一、 生成證書請求
*密鑰文件不區分操作系統平臺,推薦使用CIM客戶端工具。
運行CIM客戶端,點擊工具箱,點擊CSR生成,然后填寫證書注冊信息,點擊生成,然后下拉至底部,點擊保存CSR和私鑰。請確保您填寫的信息真實性和準確性,否則會導致證書申請失敗。
以下是示例信息:
*使用CIM工具創建csr文件之后,將生成的server.csr文件發送給天威誠信,等待證書的簽發。請同時備份server.key文件并稍后上傳到服務器上進行配置。
*在您收到證書簽發郵件之前,請不要刪除壓縮包中的server.key文件,以避免私鑰丟失而導致證書無法安裝。
注:如SSL證書已簽發,不需要再次生成CSR,開始安裝證書即可。
二、 安裝服務器證書
1. 獲取服務器證書
將證書簽發郵件中的從BEGIN到 END結束的服務器證書內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘貼到記事本等文本編輯器中,保存為server.crt文件
2. 獲取CA證書
將證書簽發郵件中的從BEGIN到 END結束的中級CA證書內容部分里的第一段CA證書的內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到同一個記事本等文本編輯器中,修改文件擴展名,保存為ca.crt文件。
3. 配置Apache
打開apache安裝目錄下conf目錄中的httpd.conf文件,查找“LoadModule ssl_module”如下:
#LoadModule ssl_module modules/mod_ssl.so
#Include conf/extra/httpd_ssl.conf
刪除行首的配置語句注釋符號“#”
保存退出。
打開apache安裝目錄下conf/extra目錄中的httpd_ssl.conf(或conf目錄中的ssl.conf)文件
在配置文件的
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
#將服務器證書配置到該路徑下
SSLCertificateFile conf/server.crt
#將服務器證書私鑰配置到該路徑下
SSLCertificateKeyFile conf/server.key
#刪除行首的“#”號注釋符,并將CA證書ca.crt配置到該路徑下
SSLCertificateChainFile conf/ca.crt
保存退出,并重啟Apache
通過https方式訪問您的站點,測試站點證書的安裝配置。
三、 服務器證書的備份及恢復
在您成功的安裝和配置了服務器證書之后,請務必依據下面的操作流程,備份好您的服務器證書,以防證書丟失給您帶來不便。
1. 服務器證書的備份
備份服務器證書私鑰文件server.key,服務器證書文件server.crt,以及CA證書文件ca.crt即可完成服務器證書的備份操作。
2. 服務器證書的恢復
請參照服務器證書配置部分,將服務器證書密鑰文件恢復到您的服務器上,并修改配置文件,恢復服務器證書的應用。
