អ្នកអាចប្រើឈ្មោះឯកសារណាមួយ) នៅលើ server window បស់អ្នកជាមួយនឹងព័ត៌មានលម្អិត CSR ដូចឧទាហរណ៍នេះ៖

[NewRequest]
ប្រធានបទ = “/CN=*ឈ្មោះទូទៅ*/C=*ប្រទេស*/ST=*រដ្ឋ ឬខេត្ត*/L=*មូលដ្ឋាន ឬទីក្រុង*/O=*ក្រុមហ៊ុន*/OU=*អង្គភាពស្ថាប័ន*”
អាចនាំចេញបាន = ពិត
ប្រវែងគន្លឹះ = *ទំហំគ្រាប់ចុចជាប៊ីត*
KeySpec = ១
ការប្រើប្រាស់គន្លឹះ = 0xf0
MachineKeySet = ពិត
[RequestAttributes]
CertificateTemplate=”WebServer”
[ផ្នែកបន្ថែម]
OID = 1.3.6.1.5.5.7.3.1
OID = 1.3.6.1.5.5.7.3.2

ជំនួសតម្លៃទាំងអស់ដែលបានសម្គាល់ដោយ '**' ជាមួយនឹងព័ត៌មានលម្អិតពិតប្រាកដរបស់អ្នក។

2) រក្សាទុកវាហើយដំណើរការពាក្យបញ្ជាខាងក្រោមក្នុង cmd ឬ PowerShell៖

certreq -new example.inf csr.txt

3) បើកឯកសារដោយប្រើកម្មវិធីនិពន្ធអត្ថបទណាមួយ (យើងប្រើ Notepad ក្នុងឧទាហរណ៍នេះព្រោះវាតែងតែមានវត្តមាននៅលើ Windows) ឬប្រើពាក្យបញ្ជាខាងក្រោម៖

notepad csr.txt

ចំណាំ៖ ប្រសិនបើអ្នកមានគម្រោងនាំចូល SSL ដោយប្រើកម្មវិធីគ្រប់គ្រងវិញ្ញាបនបត្រ AWS (ACM) វាគាំទ្រតែគ្រាប់ចុច XNUMX និងហួសសុពលភាព XNUMX-bit ប៉ុណ្ណោះ៕