Blog

Menghasilkan CSR di Amazon Web Services (AWS)

Sertifikat SSL dapat digunakan untuk beberapa produk AWS, seperti AWS Elastic Beanstalk, Elastic Load Balancing, CloudFront, dan AWS OpsWorks.

Pada artikel ini kami akan menjelaskan cara menghasilkan kode CSR yang valid untuk layanan tersebut.
CSR , Permintaan Penandatanganan Sertifikat , adalah teks terenkripsi kecil yang berisi informasi tentang pemohon sertifikat dan nama domain yang akan diamankan.
Setelah Anda membeli SSL, Anda harus menetapkan sertifikat ke nama domain Anda. Caranya dengan mengaktifkan SSL dan mengirimkan kode CSR ke CA (Certificate Authority) selama proses berlangsung. CA nantinya akan menggunakan data dari CSR untuk memvalidasi sertifikat Anda.
Kunci Pribadi RSA dihasilkan bersama dengan CSR. Private Key memainkan peran penting dalam mengenkripsi informasi. Itu harus disimpan dengan aman di server dan tidak boleh dikompromikan.
Alat baris perintah berikut diperlukan untuk membuat dan mengunggah sertifikat ke AWS:
  • OpenSSL : Alat ini dirancang untuk menghasilkan Kunci Pribadi dan CSR.
  • PowerShell atau cmd : Alat baris perintah standar untuk server Windows.
  • AWS Command Line Interface ( CLI ): Digunakan untuk mengunggah sertifikat ke AWS.

Di bawah ini Anda akan menemukan dua metode untuk menghasilkan CSR Anda:

  • Menghasilkan CSR menggunakan OpenSSL
  • Menghasilkan CSR menggunakan PowerShell

Menghasilkan CSR menggunakan OpenSSL

Opsi ini biasanya digunakan pada instans Amazon berbasis Linux karena mereka biasanya sudah memiliki penyiapan alat yang diperlukan, atau mudah disiapkan. Semua perintah harus dijalankan melalui CLI atau alat baris perintah pihak ketiga yang terhubung ke instans Anda (misalnya, Putty, atau aplikasi Terminal di MacOS dan Linux).
The Private Key dibuat pertama dan kemudian CSR yang dihasilkan berdasarkan itu.
  1. Jalankan perintah berikut untuk menghasilkan kunci:

    sudo openssl genrsa -out private.key 2048

    Di mana 2048 adalah ukuran kunci. Jika Anda tidak menentukan ukurannya, kunci 2048-bit akan dibuat.

    Anda dapat menentukan nama apa pun untuk file kunci ( private.key ) agar dapat dikenali jika Anda memiliki beberapa SSL yang disimpan di server.

    Jika Anda ingin membuat SSL dengan algoritme ECDSA , Anda dapat menggunakan perintah ini sebagai gantinya (ini hanya opsi yang disarankan — ada juga pengaturan lain yang dapat Anda gunakan):

    sudo openssl ecparam -genkey -name secp384r1 -out private.key -genkey

  2. CSR dihasilkan berdasarkan Private Key. Perintah berikut digunakan untuk pembuatan CSR:

    sudo openssl req -new -key private.key -out csr.pem

    2.1.Atau, Anda dapat menggunakan satu perintah untuk menghasilkan Kunci Pribadi RSA dan CSR:

    sudo openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out csr.pem

    Outputnya akan terlihat seperti contoh berikut:

    Anda adalah akan diminta untuk memasukkan informasi yang akan dimasukkan ke dalam permintaan sertifikat Anda.
    Apa yang akan Anda masukkan adalah apa yang disebut Distinguished Name atau DN.
    Ada beberapa bidang, tetapi Anda dapat mengosongkannya.
    Untuk beberapa bidang akan ada nilai default.
    Jika Anda hanya menekan Enter, bidang akan dibiarkan kosong.

      Informasi berikut harus diisi. Kami sangat menyarankan untuk mengisi semua bidang. CSR dengan bidang kosong apa pun dapat ditolak oleh sistem kami atau oleh Otoritas Sertifikat.

    Catatan : Untuk jenis SSL Organization Validation (OV) atau Extended Validation (EV) , pastikan untuk menggunakan nama perusahaan resmi yang benar. Jika itu adalah CSR yang diterbitkan ulang , pastikan detail perusahaan sama dengan yang digunakan sebelumnya.

    Catatan : Harap hanya menggunakan karakter Alfanumerik . CSR dengan simbol khusus, seperti atau , tidak akan dikenali. Karakter khusus tersebut harus diganti dengan analognya dari alfanumerik, seperti A dan E.

    Nama negara : gunakan kode negara 2 huruf yang valid .
    Negara Bagian Provinsi : Gunakan nama negara bagian atau Provinsi Anda, atau gunakan nama Lokal jika tidak ada.
    Nama lokal: gunakan kota Anda, kota atau nama lokalitas lainnya.
    Nama Organisasi : gunakan nama perusahaan/organisasi Anda atau cantumkan NA (Tidak Berlaku).
    Unit Organisasi : gunakan nama unit atau departemen Anda atau tulis NA (Tidak Berlaku).
    Common Name : Nama domain yang sepenuhnya memenuhi syarat yang perlu Anda amankan: misalnya, www.example.com

    Catatan : Saat mengisi bidang Common Name , penting untuk diingat bahwa itu harus nama domain yang tepat yang Anda perlukan. Seharusnya terlihat seperti www.example.com, example.com, atau seperti mail.example.com, jika Anda perlu mengamankan subdomain.

    Untuk sertifikat Wildcard, nama umum harus dinyatakan sebagai *.example.com atau *.sub.example.com .

    Alamat email : Alamat email administrator server: misalnya, [email protected] Alamat email ini akan diambil oleh sistem sebagai kontak administratif untuk file sertifikat SSL yang akan dikirim setelah sertifikat diterbitkan. Anda juga dapat mengubahnya selama aktivasi SSL.

    Kata sandi tantangan dan Nama perusahaan opsional adalah bidang warisan dan dapat dilewati.

    Sebagian besar sertifikat yang kami berikan mengamankan www.example.com dan example.com secara otomatis. Namun, jika Anda ragu, sebaiknya periksa cara yang benar untuk menentukan nama domain Anda untuk sertifikat tertentu dengan Tim Dukungan kami .

  3. Jalankan perintah berikut untuk membuka file CSR yang baru saja Anda buat:

    cat csr.pem

    Pada output, Anda akan melihat CSR dalam teks biasa. Salin seluruh teks yang dimulai dengan baris “—–BEGIN CERTIFICATE REQUEST—–” dan gunakan untuk aktivasi sertifikat . Setelah sertifikat dikeluarkan oleh Otoritas Sertifikat, Anda dapat melanjutkan pemasangannya .

    Prosesnya sama untuk semua distribusi Linux, termasuk Amazon AMI Linux.

    Catatan : Windows memiliki proses serupa yang dapat dilakukan dengan cara ini .

    PERINGATAN : Harap ingat poin-poin berikut sebelum memulai proses:

    Tuliskan direktori tempat CSR dibuat, karena Kunci Pribadi untuk SSL akan disimpan di sana. Anda perlu mengetahui di mana letak kunci untuk menginstal SSL.

    Jika Anda tidak yakin folder mana itu, Anda dapat memeriksanya dengan perintah pwd :

    find / -type f -name “*.csr”

    atau

    find / -type f -name “*.pem”

    (tergantung pada ekstensi apa digunakan)

Menghasilkan CSR menggunakan PowerShell

Metode ini digunakan pada mesin berbasis Windows karena sudah dilengkapi dengan alat baris perintah yang diperlukan, dan penyimpanan permintaan sertifikat dibuat alih-alih Kunci Pribadi.

  1. Buat file konfigurasi example.inf (Anda dapat menggunakan nama file apa saja) di server Windows Anda dengan detail CSR mengikuti contoh ini:

    [NewRequest]
    Subject = “/CN=*Common Name*/C=*Country*/ST=* Negara Bagian atau Provinsi*/L=*Lokalitas atau Kota*/O=*Perusahaan*/OU=*Unit organisasi*” Dapat
    diekspor = TRUE
    KeyLength = *ukuran kunci dalam bit*
    KeySpec = 1
    KeyUsage =
    0xf0 MachineKeySet = TRUE
    [RequestAttributes]
    CertificateTemplate =”WebServer”
    [Ekstensi]
    OID = 1.3.6.1.5.5.7.3.1
    OID = 1.3.6.1.5.5.7.3.2

    Ganti semua nilai yang ditandai dengan ‘**’ dengan detail Anda yang sebenarnya.

  2. Simpan dan jalankan perintah berikut di cmd atau PowerShell:

    certreq -new example.inf csr.txt

  3. Buka file dengan editor teks apa pun (kami menggunakan Notepad dalam contoh ini karena selalu ada di Windows) atau gunakan perintah berikut:

    notepad csr.txt


Catatan: Jika Anda berencana untuk mengimpor SSL menggunakan AWS certificate manager (ACM), itu hanya mendukung 2048 dan kunci 1024-bit yang kedaluwarsa.

Tinggalkan komentar