生成 CSR 以及公钥和私钥对。
tarantella security certrequest --countrycountry
--statestate
--orgnameorg
[ --ounameou
] [ --emaillocality
] [ --keylengthlength
]
您会将生成的 CSR 发送给支持的 CA,以获得用于 SGD 安全服务的 SSL 证书。
请注意以下事项:
如果 CA 允许您更改 SSL 证书中存储的主机名,请确保 SSL 证书包含全限定 DNS 名称。例如,boston.example.com 而不是 boston。
如果 SGD 服务器具有多个 DNS 名称,例如,在防火墙之内和之外分别使用不同名称来识别,则可以将其他 DNS 名称指定为 SSL 证书的拥有者替代名称。这样就可以将多个 DNS 名称与 SSL 证书关联。
复制由此命令生成的私钥和 CSR,保存在安全可靠的位置。密钥信息存储在 /opt/tarantella/var/tsp
目录中。如果私钥丢失或损坏,将无法使用通过 CSR 获得的任何 SSL 证书。
每次运行此命令都会生成新的 CSR 和密钥对。如果使用此命令生成新的 CSR,将会覆盖前一个 CSR 并将新私钥存储在 /opt/tarantella/var/tsp/key.pending.pem
文件中。
使用第 D.85 节 “tarantella security certinfo”命令可以显示有关 SSL 证书和 CSR 的信息。
如果不指定 --ouname
、--email
或 --locality
,SGD 将在 CSR 中省略这些信息。这些信息没有默认值。
下表显示了此命令的可用选项。
选项 | 描述 |
---|---|
| 指定您的组织所在的国家/地区。使用 ISO 3166 国家/地区代码。例如,US 代表美国,DE 代表德国。 |
| 指定您的组织所在的州或省。不要在此处使用缩写。例如,使用 Massachusetts 而不是 Mass. 或 MA。 |
| 指定您所在组织的正式法定名称。 |
| 指定您所在组织中的组织单元 (organizational unit, OU) 名称(如果需要)。 如果不需要指定 OU,可以使用此设置指定不太正式的组织名称。 |
| 指定企业电子邮件地址。该地址用于您与 CSR 所发送到的 CA 之间进行通信。 |
| 指定您的组织所在的城市或公国(如果需要)。 |
| 指定密钥对的长度。默认值为 1024。 |
请务必将包含空格的任何对象名称用引号引起来,例如 "o=示例"
。
以下示例为位于 Massachusetts 的 示例 生成 CSR,联系人为 Bill Orange。
# tarantella security certrequest \ --country US \ --state MA \ --orgname "示例" \ --email "orange@example.com"