Я пытаюсь понять, как правильно установить SSL на сервере (скорее, на пару серверов за балансировщиком нагрузки AWS).
https://www.digicert.com/easy-csr/openssl.htm предлагает мастера. Я хочу подтвердить, что могу ввести данные, запустить команду openssl и получить две вещи:
domain.csr domain.key
Затем я использую csr, чтобы покупка сертификат и используйте ключ для подписи. Это верно? Я упустил часть головоломки?
CSR означает запрос на подпись сертификата, и вы в значительной степени его получили.
CSR предназначен только для того, чтобы бросить в центр сертификации; он содержит ваш общедоступный сертификат, но не в форме, которая полезна для чего-либо, кроме отправки для его подписи.
Они подпишут его и отправят обратно ваш общедоступный файл сертификата, который будет иметь формат .pem или .crt. Это будет публичный сертификат, отправленный каждой клиентской системе, запрашивающей страницу. Он будет содержать информацию, которую вы определили на этой странице (CN и сведения об организации), а также материалы, которые они добавляют из CA (где клиенты могут получить родительский сертификат, местоположения списка отзыва сертификатов, разрешенное использование сертификата и т. Д. ).
.Key - это закрытый ключ сертификата в его окончательной форме. Вы передадите его веб-серверу в качестве закрытого ключа, и он будет использоваться для расшифровки данных, отправляемых клиентами, шифрования данных, отправляемых клиентам, и подписания данных для аутентификации.