Apache Nginx上安裝 TWCA憑證
前陣子的文章已經提過 如何在Apache上安裝SSL憑證,如果還沒看過請先參考這篇
這次要介紹的重點在於TWCA的憑證,以及Nginx的處理方式
1. 伺服器上產生CSR檔以及Key並提交至TWCA
1 |
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomainname.key -out yourdomainname.csr |
務必保留好CSR以及Key,並且將CSR提交至TWCA上,詳細步驟可參考上篇文章
當收到TWCA核發的憑證時會有以下幾個檔案
1 2 3 4 |
主機憑證:root.cer 網域憑證:server.cer 中繼憑證1:uca_1.cer 中繼憑證2:uca_2.cer |
2. 在Apache上安裝
要在Apache上安裝必須先處理uca檔案,我們需要把uca_1.cer以及uca_2.cer合併成uca.cer
1 |
cp uca_2.cer uca.cer ; cat uca_1.cer >> uca.cer |
請注意順序,先uca_2再uca_1,當然也可以透過編輯器將兩者內容貼在同一個檔案就好
接著編輯Apache設定檔增加資料如下
1 2 3 4 5 |
SSLEngine On SSLCertificateFile /etc/ssl/server.cer SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/uca.cer |
當然路徑需要依據檔案的位置而定,接著重開Apache即完成
3. 在Nginx上安裝
要在Nginx上安裝有一些不同,需要合併server,cer , uca_1.cer 以及uca_2.cer 三個檔案
1 |
cp server.cer server.pem;cat uca_2.cer >> server.pem ; cat uca_1.cer >> server.pem |
注意順序是server再uca_2再uca_1,相同的也可以用編輯器將內容貼成一個檔案
接著編輯Nginx設定檔
1 2 3 4 5 6 7 |
ssl on; ssl_certificate /etc/ssl/server.pem; ssl_certificate_key /etc/ssl/server.key; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; ssl_prefer_server_ciphers on; |
要注意的是server.key就是一開始與CSR一起產生的那個檔案