除了 VeriSign 之外,您還可以向其他憑證授權單位請求憑證並加以安裝。貴公司或組織可能會提供自己的內部憑證。本小節說明如何請求和安裝其他類型的伺服器憑證。
本小節包含以下主題:
在您開始請求程序之前,請確實瞭解 CA 所要求的資訊為何。CA 所要求的資訊格式雖有不同,但通常會要求您提供下列資訊。這些資訊中的大部分在憑證更新時通常都是不需要的。
Requestor name。核發憑證時接受者的名稱。
Telephone number。請求者的電話號碼。
Common name。用於 DNS 查找的完全合格主機名稱,例如 www.example.com。
Email address。您與 CA 進行通訊時所用的公務用電子郵件地址。
Organization。公司、教育機構、組織等的正式法定名稱。大部分的 CA 都要求以法律文件 (如營業執照副本) 驗證此資訊。
Organizational unit。公司內部組織單位的描述。
Locality。組織所在的城市、地區或國家的描述。
State or Province。企業所在的州或省。
Country。ISO 格式的國家或地區名稱的雙字元縮寫。例如,美國的國家代碼為 US。
所有資訊會合併成一系列的屬性值組合 (稱為辨別名稱 (DN)),用於唯一識別憑證的主體。
如果從商業 CA 處購買憑證,則必須在 CA 核發憑證之前與之聯絡,以查明他們所需的其他資訊。多數 CA 都要求您提供身分證明。例如,CA 需要驗證您的公司名稱,以及公司授權由誰管理伺服器,並且可能會詢問您是否具有所提供資訊的合法使用權限。
某些商業 CA 向出具較為詳細身分證明的組織或個人提供內容更為詳細、準確的憑證。例如,您可以購買一份憑證,宣告 CA 已經驗證您是 www.example.com 電腦的合法管理員,此外您的公司已營業三年,並且無尚在審理中的客戶訴訟案件。
存取 Administration Server 或 Server Manager,然後按一下 [Security] 標籤。
按一下 [Request Certificate] 連結。
指定這是新的憑證,還是更新的憑證。
許多憑證在固定時間 (例如六個月或一年) 後會過期。某些 CA 會自動給您傳送一個更新的憑證。
指定您要如何提交憑證請求:
從 [Cyptographic Module] 下拉式清單中,選取請求憑證時,要用於金鑰對檔案的加密模組。
鍵入金鑰對檔案的密碼。
除非您選取的並非內部加密模組,否則在建立信任資料庫時便會指定此密碼。伺服器會使用該密碼來取得您的私密金鑰,並加密要傳送至 CA 的訊息。接著伺服器會將您的公開金鑰和加密的訊息傳送至 CA。CA 會使用公開金鑰為您的訊息解密。
提供您的識別資訊,如姓名和電話號碼。
此資訊的格式因 CA 而異。這些資訊中的大部分在憑證更新時通常都是不需要的。
再次檢查您的資訊以確保準確性,然後按一下 [OK]。
資訊越準確,批準憑證的速度可能就越快。如果請求是發送至憑證伺服器,則在提交請求前,會提示您驗證表單資訊。
伺服器會產生包含您的資訊之憑證申請。該申請包含透過私密金鑰建立的數位簽名。CA 使用數位簽名來驗證該請求在從伺服器電腦路由至 CA 的過程中未被竄改。只有在極少數情況下請求才會遭到竄改,此時 CA 通常會透過電話與您連絡。
如果選擇以電子郵件傳送請求,則伺服器會傳送一則電子郵件訊息,內含向 CA 提出的請求。一般而言,憑證接著就會以電子郵件方式傳送給您。如果已指定連結至憑證伺服器的 URL,您的伺服器便會使用此 URL 向憑證伺服器提交請求。您可能會收到以電子郵件或其他方式傳來的回應,視 CA 而定。
CA 會通知是否同意將憑證核發給您。多數情況下,CA 透過電子郵件傳送您的憑證。如果您的組織使用的是憑證伺服器,也許可以使用憑證伺服器的表單來搜尋憑證。
並非每個從商業 CA 處申請憑證的使用者都會取得憑證。許多 CA 在核發憑證之前,都會要求您提供身分證明。另外,核准時間快則一天,慢則數星期才會完成。您負責向 CA 快速提供所有必要資訊。
收到憑證後立即安裝。在此期間,您仍然可以使用未啟用 SSL 的 Proxy Server。
CA 所傳來的憑證會以您的公開金鑰加密,因此只有您可以將其解密。只有輸入信任資料庫的正確密碼,才能解密並安裝您的憑證。
您自己伺服器上用於提供給用戶端的憑證
CA 本身用於憑證鏈的憑證
可信任的 CA 憑證
憑證鏈是由連續憑證授權單位簽署的一系列階層式憑證。CA 憑證用於識別憑證授權單位,並用來簽署該授權單位所核發的憑證。反過來,CA 憑證又可以由父 CA 的 CA 憑證簽名,如此類推,直到根 CA。
如果 CA 未自動將其憑證傳送給您,請主動提出請求。許多 CA 會在電子郵件中放入他們的憑證和您的憑證,而您的伺服器將同時安裝這兩個憑證。
CA 所傳來的憑證會以您的公開金鑰加密,因此只有您可以將其解密。安裝該憑證時,Proxy Server 將使用您指定的金鑰對檔案密碼將其解密。如以下程序所述,您可以將電子郵件儲存在伺服器可以存取的位置上,也可以複製電子郵件的文字,並準備將其貼到 [Install Certificate] 表單中。