設定.建立SSL憑證筆記

  STEP 1： 
到 /etc/httpd/conf/ 目錄下來建立憑證，目錄下有許多 ssl.* 的目錄，建立後的憑證要各別放入所屬的目錄中。
# cd /etc/httpd/conf/

  STEP 2： 

建立 server.key 使用 1024-bit key 加密，一般也可使用 512-bit key 或 2048 -bit key，使用越大的 bit 數加密，解密的時間越長，雖然安全性越高，但所花的連線時間也會越長，所以建議使用 1024-bit 即可，因2016年對於1024-bit加密憑證即將不予採用，因此如果網站須要有對外服務申請正式憑證的請使用2048-bit加密

# openssl genrsa -out server.key 1024

Generating RSA private key, 1024 bit long modulus
..++++++
…….++++++++
e is 65537 (0x10001)
每次執行時上面的訊息都會有些許不同，檢查執行後目錄下是否有產生 server.key 的檔案。

  STEP 3： 
建立 server.crt 憑證，有效時間為 365 天，使用 X.509 憑證格式。

# openssl req -new -key server.key -out server.crt -x509 -days 365

You are about to ....................................................................................
...................................................................................................................
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]：TW　＜輸入國家簡稱（兩個字母）
State or Province Name (full name) [Berkshire]：Taiwan　＜輸入省或州
Locality Name (eg, city) [Newbury]：Taipei　＜輸入城市名稱
Organization Name (eg, company) [My Company Ltd]：XYZ　＜輸入公司名稱
Organizational Unit Name (eg, section) [ ]：ABC　＜輸入部門
Common Name (eg, your name or your server's hostname) [ ]：www.xyz.com.tw　
＜建議輸入主機的FQDN
Email Address [ ]：[email protected]＜輸入管理者的mail

檢查執行後目錄下是否有產生 server.crt 的檔案。
在Linux下只要兩行指令即可產生憑證及key。

  STEP 4： 
接下來只要將 server.crt 及 server.key 搬移到相關的目錄中即可。

# mv server.key /etc/httpd/conf/ssl.key/

# mv server.crt /etc/httpd/conf/ssl.crt/

  STEP 5： 
若不知道你的 httpd 所放置 crt 及 key 的位置，可檢查 httpd.conf 裡，SSLCertificateFile 及 SSLCertificateKeyFile　的參數。

#vi /etc/httpd/conf/httpd.conf

SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key

6. 最後只要重新啟動 httpd 新的憑證即可生效。
# service httpd restart

二、網路版本（應適用舊版本Linux，也適用FC3及REL4）
  STEP 1： 
先建立 server.csr

# openssl req -new > server.csr

Generating a 1024 bit RSA private key
.++++++
.........................................++++++++
writing new private key to 'privkey.pem'
Enter PEM pass phrase：　＜輸入四碼以上的 password
Verifying - Enter PEM pass phrase：　＜再輸入一次四碼以上的 password
-----
You are ....................................
-----
Country Name (2 letter code) [GB]：TW　＜輸入國家簡稱，以下與方法一相同。
.............................
Please enter ..................
A challenge password [ ]：　＜直接按"Enter"
An optional company name [ ]：　＜直接按"Enter"

執行後會產生兩個檔案 server.csr 及 privkey.pem。

  STEP 2： 
接下來產生加密的 key

# openssl rsa -in privkey.pem -out server.key

Enter pass phrase for privkey.pem：　＜輸入上一個指令中phrase 的 password，必須要與上一個指令中所輸入的 phrase 密碼一樣，輸入後會寫入 server.key 中。
執行後會產生 server.key 的檔案。

  STEP 3： 
最後產生 server.crt 的憑證

# openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365

執行後會產生 server.crt 的憑證。

  STEP 4： 
接下來只要將 server.crt 及 server.key 搬移到相關目錄中，然後將 httpd 重新啟動即可生效。

三、由第三方產生憑證 (申請正式使用 .csr，個人使用俗稱假憑證 .crt)
若要由第三方公信單位授發憑證，則需產生 server.csr 檔案

# openssl genrsa -out server.key 1024

# openssl req -new -key server.key -out server.csr

執行後會產生 server.csr 的檔案，並將 server.csr 寄給第三方公信單位產生 server.crt 憑證即可。

額外說明：

一般正式憑證來的時候會收到如下的檔案
依據以下的步驟即可將憑證匯入併讓正式環境使用 ( 以nginx為例 )，憑證編碼的內容示意圖如下所圖

1. cat uca_2.cer uca_1.cer > uca.cer
2. cat server.cer uca.cer > server.cer
3. 開啟 /usr/local/etc/nginx/nginx.conf , 將SSL設定進行編輯
4. 設定ssl_certificate /path/to/server.cer; #伺服器憑證路徑
5. 重新啟動NginX

<<< 注意事項 >>>

***************************************************************************************

目前SSL憑證皆需從SHA1提升至SHA256，相關訊息如下：

1. 為何需提升至SHA 256 SSL 憑證？

依據國際組織(CA/Browser Forum) 及作業系統與瀏覽器廠商規範，
CA 憑證機構於2016/1/1起不可再簽發SHA1 SSL 憑證，而作業系統與瀏覽器廠商亦安排於2017/1/1 後不支援SHA1 SSL 憑證，故導入使用SHA256 SSL 憑證已為國際必然趨勢。

2. Google Chrome 瀏覽器於https 連線時，出現黃色三角形圖示，其意義為何？

Google Chrome 瀏覽器，自版本39起(2014/11下旬發布)，針對SSL 憑證(及其憑證鏈)所使用之”雜湊演算法”與”憑證效期”進行了相關檢查，因應不同檢查結果會有其特定圖示表示之，但不影響憑證的使用及功能，僅為提醒之意義。

3. 原SHA1 SSL 憑證若要置換為SHA256 SSL 憑證，該怎麼進行？

需請您產製一份新的CSR(憑證請求檔，CN=貴公司網站名稱)，並以固定之信件標題：“SHA256SSL 憑證置換+貴公司網站名稱”，寄送給TWCA 客服信箱： [email protected]
，若您的來信格式符合上述要求且資料完整無誤，
TWCA於五個工作天內審驗核發，並寄送至貴公司技術聯絡人信箱內。

4. SHA1 SSL & SHA256 SSL憑證有何不同？

除 SSL 憑證本身之雜湊演算法提升為 SHA256以提供更高安全性外，亦配合國際規範要求，一併提升憑證鏈之憑證轉為 SHA256 雜湊演算法，故請於安裝時遵照操作手冊程序，完成全部憑證之安裝與更新。

5. 軟體支援性說明

• Microsoft Windows XP SP2(含) 之前版本，不支援 SHA256 雜湊演算法。


• Microsoft Windows Server 2003 SP2(含) 之前版本，不支援 SHA256 雜湊演算法。(安裝 KB 938397, KB 968730 後可支援 SHA256)
• Mac OS X 10.5(不含) 之前版本，不支援 SHA256 雜湊演算法。
• iOS 5.0(不含) 之前版本，會出現憑證不信任提示。
• Android 4.0(不含) 之前版本，會出現憑證不信任提示。
• Java 1.4.2(不含) 之前版本，不支援 SHA256 雜湊演算法。
• Apache 2.0.63(不含) 之前版本[使用OpenSSL 0.9.8o(不含) 之前版本]，不支援 SHA256 雜湊演算法。
• IBM HTTP Server 8.5(不含) 之前版本，不支援 SHA256 雜湊演算法。
• F5 BIG-IP 10.1.0(不含) 之前版本，不支援 SHA256 雜湊演算法。