1 制作申请证书的csr文件

1.1 生成私钥key和csr文件

In Web Ser

cd /etc/pki/tls
openssl req -new -nodes -keyout xxx.cmdschool.org.key -out xxx.cmdschool.org.csr

请根据如下向导执行，

[...]
Country Name (2 letter code)  [XX]:CN
State or Province Name (full name) []:GD
Locality Name (eg, city) [Default City]:DG
Organization Name (eg, company) [Default Company Ltd]:cmdschool.org
Organizational Unit Name (eg, section) []:cmdschool
Common Name (eg, your name or your server's hostname) []:xxx.cmdschool.org
Email Address []:will@cmdschool.org
[...]
A challenge password []:
An optional company name []:

注：xxx代表主机名称

1.2 取得csr

In Web Ser

cat xxx.cmdschool.org.csr

可见如下内容，

-----BEGIN CERTIFICATE REQUEST-----
MIIC1TCCAb0CAQAwgY8xCzAJBgNVBAYTAkNOMQswCQYDVQQIDAJHRDELMAkGA1UE
[...]
4buJg0yjN1nX
-----END CERTIFICATE REQUEST-----

注：中括号表示省略

2 向CA服务器申请证书

2.1 提交证书申请请求

In CA Client
CA申请链接如下：
http://10.168.0.250/certsrv/
注：以上是证书服务器的地址

如上图所示：
单击【Request a certificate】→【advanced certificate request】→ 【Submit a certificate request …】
页面显示如下：

如上图所示：
将csr文件的内容复制到“Saved Request”中并单击【Submit】
页面显示如下：

如上图所示：
记录下请求ID，即142，并让CA管理员批准。

2.2 批准申请的证书

In CA Ser

如上图所示，
登录到CA服务器，
单击【start】→【Administrative Tools】→【Certification Authority】
窗口显示如下，

单击【Pending Requests】
然后选中请求ID“142”→【All Tasks】→【Issue】

2.3 下载请求证书

In CA Client
从如下链接进入证书下载页面，
http://10.168.0.250/certsrv/certfnsh.asp
页面显示如下：

如上图所示：
单击【Saved-Request Certificate】
页面显示如下：

如上图所示：
单击【Download Certiticate】下载证书并重命名为“xxx.cmdschool.org.cer”
另外，文件内容范例如下，

-----BEGIN CERTIFICATE-----
MIIHLTCCBRWgAwIBAgIKQjJPBQABAAAA2TANBgkqhkiG9w0BAQUFADApMScwJQYD
[...]
AZG4BOADZeezBaojELTkKiY=
-----END CERTIFICATE-----

2.4 下载CA Root证书

In CA Client
进入如下根证书下载页面，
http://10.168.0.250/certsrv/certcarc.asp

如上图所示：
单击【Download a CA certificate certificate chain or CRL】
页面显示如下：

如上图所示：
单击【Download CA certificate】并重命名为“root_bundle.cer”
另外，文件内容范例如下，

-----BEGIN CERTIFICATE-----
MIIFLTCCAxWgAwIBAgIQK8B9B3aU4o9ElEBb99uh0jANBgkqhkiG9w0BAQUFADAp
[..]
Us9+vnjHpg5nHCRluoEk5WjO7vdwBjdyFvoahjcBBeYl
-----END CERTIFICATE-----

3 使用证书

3.1 生成Nginx所需的证书

cat xxxx.cmdschool.org.cer root_bundle.cer > xxx.cmdschool.org.crt

注：以上有顺序要求，倒过来可能无法通过Nginx的检测

4 WebSer服务端配置

由于本章节重点是讲如何生成证书，具体的服务端证书如何配置，请参考如下文档，
https://www.qcloud.com/document/product/400/4143#1.-apache-2.x-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2