差異處

這裏顯示兩個版本的差異處。

--- tech:pki:gcassl [2008/08/21 07:28] – jonathan
+++ tech:pki:gcassl [2009/06/17 10:55] (目前版本) – jonathan
@@ 行 1: / 行 1: @@
+====== 申請 GCA SSL Apache 設備憑證 ======
+本文是依據 GCA 官方網站((http://gca.nat.gov.tw/cindex.html)), 實際處理的過程所整理程序.
+===== GCA SSL 主機憑證申請流程圖 =====
+http://gca.nat.gov.tw/03-04-01.html
+{{:tech:pki:gcassl.jpg}}
+===== 產生 CSR 憑證請求檔程序 =====
+  * 登入有安裝 openssl 之 Linux 主機
+  * 產生密碼檔 server.key
+<code>
+openssl genrsa -des3 -out server.key 1024
+設定密碼
+</code>
+  * 產生 5 年效期的憑證需求檔 server.csr
+<code>
+openssl req -new -days 1825 -key server.key -out server.csr
+</code>
+    * 以經濟部 ED 系統為例, 申請填寫內容如下:
+<code>
+Country Name (2 letter code) [GB]:TW
+State or Province Name (full name) [Berkshire]:Taiwan
+Locality Name (eg, city) [Newbury]:Taipei
+Organization Name (eg, company) [My Company Ltd]:Ministry of Economic Affairs,R.O.C.
+Organizational Unit Name (eg, section) []:Information management center
+Common Name (eg, your name or your server's hostname) []:ed.moea.gov.tw
+Email Address []:[email protected]
+Please enter the following 'extra' attributes
+to be sent with your certificate request
+A challenge password []:
+An optional company name []:
+</code>
+===== 上 GCA 網站申請 SSL 憑證程序 =====
+參考文件 http://gca.nat.gov.tw/download/sslServerAP_flow.pps
+===== 安裝 apache 安裝 SSL 憑證程序 ====
+參考文件 http://gca.nat.gov.tw/download/gca_ssl_cert_install_for_apache_modssl.pdf
+==== 1. 取得 GRCA 自簽憑證及 GCA 憑證之憑證串鏈 ====
+  * 一套 Apache 只需安裝一次就可以
+  * 在 Windows IE 下安裝 GRCA ((http://grca.nat.gov.tw/pse/index.html))
+  * 將 TW Government Root Certification Authority 憑證匯出為 GRCA_GCA.p7b
+==== 2. 完成 GRCA 自簽憑證及 GCA 憑證之憑證串鏈 ====
+  * 將 GRCA_GCA.p7b 複製到 apache 的主機內
+  * 將憑證串連擋由 DER 編碼格式轉成 PEM 編碼格式((Base64 編碼格式))
+<code>
+openssl pkcs7 -in GRCA_GCA.p7b -inform DER -print_certs -out GRCA_GCA.pem
+</code>
+  * 將 PEM 檔複製成 Apache+mod_ssl 的 SSLCertificateChainFile
+<code>
+cp GRCA_GCA.pem /etc/pki/tls/certs/ca.crt
+</code>
+  * 修改 ssl.conf 定義檔 ((vi /etc/http/conf.d/ssl.conf))
+<code>
+:
+SSLCertificateChainFile /etc/pki/tls/certs/ca.crt
+:
+</code>
+==== 3. 安裝 SSL 伺服器軟體憑證 ====
+  * 將簽發下來的 SSL 伺服器軟體憑證(server.cer)與密碼檔(server.key)複製到 apache 的主機內
+  * 將憑證擋由 DER 編碼格式轉成 PEM 編碼格式((Base64 編碼格式))
+  * 將密碼檔加入 PIN 碼存成 PEM 編碼格式
+<code>
+openssl x509 -in server.cer -inform DER -out server.pem
+openssl rsa -in server.key -out mycert.pem  <- 輸入 PIN 碼
+</code>
+  * 將 PEM 檔複製成 Apache+mod_ssl 的 SSLCertificateFile
+<code>
+cp server.pem /etc/pki/tls/certs/server.crt
+cp mycert.pem /etc/pki/tls/private/mycert.pem
+</code>
+  * 修改 ssl.conf 定義檔 ((vi /etc/http/conf.d/ssl.conf))
+<code>
+:
+SSLCertificateFile /etc/pki/tls/certs/server.crt
+:
+SSLCertificateKeyFile /etc/pki/tls/private/mycert.pem
+:
+</code>
+==== 4. 散佈 GRCA 自簽憑證到用戶端 ====
+  * 用戶端 IE 如果沒有安裝 GRCA 就會出現伺服器憑證為不被信任的警告訊息
+  * 安裝 GRCA 有以下兩種方式
+    - 由使用者到政府憑證總管理中心下載安裝 ((http://grca.nat.gov.tw/certficate.htm))
+    - 更改程式首頁, 在 HTML 的 HEAD 內加入以下語法, 這樣用戶如果沒有安裝, 就可以自動安裝完成
+<code>
+<OBJECT data="http://grca.nat.gov.tw/pse/InstallRootCert.html" type="text/html">
+</OBJECT>
+</code>
+{{tag>pki ca gca ssl apache}}