金鑰與產生 CSR
ApacheSSL 是免費的 Web 伺服器,您可登錄 https://www.apache-ssl.org 網站進一步瞭解它。它以 Apache 伺服器為建置基礎,並使用 SSLeay / OpenSSL 程式庫。 1. 版本
為了讓您的 ApacheSSL 伺服器能夠與我們的憑證搭配運作,您必須使用 OpenSSL 近期版本來編譯伺服器。我們建議您使用最新版本的 ApacheSSL 與 OpenSSL。 2. 產生 CSR
OpenSSL 會隨附用來產生金鑰與 CSR 的 「openssl」公用程式,這個公用程式通常安裝於 /usr/local/ssl/bin 下。如果您已將其安裝在其他地方,您必須適當修改這裡的說明。首先,從硬碟選取五支大型且相對隨機的檔案(壓縮的記錄檔是很好的開始)。這些檔案會作為您的隨機種子加強者。我們稱其為下方的file1:...:file5 。
下列這串指令會產生 1024 位元金鑰,請使用 Triple-DES Cipher,並以此為基礎來建立 CSR(這些指令假設 OpenSSL 位於您指定的路徑中,如果不是的話,您應該以指向二進位檔的路徑作為 OpenSSL 指令的前置碼)。您應該以要用來申請憑證的網域名稱作為檔案名稱的核心。此外,您還應該確認「不會」覆寫現有金鑰與 CSR:
- 前往您的 SSL 目錄
cd /usr/local/ssl/private
- 產生私密金鑰
openssl genrsa -des3 -rand file1:...:file5 1024 > host.yourdomain.com.key
- 前往您的 certs 目錄
cd /usr/local/ssl/certs
- 從您的金鑰產生 CSR,此時會要求您在此處輸入識別名稱資訊。
openssl req -new -key ../private/host.yourdomain.com.key > host.yourdomain.com.csr
請注意:當要求您提供一般名稱時,請輸入您想要保護之 Web 伺服器的網域名稱 (即「www.mycompany.com」或「secure.mycompany.com」)。在部分標準 OpenSSL 發行版本中,會提示您提供「您的名稱」,這也是指您的「一般名稱」。
- 產生自簽憑證
openssl req -x509 -key ../private/host.yourdomain.com.key -in host.yourdomain.com.csr > host.yourdomain.com.crt
3. 通關密語
請注意,如果您遺失密碼,可能會無法存取金鑰,且您必須重新取得新的金鑰。請記住這個密碼! 4. 提交您的 CSR
檔案 host.yourdomain.com.key 為您的秘密金鑰,您必須根據 ApacheSSL 隨附的說明來進行安裝。檔案 host.yourdomain.com.csr 則是您的 CSR,其主要內容看起來如下: -----BEGIN NEW CERTIFICATE REQUEST----- MIIBPTCB6AIBADCBhDELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2Fw ZTESMBAGA1UEBxMJQ2FwZSBUb3duMRQwEgYDVQQKEwtPcHBvcnR1bml0aTEYMBYG A1UECxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cuZm9yd2FyZC5jby56 YTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDT5oxxeBWu5WLHD/G4BJ+PobiC9d7S 6pDvAjuyC+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuuPlHDAgEDoAAw DQYJKoZIhvcNAQEEBQADQQBf8ZHIu4H8ik2vZQngXh8v+iGnAXD1AvUjuDPCWzFu pReiq7UR8Z0wiJBeaqiuvTDnTFMz6oCq6htdH7/tvKhh -----BEGIN NEW CERTIFICATE REQUEST----- 5.線上申請 產生完CSR後請至寰宇數位VeriSign憑證申請處申請 http://www.ssl.com.tw/Products/VS_ProductsList.asp |