*建立 TLS 憑證

  1. 本節不是課程範圍,本練習系統架設的 HTTPS 網站使用自簽憑證,產生方式如下:
  2. 先安裝 openssl。
    [root@kvm5 ~]# yum install -y openssl
    
  3. 若先前已有舊憑證,都先移除。
    [root@kvm5 ~]# CADIR=/etc/pki/CA
    [root@kvm5 ~]# rm -f /etc/pki/tls/certs/kvm5.*
    [root@kvm5 ~]# rm -rf $CADIR/*
    
  4. 設定自己的憑證管理中心(Certification Authority,CA) 環境。
    [root@kvm5 ~]# mkdir -p /etc/pki/CA/private 2>/dev/null
    [root@kvm5 ~]# mkdir -p $CADIR/{certs,newcerts}
    [root@kvm5 ~]# touch $CADIR/index.txt
    [root@kvm5 ~]# /bin/cp /etc/pki/tls/openssl.cnf $CADIR/
    [root@kvm5 ~]# echo 01 > $CADIR/serial
    
  5. 產生自己的憑證管理中心(Certification Authority,CA)。
    [root@kvm5 ~]# cd $CADIR
    [root@kvm5 ~]# openssl req -days 999 -new -x509 -nodes \
    -out cacert.pem \
    -keyout private/cakey.pem \
    -subj '/C=TW/ST=Taiwan/L=CYUT/O=CSIE/OU=DEYU/CN=kvm5.deyu.wang'
    
  6. 產生自己 CA 簽章的 TLS 憑證。
    [root@kvm5 ~]# cd /etc/pki/CA/certs
    [root@kvm5 ~]# openssl req -days 999 -new -nodes \
     -out kvm5.csr -keyout kvm5.key \
     -subj '/C=TW/ST=Taiwan/L=CYUT/O=CSIE/OU=DEYU/CN=kvm5.deyu.wang'
    [root@kvm5 ~]# openssl ca -batch -config ../openssl.cnf -days 999 \
    -in kvm5.csr -out kvm5.crt -keyfile $CADIR/private/cakey.pem \
    -cert $CADIR/cacert.pem -policy policy_anything
    
  7. 安裝憑證到網站要使用的目錄。
    [root@kvm5 ~]# cp $CADIR/cacert.pem /etc/pki/tls/certs/kvm5.pem
    [root@kvm5 ~]# cp kvm5.crt /etc/pki/tls/certs/kvm5.crt
    [root@kvm5 ~]# cp kvm5.key /etc/pki/tls/private/kvm5.key