6

Google 刚刚宣布对自定义域的 SSL 支持,但我无法理解如何设置它,因为无法在 GAE 上生成证书签名请求 (CSR)?!

http://support.google.com/a/bin/answer.py?hl=en&hlrm=en&answer=2644386 我错过了什么吗?

4

4 回答 4

8

扩展上述内容:

以下三个步骤应该足以生成私钥和自签名证书,适用于在 linux 机器上测试 GAE 上的 SSL:

  • openssl genrsa -out yourdomain.com.key 1024
  • openssl req -new -key yourdomain.com.key -out yourdomain.com.csr
  • openssl x509 -req -days 365 -in yourdomain.com.csr -signkey yourdomain.com.key -out yourdomain.com.crt

免责声明:它有效,但我不知道我在做什么

于 2012-08-27T23:37:44.833 回答
3

存在各种程序来创建证书签名请求 (CSR)。我在 linux 机器上使用“openssl”来生成密钥和 CSR。

1)我为自定义域( https://cloud.google.com/appengine/docs/ssl)生成了一个未加密的 PEM 编码的 RSA 私钥,由 Google 的 SSL 指定

cd $HOME
openssl genrsa -out rsa_private_key.key 2048

2) 使用“rsa_private_key.key”生成所需的证书签名请求 (CSR) 文件。

openssl req -new -key rsa_private_key.key -out request.csr

您将被问到以下问题:

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: Illinois
   Locality Name (eg, city) []: Chicago
   Organization Name (eg, company) [Internet Widgits Pty Ltd]: Chicago Company, Ltd.
   Organizational Unit Name (eg, section) []: IT
   Common Name (eg, YOUR name) []: checkout.customedomain.com
   Email Address []:

我忽略了另外两个问题,一切正常。位于您的主目录 ($HOME) 上的“request.csr”是证书颁发机构提供者生成您的证书所需的 CSR 文件。同样,它不一定是 openssl:供应商支持各种平台的许多工具。请记住 Google 的要求。

关于自定义域的旁注:

确保您的自定义域包含子域或“完全限定域名”。“万维网”。被认为是一个子域,并且它始终是 Google Appengine 中的 ssl 所必需的(10/2014。)因此,在我的示例中,如果我想在 customedomain.com 使用 SSL,我会添加“www.customedomain.com”您可以将您的裸域重定向到您的完整合格域名。

Google Appengine 不为裸域提供 SSL 支持,例如:https ://customedomain.com

于 2014-10-29T23:18:13.057 回答
2

这是从我的回答中转贴的: 如何从 .key 和 .crt 文件中获取 .pem 文件?

我试图从 Godaddy 到应用引擎。诀窍是在终端(mac)中使用这一行来生成密钥和csr:

openssl req -new -newkey rsa:2048 -nodes -keyout name.unencrypted.priv.key -out name.csr

完全一样,但是用我的域名替换 name(这甚至不重要)

此外,接下来是一堆问题,我回答了与通用名称/组织有关的所有问题 www.name.com ,我只需按 Enter 键就跳过了密码和公司名称

然后我打开.csr文件,复制,粘贴到go daddy的csr表单中,等待godaddy批准,然后下载,解压,在终端导航到解压后的文件夹,输入:

cat otherfilegodaddygivesyou.crt gd_bundle-g2-g1.crt > name.crt

然后我使用了谷歌应用程序自定义域 SSL 问题中的这些说明,它们是:

openssl rsa -in privateKey.key -text > private.pem
openssl x509 -inform PEM -in www_mydomain_com.crt > public.pem

完全一样,除了我使用 name.unencrypted.priv.key 而不是 privateKey.key,而不是 www_mydomain_com.crt,我使用 name.crt

然后我将 public.pem 上传到“PEM 编码 X.509 证书”的管理控制台,

并为“未加密的 PEM 编码的 RSA 私钥”上传了 private.pem。

..这终于奏效了。

于 2015-08-09T16:30:59.727 回答
1

您需要使用 CA 生成证书并上传。他们不提供证书创建作为服务。

于 2012-07-04T01:31:14.420 回答