FAQ-Book » SSL憑證設定教學
第 1 頁,共 15 頁
FAQ-Book Some SOP,Note,Learned Article of IT ;關於IT資訊界的筆記和學習紀錄
首頁 About 友站連結
送出查詢
請輸入關鍵字...
首頁 > CentOS > SSL憑證設定教學
憑證設定教 憑證設定教學 SSL憑證設定 2011年2月14日 發表評論 閱讀評論 分享
0
[翻譯] 需要注意的是,openssl 我們一定要安裝最新版本,stable版本。 SSL 官網 查最新的SSL http://www.openssl.org/source/ openssl-0.9.8q.tar.gz SSL所設定的密碼要保存好 將來要啟動 Apache + SSL 時的密碼, 一旦遺失, 一便無法啟動 產生及安裝憑證 完成以上軟體的安裝後, 我們便可開始進就憑證申請及安裝, 其程序大致如下: 1) 產製金鑰來 2) 產生憑證申請檔 3) 購買SSL憑證(或自就產生) 4) 安裝憑證
———————————————————————————————————————— ——————————— 一.先安裝OPENSSL
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 2 頁,共 15 頁
參可:http://www.amcoding.com/steps/linux/openssl%E5%AE%89%E8%A3%85%E6%AD%A5% E9%AA%A4/ wget http://www.openssl.org/source/openssl-0.9.8q.tar.gz tar zxvf openssl-0.9.8q.tar.gz cd openssl-0.9.8q ./config make make test make install ———————————————————————————————————————— ——————————— 二.設定OpenSSL 設定檔的位置 參可:http://blog.nuface.tw/?p=176 1.先把要用的資料夾建立好 mkdir /etc/ssl cp /etc/pki/tls/openssl.cnf /etc/ssl/. cd /etc/ssl mkdir private mkdir certs mkdir crl mkdir newcerts touch index.txt export OPENSSL_CONF="/etc/ssl/openssl.cnf"
2.就就openssl.cnf設定 就就vi /etc/ssl/openssl.cnf 把這就
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 3 頁,共 15 頁
dir = ../../CA # Where everything is kept 就為 dir = /etc/ssl # Where everything is kept 也把這就 countryName_default = GB 就為 countryName_default = TW
3.把 OpenSSL 設定檔的位置加進 .bashrc 中 echo "export OPENSSL_CONF=\"/etc/ssl/openssl.cnf\"" >> ~/.bashrc
4.產生亂數的檔案 openssl rand 1024 > /etc/ssl/private/.rand chmod og-rwx /etc/ssl/private/.rand 以上準備好後,可以開始製作Root CA
———————————————————————————————————————— ——————————— 三.製作Root CA 退出 shell 重新登入root 我們要做的Root CA 為winners.ca ,如如之前有做過的話,現較再做一次,之前簽的憑證都會 失效。
1.建立憑證密碼 openssl genrsa -des3 -out /etc/ssl/private/winners.ca.key 1024 此時必須為最高層認證中心的 Private Key 設定一這適當的密碼,以後較用這把Private Key簽 發其它憑證時,都需要用到這這密碼。
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 4 頁,共 15 頁
參數說明: genrsa 表示使用 RSA 演算法產製金鑰\r -des3 表示使用 DES3 加密演算法 -out mykeys.key 表示輸出的檔案為何, 檔名及路徑可自定 1024 表示金鑰來長度為 1024 (建議使用) % 您可以另外使用 openssl genrsa ? 看其全管的參數\r 接著, 會出現 Generating RSA Private key, 1024 long module…至\r Enter PEM pass phrase: (請較此輸入金鑰來密碼) chmod og-rwx /etc/ssl/private/winners.ca.key
2.接著填寫憑證申請 跟誰申請?因為是Root CA ,沒有上級了,所以就是跟自己申請。 openssl req -new -key /etc/ssl/private/winners.ca.key -out /tmp/winners.ca.req 參數說明: req 表示要產生 CSR 檔 -new 新的檔案 -key mykeys.key 金鑰來檔案的路徑及檔名 -out mysite.key 所產生的 CSR 檔案的路徑及檔名 接著, 會出現 Enter PEM pass phrase: (請輸入先前設定好的密碼)
3.填入資料 Country Name (2 letter code) [TW]:TW(請用擁這英文字元表示) State or Province Name (full name) [Taiwan]:Taiwan(省份名稱) Locality Name (eg, city) [Newbury]:Taipei(城市名稱) Organization Name (eg, company) [My Company Ltd]: Game-Life Digital Technology Co.Ltd(公司 名稱) Organizational Unit Name (eg, section) []:CA (管門名稱)
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 5 頁,共 15 頁
Common Name (eg, your name or your server's hostname) []:www.winners.com.tw(網址名稱, 即公 用名稱, 您要使用 SSL 加密的站台名稱) Email Address []:derek@winners.com.tw(網站管管者的email address) 此外, 尚有一些 extra 的資料, 您可不管會, 分接按 Enter 過去即可, 最後即可產生 winners.ca.crt 檔
4.自己給自己簽名 openssl x509 -req -days 7305 -sha1 \-extfile /etc/ssl/openssl.cnf -extensions v3_ca \signkey /etc/ssl/private/winners.ca.key \-in /tmp/winners.ca.req -out /etc/ssl/certs/winners.ca.crt
5.刪除憑證申請書 rm -f /tmp/winners.ca.req
6.保護 winners.ca.key chmod 0400 /etc/ssl/private/winners.ca.key
Root CA搞定後,即可使用這這Root CA 簽發其它的憑證。
———————————————————————————————————————— ——————————— 如如沒有要購買SSL憑證的話看第四點(假頁面) 是要購買SSL憑證的話請看第五點 四.製作伺服器憑證 1.接著我們來製作winners.com.tw 的SSL憑證 openssl genrsa -out /etc/ssl/private/winners.com.tw.key 1024 chmod og-rwx /etc/ssl/private/winners.com.tw.key
2.填寫憑證申請書,向nuface Root CA 做申請。
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 6 頁,共 15 頁
openssl req -new -key /etc/ssl/private/winners.com.tw.key -out /tmp/winners.com.tw.req
3.填入資料 Country Name (2 letter code) [TW]:TW(請用擁這英文字元表示) State or Province Name (full name) [Taiwan]:Taiwan(省份名稱) Locality Name (eg, city) [Newbury]:Taipei(城市名稱) Organization Name (eg, company) [My Company Ltd]: Game-Life Digital Technology Co.Ltd(公司 名稱) Organizational Unit Name (eg, section) []:CA (管門名稱) Common Name (eg, your name or your server's hostname) []:www.winners.com.tw(網址名稱, 即公 用名稱, 您要使用 SSL 加密的站台名稱) Email Address []:derek@winners.com.tw(網站管管者的email address) 此外, 尚有一些 extra 的資料, 您可不管會, 分接按 Enter 過去即可, 最後即可產生 winners.com.tw.crt 檔
4.用最高層認證中心(Root CA)簽發憑證 openssl x509 -req -days 3650 -sha1 \-extfile /etc/ssl/openssl.cnf -extensions v3_req \CA /etc/ssl/certs/winners.ca.crt -CAkey /etc/ssl/private/winners.ca.key \CAserial /etc/ssl/winners.ca.srl -CAcreateserial \-in /tmp/winners.com.tw.req out /etc/ssl/certs/winners.com.tw.crt
5.刪除憑證申請書 rm -f /tmp/winners.com.tw.req
6.保護 blog.nuface.key chmod 0400 /etc/ssl/private/winners.com.tw.key
———————————————————————————————————————— ———————————
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 7 頁,共 15 頁
五.將第三步所產生的CRT 1.存放較/etc/ssl/certs中的winners.ca.crt 提供給SSL廠商 購買SSL憑證
2.較憑證核發後, 您會收到一封 Email, 其中包含憑證檔案(此信會寄到當初申請此 www.winners.com.tw的信箱,忘了可用whois查)
3.請將其剪下, 另存成一這文字檔, 檔名自定, 如 winners.com.tw.crt, 並放置於剛剛所建立為了 管管動便起見的 certs 資料夾中(當然, 您可以依據自己的需要, 放置於您決定的路徑即可)
4.最後, 您只須就就 Apache 的設定檔 ssl.conf
1) Listen 443 預設值 443
2) <VirtualHost _default_:443>
# General setup for the virtual host DocumentRoot "/var/www/html" ServerName http://www.ooo.xxx:443 ServerAdmin mymail@mail.com.tw ErrorLog /usr/local/apache/logs/error_log TransferLog /usr/local/apache/logs/access_log 設定動動與httpd.conf雷同
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 8 頁,共 15 頁
3) # SSL Engine Switch: # Enable/Disable SSL for this virtual host. SSLEngine on 預設值 on
4)#SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateFile /etc/ssl/certs/winners.ca.crt 即憑證路徑, 請指向放置憑證檔的路徑
5)#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key SSLCertificateKeyFile /etc/ssl/private/winners.ca.key 即私鑰路徑, 請指向放置私鑰檔的路徑
6)#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt SSLCertificateChainFile /etc/ssl/certs/winners.com.tw.crt 若您申請購買SSL伺服器數位憑證, 您務必要設定為購買的SSL憑證
9.之後, 您便可重新啟動 apache 了, 命令如下: #apachectl startssl 較啟動過程中, 會要求您輸入密碼如下: Enter pass phrase: (請較此輸入您當初產製金鑰來時的密碼)
———————————————————————————————————————— ——————————— 六.番外篇 將 http 與 https 的網頁分?
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 9 頁,共 15 頁
參可:http://linux.vbird.org/linux_server/0360apache.php#www_ssl
剛剛我們處管的是 Apache 的 SSL ,也就是說原本的 WWW 資料可以分別使用 http 及 https 來瀏覽。 那我可不可以將這擁這傳輸協定分開呢? 舉例來說,主網頁 (http) 較 /var/www/html 底下, 但 https 一僅能較 /var/www/www 目錄中。是可以的,同樣一過虛擬主機來處管即可!很簡單 喔!
[root@linux ~]# vi /etc/httpd/conf.d/ssl.conf # 找到底下這擁就,並且將他就掉! DocumentRoot "/var/www/www" ServerName *:443
<==意思是說,任何主機名稱都是到上述的目錄去!
[root@linux ~]# apachectl restart
Ya!從此你的 https 與 http 是看到不同的地動囉!這樣說,可以管解吧! ^_^ 讚
1 人說讚。趕快免費免免來看看朋友來哪些內容說讚。
Categories: CentOS Tags: SSL, 憑證 評論 (0) Trackbacks (0) 發表評論 Trackback 1. 目前尚無任何的評論。 1. 目前尚無任何 trackbacks 和 pingbacks。 暱稱 (必填) E-mail (必填) 網址
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 10 頁,共 15 頁
This visual editor brought to you by fckeditor for wordpress plugin 訂閱評論 發表評論
SSH 設法 常用 port 說明 讚
1 人說讚。趕快免費免免來看看朋友來哪些內容說讚。
訂閱
Facebook 免費 免免
FAQ BOOK 的 Facebook 讚
FAQ BOOK 如如FTP較少較使用的較較下, 可可可使用Super daemon,較Super daemon管管管份就要自就就就設定檔。 http://blog.faq-book.com/? p=1314 blog.faq-book.com 9 小時前 FAQ BOOK vsftpd架設(Super daemon-匿名 登入) vsftpd 擁有擁擁啟動的動動,分別是一分較 監監的【stand alone】 , 一擁一是一過 xinetd 這這 【super daemon】 來管管的動動。 18 人人人 FAQ BOOK 讚。
Yen-chang
名名
雅雅
澤
最新文章
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 11 頁,共 15 頁
vsftpd架設(Super daemon) vsftpd架設(Super daemon-匿名登入) vsftpd架設(stand alone-實體用戶) Super daemon設定檔說明 Vsftd.conf設定說明 vsftpd 500 OOPS:chroot 搜尋指令 which, whereis, locate, find的差別 Windows Server 2003 Active Directory(AD) 五.使用者帳戶介紹 Windows Server 2003 Active Directory(AD) 四.新增網域使用者 Windows Server 2003 Active Directory(AD) 三. 提高網域功能等級
熱門文章
SSIS資料庫匯入匯出設定& SQL Agent定期排程 Centos 5.5安裝教學 【FileZilla Server】如何架設FTP伺服器 SSL憑證設定教學 [分享]jQuery mobile Alpha 4.1 釋放 AppServ 安裝教學 Mysql phpMyAdmin 安全性設定 Linux VNC Server遠端連線 Linux常見的壓縮打包指令 Linux 帳號創立 密碼設定 sudo設定 關閉ROOT權限
文章分類
AppServ (2) Browser (1) Google (2) Program (2) HTML/CSS (1) jQuery (1) System (36) Linux (22) CentOS (5) command (1) MySQL (1) Server 架站 (6) vsftpd (6) VersionControl (1) Windows (12) Outlook (1) SQL Server2008 (2) SSIS (1) windows 7 (1) Windows Server 2003 (6) Active Directory(AD) (5) WordPress (2) 常用指令 (2) 電腦小常識 (5)
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 12 頁,共 15 頁
VMware (1)
友站連結
就是教不落 梅問題教學網 ㊣軟體玩家 硬是要學 重灌狂人 香腸炒魷魚
標籤雲
Active Directory AD Centos Centos5.5 Chkconfig ftp Gmail Google HTML ip Linux mysql passwd PHP phpinfo
ping port ROOT RSS Sendmail SMTP SQL Agent SQL Server SSH SSIS SSL sudo super daemon useradd
Very Secure FTP Daemon visudo VNC vsftpd Windows 7 Windows
2003
ZendOptimizer 參數
Server
安裝教學 密碼 帳號 憑證 版本升級 等級 自訂搜尋 防火牆
BloggerAds 廣告
線上看 懷孕哺乳媽媽的 營養報告
大家懷孕後的胃口變化是? 有多少懷孕媽媽會另外使 用孕期營養補充錠? 更多訊息..
亨氏番茄醬 Heinz 亨氏番茄醬
小朋友的最愛、100%純 天然番茄醬,看看美食達 人變花樣,投下一票拿義 廚寶!
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
第 13 頁,共 15 頁
更多訊息..
月租88 親子互打免費 月租
加入台灣大哥大月租88親 子Free社,每月只要$88 就能讓你隨時隨地與小孩 熱線喔! 更多訊息..
觀看動畫
讚
28
http://blog.faq-book.com/?p=92
2011/5/18
FAQ-Book » SSL憑證設定教學
讚
13
1
讚
96
14
http://blog.faq-book.com/?p=92
第 14 頁,共 15 頁
2011/5/18
FAQ-Book » SSL憑證設定教學
第 15 頁,共 15 頁
統計 本日訪客數: 43 人次 本月訪客數:1054 人次 本頁面人氣:56 人次 目前線上訪客數: 1 人數 目前線上用戶數: 0 人次 Top WordPress 版權所有 © 2011 FAQ-Book 主題由 NeoEase 提供,通過 XHTML 1.1 和 CSS 3 認證。
http://blog.faq-book.com/?p=92
2011/5/18