Формирование запроса к центру сертификации на получение сертификата
Red Hat Enterprise Linux 4: Руководство по системному администрированию | ||
---|---|---|
Назад | Глава 26. Настройка безопасного HTTP-сервера Apache | Вперёд |
26.7. Формирование запроса к центру сертификации на получение сертификата
Как только вы создали ключ, вы можете сформировать запрос на получение сертификата, который затем нужно отправить в выбранный вами центр сертификации. Убедитесь в том, что вы находитесь в каталоге /usr/share/ssl/certs/, и введите следующую команду:
make certreq |
На экране появится следующее сообщение и предложение ввести вашу секретную фразу (если только вы не отказались от её использования):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase: |
Введите секретную фразу, выбранную при создании ключа, если она требуется. Затем на экране появятся дополнительные указания и вы должны будете ответить на несколько вопросов. Введённые вами данные включаются в запрос на получение сертификата. Эти вопросы и примеры ответов на них приведены ниже:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:North Carolina Locality Name (eg, city) [Newbury]:Raleigh Organization Name (eg, company) [My Company Ltd]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Ответы по умолчанию приводятся в квадратных скобках ([]) сразу после вопроса. Например, в первой строке задаётся код страны, в которой будет использоваться сертификат, как показано ниже:
Country Name (2 letter code) [GB]: |
Ответ по умолчанию размещён в скобках: GB. Примите предложенный вариант, нажав
Вы должны определить остальные значения. Все они достаточно понятны, но вы должны принять учитывать следующее:
Не следует сокращать название местности или штата. Вводите их полностью (например, St. Louis должно быть введено как Saint Louis).
Если вы отправляете этот запрос (CSR) в центр сертификации (CA), будьте очень внимательны, заполняя все эти поля, но особенно важны Organization Name (Название организации) и Common Name (Имя сервера). Центр сертификации проверяет информацию, представленную в запросе (CSR), чтобы убедиться в том, что сервер с именем Common Name, закреплён именно за вашей организацией. Центр сертификации не принимает запросы CSR, в которых содержится неверная информация.
Убедитесь в том, что в качестве значения Common Name введено реальное имя вашего безопасного сервера (правильное имя DNS), а не какой-либо из его псевдонимов.
В качестве Email Address используйте почтовый адрес веб-мастера или системного администратора.
Избегайте использования специальных символов, например @, #, &, ! и т.д. Некоторые центры сертификации не примут запрос сертификата, содержащий специальные символы. Поэтому, если название компании включает амперсанд (&), запишите его в виде «and» вместо «&».
Не заполняйте дополнительные атрибуты (A challenge password(Пароль вызова) и An optional company name (Необязательное имя компании)). Если вы решили не заполнять эти поля, просто нажмите
[Enter] , чтобы согласиться с предложенным ответом, в каждом из этих запросов.
Когда вы заканаиваете ввод этих сведений, создаётся файл /etc/httpd/conf/ssl.csr/server.csr. Этот файл и есть ваш запрос сертификата, готовый к отправке в центр сертификации.
После того как вы определились с выбором CA, следуйте инструкциям, приведённым на сайте этого центра. Из них вы узнаете, как отправить запрос сертификата, произвести оплату и какие дополнительные документы требуются.
После того, как вы выполните все требования центра сертификации, они вышлют вам сертификат (обычно по электронной почте). Сохраните или скопируйте через буфер обмена полученный сертификат в файл /etc/httpd/conf/ssl.crt/server.crt. Обязательно сохраните копию этого файла.