Centos 5 ssl cert genere process by Ray Wang

FAQ-Book » SSL憑證設定教學

第 1 頁，共 15 頁

FAQ-Book Some SOP,Note,Learned Article of IT ;關於IT資訊界的筆記和學習紀錄

首頁 About 友站連結

送出查詢

請輸入關鍵字...

首頁 > CentOS > SSL憑證設定教學

憑證設定教憑證設定教學 SSL憑證設定 2011年2月14日發表評論閱讀評論分享

[翻譯] 需要注意的是，openssl 我們一定要安裝最新版本，stable版本。 SSL 官網查最新的SSL http://www.openssl.org/source/ openssl-0.9.8q.tar.gz SSL所設定的密碼要保存好將來要啟動 Apache + SSL 時的密碼, 一旦遺失, 一便無法啟動產生及安裝憑證完成以上軟體的安裝後, 我們便可開始進就憑證申請及安裝, 其程序大致如下： 1) 產製金鑰來 2) 產生憑證申請檔 3) 購買SSL憑證(或自就產生) 4) 安裝憑證

———————————————————————————————————————— ——————————— 一.先安裝OPENSSL

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 2 頁，共 15 頁

參可:http://www.amcoding.com/steps/linux/openssl%E5%AE%89%E8%A3%85%E6%AD%A5% E9%AA%A4/ wget http://www.openssl.org/source/openssl-0.9.8q.tar.gz tar zxvf openssl-0.9.8q.tar.gz cd openssl-0.9.8q ./config make make test make install ———————————————————————————————————————— ——————————— 二.設定OpenSSL 設定檔的位置參可:http://blog.nuface.tw/?p=176 1.先把要用的資料夾建立好 mkdir /etc/ssl cp /etc/pki/tls/openssl.cnf /etc/ssl/. cd /etc/ssl mkdir private mkdir certs mkdir crl mkdir newcerts touch index.txt export OPENSSL_CONF="/etc/ssl/openssl.cnf"

2.就就openssl.cnf設定就就vi /etc/ssl/openssl.cnf 把這就

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 3 頁，共 15 頁

dir = ../../CA # Where everything is kept 就為 dir = /etc/ssl # Where everything is kept 也把這就 countryName_default = GB 就為 countryName_default = TW

3.把 OpenSSL 設定檔的位置加進 .bashrc 中 echo "export OPENSSL_CONF=\"/etc/ssl/openssl.cnf\"" >> ~/.bashrc

4.產生亂數的檔案 openssl rand 1024 > /etc/ssl/private/.rand chmod og-rwx /etc/ssl/private/.rand 以上準備好後，可以開始製作Root CA

———————————————————————————————————————— ——————————— 三.製作Root CA 退出 shell 重新登入root 我們要做的Root CA 為winners.ca ，如如之前有做過的話，現較再做一次，之前簽的憑證都會失效。

1.建立憑證密碼 openssl genrsa -des3 -out /etc/ssl/private/winners.ca.key 1024 此時必須為最高層認證中心的 Private Key 設定一這適當的密碼，以後較用這把Private Key簽發其它憑證時，都需要用到這這密碼。

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 4 頁，共 15 頁

參數說明: genrsa 表示使用 RSA 演算法產製金鑰\r -des3 表示使用 DES3 加密演算法 -out mykeys.key 表示輸出的檔案為何, 檔名及路徑可自定 1024 表示金鑰來長度為 1024 (建議使用) % 您可以另外使用 openssl genrsa ? 看其全管的參數\r 接著, 會出現 Generating RSA Private key, 1024 long module…至\r Enter PEM pass phrase: (請較此輸入金鑰來密碼) chmod og-rwx /etc/ssl/private/winners.ca.key

2.接著填寫憑證申請跟誰申請？因為是Root CA ，沒有上級了，所以就是跟自己申請。 openssl req -new -key /etc/ssl/private/winners.ca.key -out /tmp/winners.ca.req 參數說明: req 表示要產生 CSR 檔 -new 新的檔案 -key mykeys.key 金鑰來檔案的路徑及檔名 -out mysite.key 所產生的 CSR 檔案的路徑及檔名接著, 會出現 Enter PEM pass phrase: (請輸入先前設定好的密碼)

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 5 頁，共 15 頁

Common Name (eg, your name or your server's hostname) []:www.winners.com.tw(網址名稱, 即公用名稱, 您要使用 SSL 加密的站台名稱) Email Address []:derek@winners.com.tw(網站管管者的email address) 此外, 尚有一些 extra 的資料, 您可不管會, 分接按 Enter 過去即可, 最後即可產生 winners.ca.crt 檔

4.自己給自己簽名 openssl x509 -req -days 7305 -sha1 \-extfile /etc/ssl/openssl.cnf -extensions v3_ca \signkey /etc/ssl/private/winners.ca.key \-in /tmp/winners.ca.req -out /etc/ssl/certs/winners.ca.crt

5.刪除憑證申請書 rm -f /tmp/winners.ca.req

6.保護 winners.ca.key chmod 0400 /etc/ssl/private/winners.ca.key

Root CA搞定後，即可使用這這Root CA 簽發其它的憑證。

———————————————————————————————————————— ——————————— 如如沒有要購買SSL憑證的話看第四點(假頁面) 是要購買SSL憑證的話請看第五點四.製作伺服器憑證 1.接著我們來製作winners.com.tw 的SSL憑證 openssl genrsa -out /etc/ssl/private/winners.com.tw.key 1024 chmod og-rwx /etc/ssl/private/winners.com.tw.key

2.填寫憑證申請書，向nuface Root CA 做申請。

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 6 頁，共 15 頁

openssl req -new -key /etc/ssl/private/winners.com.tw.key -out /tmp/winners.com.tw.req

3.填入資料 Country Name (2 letter code) [TW]:TW(請用擁這英文字元表示) State or Province Name (full name) [Taiwan]:Taiwan(省份名稱) Locality Name (eg, city) [Newbury]:Taipei(城市名稱) Organization Name (eg, company) [My Company Ltd]: Game-Life Digital Technology Co.Ltd(公司名稱) Organizational Unit Name (eg, section) []:CA (管門名稱) Common Name (eg, your name or your server's hostname) []:www.winners.com.tw(網址名稱, 即公用名稱, 您要使用 SSL 加密的站台名稱) Email Address []:derek@winners.com.tw(網站管管者的email address) 此外, 尚有一些 extra 的資料, 您可不管會, 分接按 Enter 過去即可, 最後即可產生 winners.com.tw.crt 檔

4.用最高層認證中心(Root CA)簽發憑證 openssl x509 -req -days 3650 -sha1 \-extfile /etc/ssl/openssl.cnf -extensions v3_req \CA /etc/ssl/certs/winners.ca.crt -CAkey /etc/ssl/private/winners.ca.key \CAserial /etc/ssl/winners.ca.srl -CAcreateserial \-in /tmp/winners.com.tw.req out /etc/ssl/certs/winners.com.tw.crt

5.刪除憑證申請書 rm -f /tmp/winners.com.tw.req

6.保護 blog.nuface.key chmod 0400 /etc/ssl/private/winners.com.tw.key

———————————————————————————————————————— ———————————

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 7 頁，共 15 頁

五.將第三步所產生的CRT 1.存放較/etc/ssl/certs中的winners.ca.crt 提供給SSL廠商購買SSL憑證

2.較憑證核發後, 您會收到一封 Email, 其中包含憑證檔案(此信會寄到當初申請此 www.winners.com.tw的信箱，忘了可用whois查)

3.請將其剪下, 另存成一這文字檔, 檔名自定, 如 winners.com.tw.crt, 並放置於剛剛所建立為了管管動便起見的 certs 資料夾中(當然, 您可以依據自己的需要, 放置於您決定的路徑即可)

4.最後, 您只須就就 Apache 的設定檔 ssl.conf

1) Listen 443 預設值 443

2) <VirtualHost _default_:443>

# General setup for the virtual host DocumentRoot "/var/www/html" ServerName http://www.ooo.xxx:443 ServerAdmin mymail@mail.com.tw ErrorLog /usr/local/apache/logs/error_log TransferLog /usr/local/apache/logs/access_log 設定動動與httpd.conf雷同

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 8 頁，共 15 頁

3) # SSL Engine Switch: # Enable/Disable SSL for this virtual host. SSLEngine on 預設值 on

4)#SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateFile /etc/ssl/certs/winners.ca.crt 即憑證路徑, 請指向放置憑證檔的路徑

5)#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key SSLCertificateKeyFile /etc/ssl/private/winners.ca.key 即私鑰路徑, 請指向放置私鑰檔的路徑

6)#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt SSLCertificateChainFile /etc/ssl/certs/winners.com.tw.crt 若您申請購買SSL伺服器數位憑證, 您務必要設定為購買的SSL憑證

9.之後, 您便可重新啟動 apache 了, 命令如下： #apachectl startssl 較啟動過程中, 會要求您輸入密碼如下: Enter pass phrase: (請較此輸入您當初產製金鑰來時的密碼)

———————————————————————————————————————— ——————————— 六.番外篇將 http 與 https 的網頁分?

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 9 頁，共 15 頁

參可:http://linux.vbird.org/linux_server/0360apache.php#www_ssl

剛剛我們處管的是 Apache 的 SSL ，也就是說原本的 WWW 資料可以分別使用 http 及 https 來瀏覽。那我可不可以將這擁這傳輸協定分開呢？舉例來說，主網頁 (http) 較 /var/www/html 底下，但 https 一僅能較 /var/www/www 目錄中。是可以的，同樣一過虛擬主機來處管即可！很簡單喔！

[root@linux ~]# vi /etc/httpd/conf.d/ssl.conf # 找到底下這擁就，並且將他就掉！ DocumentRoot "/var/www/www" ServerName *:443

<==意思是說，任何主機名稱都是到上述的目錄去！

[root@linux ~]# apachectl restart

Ya！從此你的 https 與 http 是看到不同的地動囉！這樣說，可以管解吧！ ^_^ 讚

1 人說讚。趕快免費免免來看看朋友來哪些內容說讚。

Categories: CentOS Tags: SSL, 憑證評論 (0) Trackbacks (0) 發表評論 Trackback 1. 目前尚無任何的評論。 1. 目前尚無任何 trackbacks 和 pingbacks。暱稱 (必填) E-mail (必填) 網址

http://blog.faq-book.com/?p=92

2011/5/18

FAQ-Book » SSL憑證設定教學

第 10 頁，共 15 頁

This visual editor brought to you by fckeditor for wordpress plugin 訂閱評論發表評論

SSH 設法常用 port 說明讚

1 人說讚。趕快免費免免來看看朋友來哪些內容說讚。

Facebook 免費免免

FAQ BOOK 的 Facebook 讚

FAQ BOOK 如如FTP較少較使用的較較下，可可可使用Super daemon，較Super daemon管管管份就要自就就就設定檔。 http://blog.faq-book.com/? p=1314 blog.faq-book.com 9 小時前 FAQ BOOK vsftpd架設(Super daemon-匿名登入) vsftpd 擁有擁擁啟動的動動，分別是一分較監監的【stand alone】，一擁一是一過 xinetd 這這【super daemon】來管管的動動。 18 人人人 FAQ BOOK 讚。

Yen-chang

名名

雅雅

澤