1 制作申请证书的csr文件
1.1 生成私钥key和csr文件
In Web Ser
cd /etc/pki/tls openssl req -new -nodes -keyout xxx.cmdschool.org.key -out xxx.cmdschool.org.csr
请根据如下向导执行,
[...] Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:GD Locality Name (eg, city) [Default City]:DG Organization Name (eg, company) [Default Company Ltd]:cmdschool.org Organizational Unit Name (eg, section) []:cmdschool Common Name (eg, your name or your server's hostname) []:xxx.cmdschool.org Email Address []:will@cmdschool.org [...] A challenge password []: An optional company name []:
注:xxx代表主机名称
1.2 取得csr
In Web Ser
cat xxx.cmdschool.org.csr
可见如下内容,
-----BEGIN CERTIFICATE REQUEST----- MIIC1TCCAb0CAQAwgY8xCzAJBgNVBAYTAkNOMQswCQYDVQQIDAJHRDELMAkGA1UE [...] 4buJg0yjN1nX -----END CERTIFICATE REQUEST-----
注:中括号表示省略
2 向CA服务器申请证书
2.1 提交证书申请请求
In CA Client
CA申请链接如下:
http://10.168.0.250/certsrv/
注:以上是证书服务器的地址
如上图所示:
单击【Request a certificate】→【advanced certificate request】→ 【Submit a certificate request …】
页面显示如下:
如上图所示:
将csr文件的内容复制到“Saved Request”中并单击【Submit】
页面显示如下:
如上图所示:
记录下请求ID,即142,并让CA管理员批准。
2.2 批准申请的证书
In CA Ser
如上图所示,
登录到CA服务器,
单击【start】→【Administrative Tools】→【Certification Authority】
窗口显示如下,
单击【Pending Requests】
然后选中请求ID“142”→【All Tasks】→【Issue】
2.3 下载请求证书
In CA Client
从如下链接进入证书下载页面,
http://10.168.0.250/certsrv/certfnsh.asp
页面显示如下:
如上图所示:
单击【Saved-Request Certificate】
页面显示如下:
如上图所示:
单击【Download Certiticate】下载证书并重命名为“xxx.cmdschool.org.cer”
另外,文件内容范例如下,
-----BEGIN CERTIFICATE----- MIIHLTCCBRWgAwIBAgIKQjJPBQABAAAA2TANBgkqhkiG9w0BAQUFADApMScwJQYD [...] AZG4BOADZeezBaojELTkKiY= -----END CERTIFICATE-----
2.4 下载CA Root证书
In CA Client
进入如下根证书下载页面,
http://10.168.0.250/certsrv/certcarc.asp
如上图所示:
单击【Download a CA certificate certificate chain or CRL】
页面显示如下:
如上图所示:
单击【Download CA certificate】并重命名为“root_bundle.cer”
另外,文件内容范例如下,
-----BEGIN CERTIFICATE----- MIIFLTCCAxWgAwIBAgIQK8B9B3aU4o9ElEBb99uh0jANBgkqhkiG9w0BAQUFADAp [..] Us9+vnjHpg5nHCRluoEk5WjO7vdwBjdyFvoahjcBBeYl -----END CERTIFICATE-----
3 使用证书
3.1 生成Nginx所需的证书
cat xxxx.cmdschool.org.cer root_bundle.cer > xxx.cmdschool.org.crt
注:以上有顺序要求,倒过来可能无法通过Nginx的检测
4 WebSer服务端配置
由于本章节重点是讲如何生成证书,具体的服务端证书如何配置,请参考如下文档,
https://www.qcloud.com/document/product/400/4143#1.-apache-2.x-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2
没有评论