SSL 與 CA(憑證授權伺服器)
內容表格
- 1. 說明
- 2. 步驟開始
- 2.1. 建立所需的目錄
- 2.2. 建立 openssl 設定檔
- 2.3. 建立 CA(Root) 憑證 及 Private key
- 2.4. 修改 openssl 設定檔
說明
憑證伺服器 - Certificate Authority (CA),這個伺服器可以用來建立加密連線所需的 Server 及 Root 憑證檔。
對於商用服務的加密連線,通常會使用 Verisign 或其他第三方認證機構,來簽署需要的憑證檔,但這些需要定期付費,如果不想付費給這些機構做簽署,可以自己架設伺服器來建立及發行所需的憑證檔。
CA 可以使用 Linux 或 Windows 來架設,此篇將以 Linux 為案例,Windows 用戶可以安裝 Windows 元件:Certificate Service。
步驟開始
主要檔案類型說明:
| 檔案用途: | 檔案類型: |
| 私密金鑰(Private Key) | xxx.key |
| 憑證簽署要求檔(CSR) | xxx.csr |
| Server 憑證檔 | xxx_SERVER.crt |
| Root 憑證檔 | xxx_ROOT.crt |
必要的套件:
- openssl
建立所需的目錄
cd /etc/pki mkdir -m 0755 mypbxCA mkdir -m 0755 private certs newcerts crl
- mypbxCA 憑證工作的根目錄
- private 私密金鑰檔儲存目錄
- certs 憑證檔儲存目錄
- newcerts 用來放 PEM 檔
- crl 用來儲存已停用的憑證列表
建立 openssl 設定檔
cp /etc/pki/tls/openssl.cnf /etc/pki/mypbxCA/openssl.my.cnf chmod 0600 /etc/pki/mypbxCA/openssl.my.cnf touch /etc/pki/mypbxCA/index.txt echo '01' > /etc/pki/mypbxCA/serial
建立 CA(Root) 憑證 及 Private key
假設 FQDN 是 this.is.my.host
cd /etc/pki/mypbxCA openssl req -config openssl.my.cnf -new -x509 -extensions v3_ca -keyout private/this-is-my-host.key -out certs/this-is-my-host_ROOT.crt -days 1825
Enter PEM pass phrase: <輸入一組密碼>
...
... <隨便輸入>Common Name (eg, your name or your server's hostname) []: <這裡一定要輸入正確的 FQDN>
執行完後,會產生兩個檔案
- private/this-is-my-host.key 私密金鑰,需妥善保存且已設有密碼
- certs/this-is-my-host_ROOT.crt 這是 ROOT 憑證檔,可以公開讓用戶下載
修改 openssl 設定檔
編輯 /etc/pki/myCA/openssl.my.cnf:
Powered by MindTouch Core