其實不是第一次處理網路安全憑證,去年同事有教我如何申請,但通常SSL憑證的期效是一年,每年都要申辦一次,去年沒有記錄下來,今年就忘記很多,所以這次要將過程寫下來。
這次是以TWCA台灣網路憑證為例,我們公司的網站如果要能夠與用戶端建立安全的https協議,SSL憑證就是必須要進行的申請,過程就是要自己產生出金鑰給台灣網路憑證公司,由對方經過處理並發放可信賴的憑證給我們,最後我們再將憑證匯入至我們的CDN或防火牆上,完成整套安全憑證的過程。
ㄧ・用Linux主機產生金鑰
聽說Windows也可以處理一樣的需求,但是Linux比較簡單迅速,就直接兩道指令便完成。
#用openssl產出一個最多4096字元的私鑰(當然可以用2048字元,這樣檔案會較小,不過加密性當然也較低)
$openssl genrsa -out ./server.key 4096 \\如果要2048字元,就把4096改掉
$openssl genrsa -out ./server.key 4096 \\如果要2048字元,就把4096改掉
 |
| 產生私鑰的過程 |
 |
| 私鑰產生成功 |
#將私鑰轉檔成csr檔
$openssl req -new -key ./server.key -out ./server.csr
$openssl req -new -key ./server.key -out ./server.csr
#按照順序填入公司資訊
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:TW
State or Province Name (full name) [Some-State]:TAIWAN
Locality Name (eg, city) []:TAIPEI
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC Inc.
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:*.abc.com.tw
Email Address []:administrator@abc.com.tw
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(可空白)
An optional company name []:(可空白)
 |
| csr產出成功 |
二・將csr檔上傳至台灣網路憑證指定位置
 |
| 因為這次不是頭一次申請,所以可直接跳到此步驟,把csr上的那串亂數複製貼上到網頁中的空白處,它會解密讀出我們之前設定的公司資料,如果解密成功就代表此csr是正確的 |
三・將憑證認證單位回傳的檔案做合併
TWCA會回傳三個檔案:root、uca和server三種憑證,中文分別是根憑證、中繼憑證和伺服器憑證,收到後就只需要將三者合併為一成pem檔,從上到下順序是:server->uca->root。
 |
| PEM的排序順序要留意,錯的話就傳不上去了 |
最後就可以把此pem與私鑰一起匯入到防火牆等其他需要憑證的設備上,即大功告成了,這邊先以A10防火牆的匯入憑證方式做範例。
 |
| 同時將憑證和私鑰匯入 |
 |
| 記得匯入後還要去套用新的憑證才會生效 |
四・驗證憑證匯入是否成功
憑證很多時候都是用於網頁,所以匯入完畢後到瀏覽器上查看就能檢視有沒有生效。
沒有留言:
張貼留言