SSL 凭证制作与汇入

凭证请求档制作

本文是在 Windows 环境下操作

  1. 下载工程师必备神器 Cmder 最省事,该程序预设已有 openssl,无须再自行安装
  2. 准备一个目录放置产生的凭证,这里以 D:\SSL 示范
  3. 於 Cmder 制作私密金钥 
    openssl genrsa -out yourname.key 2048
#yourname 为自订档名,2048 则是 RSA 2048 位元加密,亦可使用4096位元,依资安需求决定
  4. 制作请求档 
    openssl req -new -key yourname.key -out your.domain.name.req
  5. 填写需求档资讯: 
    # 国码台湾是 TW
Country Name (2 letter code) [AU]:TW
# 国名台湾填 Taiwan
State or Province Name (full name) [Some-State]:Taiwan R.O.C
# 地名
Locality Name (eg, city) []:Taoyuan
# 组织单位名称(公司名)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:company name
# 部门名称
Organizational Unit Name (eg, section) []:department name
# 凭证的名称 (通常为服务器 FQDN),这里的 FQDN 前面还有个 `*`,表示申请万用凭证。
Common Name (eg, YOUR name) []:*.your.domain.name
# 申请人的联络信箱
Email Address []:[email protected]
  6. 之後就可以用 your.domain.name.req 申请凭证

设定中继凭证

  1. 取得签发下来的凭证,共有三个档案如下,其中利用 PublicCA_64.crt 或是 ROOTeCA_64.crt 另外汇出成凭证串链档 eCA_PublicCA.p7b
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429oBevEQBeEi.png
  2. 打开 PublicCA_64.crt
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429txO9k3A0Cb.png
  3. 出现以下凭证检视的画面,请点选「详细资料」
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429MgFQGiddzt.png
  4. 凭证详细资料的画面,请点选「复制到档案」
    https://ithelp.ithome.com.tw/upload/images/20211026/201434292UfIFpy66c.png
  5. 凭证汇出精灵的画面,请点选「下一步」
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429v6CRvFeiMk.png
  6. 勾选「密码编译讯息语法标准-PKCS#7凭证」及「如果可能的话,在凭证路径中包含所有凭证」两个选项,然後点选「下一步」
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429d3LjCqSE1C.png
  7. 点选「浏览」,出现另存新档的画面,请选择适当的资料夹位置,档案名称请输入「eCA_PublicCA」,然後点选「存档」
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429q2EQGZyT17.png
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429341nC2RBQE.png
  8. 出现以下凭证汇出精灵的画面,请点选「下一步」,再点选完成
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429uL6nBqCunC.png
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429wr2h2sSnG0.png
  9. PublicCA CA凭证之凭证串链的取得之後,由於是 DER 编码格式,因此必须转换为 PEM 编码格式才能汇入 AWS

AWS 凭证汇入

  1. 打开 AWS Certificate Manager (ACM),ACM 是 Amazon 的凭证管理中心,因为凭证不是在 AWS 申请购买的,所以需要另外将外部申请的凭证汇入到 ACM
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429tj80QfhpzL.png
  2. 选汇入凭证
    https://ithelp.ithome.com.tw/upload/images/20211026/201434294ORAlcTbfl.png
  3. 三个设定 SSL 连线所需要的档案,与 Apache 与 AWS ACM 设定时的对应关系
    https://ithelp.ithome.com.tw/upload/images/20211026/201434295vWdlfCcuY.png
  4. 对应的档案内容分别贴到 ACM 页面中凭证内文、凭证私有金钥、凭证链的栏位,接着按下一步继续
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429rgXGu9ItSp.png
  5. tag 可选择性输入,也可保留空白不影响
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429c23YHM0XNP.png
  6. 最後可以看到页面显示的凭证资讯,没问题的话按汇入即可
    https://ithelp.ithome.com.tw/upload/images/20211026/20143429XG8laVt3XR.png
    https://ithelp.ithome.com.tw/upload/images/20211026/201434292eC973viTX.png

Apache 凭证安装

  1. 制作放置 CertificateFile CertificateKeyFile CertificateChainFile 的目录,将 CertB64.cer your.domain.name.key eCA_PublicCA.pem 放入 
    mkdir /etc/httpd/cert
    • 给该目录权限
    chown -R root:root /httpd/cert
chmod -R 600 /httpd/cert
  2. 编辑 ssl.conf 
    #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/httpd/cert/CertB64.cer
#即凭证路径, 请指向放置凭证档的路径 

#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/httpd/cert/your.domain.name.key
#即私钥路径, 请指向放置私钥档的路径 

#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt 
SSLCertificateChainFile /etc/httpd/cert/eCA_PublicCA.pem
#若您申请购买SSL服务器数位凭证, 您务必要设定为购买的SSL凭证
  3. 重启 httpd 
    systemctl restart httpd.service

<<:  Modbus RTU简介(上)

>>:  【从零开始的 C 语言笔记】第五篇-基本资料型态

【课程推荐】2021/11/6-11/7软件需求塑模与需求规格文件撰写实务班

课程目标 了解系统分析实务、系统分析工具之应用、逻辑资料库设计技巧、系统分析产出文件、同仁审查等,以...

Windows系统权限--传说的至高无上SYSTEM和虚拟高阶TrustedInstaller

今天要分享Windows各种的帐户权限,因为我们在修改一些较深层的登录档(例如第8天的第六点更改系统...

Day 05 | 资料绑定(一)

今天的内容是页面前後端资料传递,这个部分跟前面相比来说简单许多也比较直觉话。如果以前有写过 Vue....

[Day06] swift & kotlin 入门篇!(4) 基础语法-转型与合并使用

转型与连结 在JS中, 所有的转型与连结都是无感的 也因为太方便太无感 常常会跑出意外的结果 例如 ...

python入门学习day 3

python加减乘除基本运算 print('hello, world', end='***') pr...