dokumentasi<Sebelum | Contents [show] | Seterusnya>
5.2. Menjana Permintaan Menandatangani Sijil (CSR).
Sama ada anda mendapat sijil daripada CA atau menjana sijil yang ditandatangani sendiri, langkah pertama ialah menjana kunci.
Jika sijil akan digunakan oleh daemon perkhidmatan, seperti Apache, Postfix, Dovecot, dll., kunci tanpa frasa laluan selalunya sesuai. Tidak mempunyai frasa laluan membolehkan perkhidmatan bermula tanpa campur tangan manual, biasanya cara pilihan untuk memulakan daemon.
Bahagian ini akan merangkumi penjanaan kunci dengan frasa laluan, dan satu tanpa. Kunci bukan frasa laluan kemudiannya akan digunakan untuk menjana sijil yang boleh digunakan dengan pelbagai daemon perkhidmatan.
Menjalankan perkhidmatan selamat anda tanpa frasa laluan adalah mudah kerana anda tidak perlu memasukkan frasa laluan setiap kali anda memulakan perkhidmatan selamat anda. Tetapi ia tidak selamat dan kompromi kunci bermakna kompromi pelayan juga.
Untuk menjana kunci untuk Permintaan Menandatangani Sijil (CSR) jalankan arahan berikut daripada gesaan terminal:
openssl genrsa -des3 -out server.key 2048
Menjana kunci persendirian RSA, modulus panjang 2048 bit
..........................++++++
.......++++++
e ialah 65537 (0x10001)
Masukkan frasa laluan untuk server.key:
Anda kini boleh memasukkan frasa laluan anda. Untuk keselamatan terbaik, ia hendaklah sekurang-kurangnya mengandungi lapan aksara. Panjang minimum apabila menyatakan -des3 ialah empat aksara. Ia harus mengandungi nombor dan/atau tanda baca dan bukan perkataan dalam kamus. Juga ingat bahawa frasa laluan anda adalah sensitif huruf besar-besaran.
Taip semula frasa laluan untuk mengesahkan. Sebaik sahaja anda telah menaip semula dengan betul, kunci pelayan dijana dan disimpan dalam pelayan.kunci fail.
Sekarang buat kunci tidak selamat, kunci tanpa frasa laluan, dan kocok nama kunci:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv server.key.insecure server.key
Kunci tidak selamat kini dinamakan pelayan.kunci, dan anda boleh menggunakan fail ini untuk menjana CSR tanpa frasa laluan. Untuk mencipta CSR, jalankan arahan berikut pada gesaan terminal:
openssl req -new -key server.key -out server.csr
Ia akan menggesa anda memasukkan frasa laluan. Jika anda memasukkan frasa laluan yang betul, ia akan menggesa anda untuk memasukkan Nama Syarikat, Nama Tapak, Id E-mel, dsb. Sebaik sahaja anda memasukkan semua butiran ini, CSR anda akan dibuat dan ia akan disimpan dalam pelayan.csr fail.
Anda kini boleh menyerahkan fail CSR ini kepada CA untuk diproses. CA akan menggunakan fail CSR ini dan mengeluarkan sijil. Sebaliknya, anda boleh membuat sijil yang ditandatangani sendiri menggunakan CSR ini.