[爆卦]server憑證是什麼？優點缺點精華區懶人包

為什麼這篇server憑證鄉民發文收入到精華區：因為在server憑證這個討論話題中，有許多相關的文章在討論，這篇最有參考價值！http://giayiu.adsldns.org/FreeBSD/CA.htm * 本文可以任意...

http://giayiu.adsldns.org/FreeBSD/CA.htm

* 本文可以任意轉載，但是請不要篡名。
* 有錯誤的地方，煩請告知，謝謝。

當你想為您的伺服器建立 SSL 連線時 (ex. web, smtp, pop3, imap ...)，
您首先需要製作一些憑證給伺服器以及客戶端使用。

假如您不需要花錢去申請公正憑證中心所簽發的憑證 (ex. VeriSign ...)，
您就可以使用如下的方式自行當做憑證中心簽發憑證給自行使用。

發行憑證流程：

1.使用者建立 Private Key，使用所建立的 Private Key 產生憑證申請書送至憑證中心。
2.憑證中心收到憑証申請書後，使用憑證中心的憑證對使用者的憑證申請書做簽名，
完成簽發憑證。

建立憑證都需要三個步驟：

1. 建立 Private Key。
2. 使用 Private Key 產生憑證申請書。
3. 為憑證申請書簽名做簽發憑證。

所以您需要：

‧產生根憑證 (Root CA)。(簽發伺服器憑證用。)

要先建立根憑證的 Private Key。
產生根憑證的申請書。
使用根憑證本身簽發根憑證。(因為您是憑證鍊的最高等級)
‧產生伺服器憑證。

建立伺服器憑證的 Private Key。
產生伺服器憑證的申請書。
使用根憑證簽發伺服器憑證。

‧在製作之前，有幾點要注意：

請自行更改所有的輸入、輸出檔名及路徑，放在 /usr/local/CA 是個不錯的選擇。
所有的 Private Key 請妥善保存，不可外洩，
否則其它人可以冒名簽發憑證，或者解碼被加密的資料。
根憑證的 Private Key 在製作時請一定要設定密碼。(不用做伺服器憑證)
根憑證的憑證名稱 (Common Name) 請填上發行人或單位名稱 (ex. ISU CNA Root CA)。
(不用做伺服器憑證)
伺服器憑證的憑證名稱 (Common Name) 請填上主機的全名 (ex. mail.cna.isu.edu.tw)。
憑證申請書填寫方法請見作法之後說明。
日後需要重新簽發或者製做其它的伺服器憑證，
只需要重覆做產生伺服器憑證的動作就可以了。 (除非根憑證過期才需要重做根憑證。)
製作好的憑證在使用上可能會出現「憑證無效」、「憑證無法驗證」等的訊息。
因為這些憑證的簽發者不是客戶端所已知且被信任的，
所以您需要將 RootCA.crt 發散出去給需要用到這些憑證的使用者。
在 Internet Explorer 上，下載根憑證後開啟可以將憑證匯入系統之內，
日後此根憑證所簽發的憑證都會被信任。
注意：發散的是憑證檔 (.crt, ex. RootCA.crt)，
不是 Private Key (.key, ex. RootCA.key) 檔。

‧根憑證 (Root CA) 作法：

‧建立根憑證的 Private Key

# 在此步驟請務必要設定密碼！
openssl genrsa -des3 -out RootCA.key 2048
# 讓其它人無法讀寫 Private Key 檔。
chmod og-rwx RooCA.key

‧產生根憑證的申請書

# 請參考後面所提供的範例，Common Name 請不要填 Hostname。
# (不用做伺服器憑證)
# 在這要輸入產生根憑證 Private Key 時所設定的密碼。
openssl req -new -key RootCA.key -out RootCA.req

‧使用根憑證本身簽發根憑證

# 在這要輸入產生根憑證 Private Key 時所設定的密碼。
# -days 設定根憑證的有效期限。(3650 ~= 十年)
openssl x509 -req -days 3650 -sha1 -extensions v3_ca \
-signkey RootCA.key -in RootCA.req -out RootCA.crt
# 刪除申請書。(憑證已經簽發完成)
rm -f RootCA.req

‧伺服器憑證作法：

‧建立伺服器憑證的 Private Key

# 伺服器憑證不設定密碼。(否則開機啟動時會停住要求使用者輸入密碼。)
openssl genrsa -out HostCA.key 2048
# 讓其它人無法讀寫 Private Key 檔。
chmod og-rwx HostCA.key

‧產生伺服器憑證的申請書

# 請參考後面所提供的範例，Common Name 請填上 Hostname。
openssl req -new -key HostCA.key -out HostCA.req

‧使用根憑證簽發伺服器憑證

# 在這要輸入產生根憑證 Private Key 時所設定的密碼。
# -days 設定根憑證的有效期限。(365 ~= 一年)
# CAserial 是憑證序號檔。
# CAcreateserial 是前面所指定的序號檔不在時自動建立之。
openssl x509 -req -days 365 -sha1 -extensions v3_req \
-CA RootCA.crt -CAkey RootCA.key -CAserial RootCA.srl -CAcreateserial \
-in HostCA.req -out HostCA.crt
# 刪除申請書。(憑證已經簽發完成)
rm -f HostCA.req

‧憑證申請書填寫方法

/usr/local/CA# openssl req -new -key RootCA.key -out RootCA.req
Enter pass phrase for RootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
# 填入TW 代表 Taiwan
Country Name (2 letter code) [AU]:TW
# TW 的全名 Taiwan
State or Province Name (full name) [Some-State]:Taiwan
# 城市名
Locality Name (eg, city) []:Kaohsiung Country
# 組織名稱 (公司名稱)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:I-Shou University
# 單位名稱 (部門名稱)
Organizational Unit Name (eg, section) []:Campus Network Association
# 憑證名稱 (請注意先前所提到有關根憑證與伺服器憑證的注意事項)
Common Name (eg, YOUR name) []:CNA Root CA
# 填入連絡信箱
Email Address []:[email protected]

# 以下請都按 [Enter] 跳過，不需要用到。
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[爆卦]server憑證是什麼？優點缺點精華區懶人包

為什麼這篇server憑證鄉民發文收入到精華區：因為在server憑證這個討論話題中，有許多相關的文章在討論，這篇最有參考價值！http://giayiu.adsldns.org/FreeBSD/CA.htm * 本文可以任意...

你可能也想看看

搜尋相關網站

#1用戶端憑證與伺服器憑證有何差異？

#2伺服器憑證部署

#3憑證和SSL 簡介

#4SSL 憑證安裝攻略-Windows Server 2012 R2 - Cloudmax 匯智 ...

#5MIS之IT基礎建設(10)-Windows Server 2012 R2 CA Server 建立

#6[Windows 2012] 安裝憑證伺服器| 余小章@ 大內殿堂 - - 點部落

#7IIS 10/Windows Server 2016：產生憑證簽名申請(CSR)

#8申請/安裝伺服器憑證

#9範例：SSL 憑證- 產生金鑰和CSR - Tableau Help

#10SSL伺服器憑證| TWCA - 臺灣網路認證- 為資安把關

#11將簽署的伺服器憑證匯入Windows 憑證存放區 - VMware Docs

#12憑證管理中心(CA),憑證驗證,存取權限,憑證發放憑證管理- 捷而思

#13Windows IIS 10.0 SSL憑證請求檔製作與憑證安裝手冊

#14安裝網際網路資訊服務（IIS）和憑證服務 - Ricoh

#15IBM HTTP Server 憑證管理

#16管理憑證

#17政府伺服器數位憑證管理中心(GTLSCA) Windows Server IIS 6、7

#18憑證| DSM - Synology 知識中心

#19要如何申請免費的SSL加密憑證呢? - ShareTech

#20Windows 憑證存放區

#21設定憑證管理伺服器

#22SSL 與TLS 功能啟用以及憑證建立

#23伺服器名稱指示- 維基百科，自由的百科全書

#24如何產生SSL 憑證簽署要求(CSR)

#25IIS 10 - WebNIC

#26Exchange安裝完才是重點系統組態網路配置攻略 - 網管人

#27如何在IIS Microsoft server 中安裝SSL 證書 - 蓋亞資訊

#28憑證

#29為SMTP 伺服器建立憑證

#30SSL憑證是什麼?&為什麼SSL憑證很重要呢?

#31什麼是伺服器憑證(SSL)? | LYRASOFT 織女星科技

#32SSL 憑證申請、取得及安裝@ 來吧 - 隨意窩

#33如何使用OpenSSL 建立開發測試用途的自簽憑證(Self-Signed

#34安裝自我簽署憑證(具有管理員權限的Windows 使用者)

#35localhost 憑證- Let's Encrypt - 免費的SSL/TLS 憑證

#36MIS之IT基礎建設(10)-Windows Server 2012 R2 CA Server 建立

#37設定憑證註冊Web 服務

#38新增CA 憑證為信任的憑證授權單位

#39[Security] SSL — HTTPS 背後的功臣 - Medium

#40課程1：加入簽署SSL 憑證

#41為您的網站加上「 SSL憑證」，成為HTTPS網頁

#42步驟3：設定Web 伺服器

#43核發自己的SSL憑證 - YOGO生活誌

#44設定WINDOWS Server IIS的SSL - BenIT - 痞客邦

#45伺服器憑證安裝說明

#46SSL 伺服器數位憑證IIS 10.0 操作手冊

#47【OfficeScan】如何使用OfficeScan驗證憑證管理員

#48憑證串鍊的解釋- SSL憑證推薦網| SSL憑證| code Sign

#49聯合通訊伺服器數位憑證(UC Certificate SSL) - 寰宇數位認證中心

#50將SSL 憑證新增至信任的集合

#51AppScanEnterprise Server SSL 憑證

#52S小魚仔S Windows Server 2008 R2 AD CS (AD憑證服務)

#53如何申請免費Let's Encrypt SSL 自動更新憑證，自架IIS 站台適用

#54SSL憑證申請設定for windows IIS | 記錄生活的美好

#552.3.2. 配置Red Hat Satellite 使用自訂伺服器憑證Red Hat ...

#56Mac 版Mail: 若「郵件」無法驗證伺服器的憑證(台灣) - Apple ...

#57[Server] TLS/SSL憑證(Certificate)常用指令– 製作CSR - YIDAS ...

#58Microsoft SQL Server安裝憑證的流程 - SlashView

#59更改Windows Server 憑證服務所發行的認證到期日期

#60搭配ERA 的自訂憑證

#61筆記-更新mdm憑證 - 溪洲資訊誌

#62SSL 與CA(憑證授權伺服器) - OSSLab::開放軟體實驗室(Open ...

#63更新或還原伺服器憑證 - TechDocs

#64企業SSH 金鑰、SSL 憑證管理解決方案

#65登入網路交易系統web網站出現此網站安全性憑證有問題？

#66製作憑證與建立安全連線 - 六藝草堂

#67HTTP"S", "S" means secured - Morris' blog

#68安裝SSL憑證

#69什麼是SSL 憑證

#70替你的Nginx安裝一組rapidSSL憑證

#71資料收集和使用- Google 廣告政策說明

#72天堂M：最新資訊 - 遊戲橘子

#73憑證授權中心- 數位簽章 - 翻轉工作室

#74此憑證或者在憑證鏈結裡的某個憑證不是最新 - SFNEWS

#75天堂Mobile 哈啦板- 巴哈姆特

#76閱讀文章- 精華區FreeBSD