申請和安裝其他伺服器憑證

除了 VeriSign 之外，您還可以向其他憑證授權單位請求憑證並加以安裝。貴公司或組織可能會提供自己的內部憑證。本小節說明如何請求和安裝其他類型的伺服器憑證。

本小節包含以下主題：

• CA 所需的資訊

• 申請其他伺服器憑證

• 安裝其他伺服器憑證

CA 所需的資訊

在您開始請求程序之前，請確實瞭解 CA 所要求的資訊為何。CA 所要求的資訊格式雖有不同，但通常會要求您提供下列資訊。這些資訊中的大部分在憑證更新時通常都是不需要的。

• Requestor name。核發憑證時接受者的名稱。

• Telephone number。請求者的電話號碼。

• Common name。用於 DNS 查找的完全合格主機名稱，例如 www.example.com。

• Email address。您與 CA 進行通訊時所用的公務用電子郵件地址。

• Organization。公司、教育機構、組織等的正式法定名稱。大部分的 CA 都要求以法律文件 (如營業執照副本) 驗證此資訊。

• Organizational unit。公司內部組織單位的描述。

• Locality。組織所在的城市、地區或國家的描述。

• State or Province。企業所在的州或省。

• Country。ISO 格式的國家或地區名稱的雙字元縮寫。例如，美國的國家代碼為 US。

所有資訊會合併成一系列的屬性值組合 (稱為辨別名稱 (DN))，用於唯一識別憑證的主體。

如果從商業 CA 處購買憑證，則必須在 CA 核發憑證之前與之聯絡，以查明他們所需的其他資訊。多數 CA 都要求您提供身分證明。例如，CA 需要驗證您的公司名稱，以及公司授權由誰管理伺服器，並且可能會詢問您是否具有所提供資訊的合法使用權限。

某些商業 CA 向出具較為詳細身分證明的組織或個人提供內容更為詳細、準確的憑證。例如，您可以購買一份憑證，宣告 CA 已經驗證您是 www.example.com 電腦的合法管理員，此外您的公司已營業三年，並且無尚在審理中的客戶訴訟案件。

申請其他伺服器憑證

請求其他伺服器憑證

1. 存取 Administration Server 或 Server Manager，然後按一下 [Security] 標籤。

2. 按一下 [Request Certificate] 連結。

3. 指定這是新的憑證，還是更新的憑證。

   許多憑證在固定時間 (例如六個月或一年) 後會過期。某些 CA 會自動給您傳送一個更新的憑證。

4. 指定您要如何提交憑證請求：

   • 若要使用電子郵件提交請求，請選取 [CA Email Address]，並為這些請求輸入適用的電子郵件地址。

     • 若要使用 CA 的網站提交請求，請選取 [CA URL]，並為此類請求鍵入相應的 URL。

5. 從 [Cyptographic Module] 下拉式清單中，選取請求憑證時，要用於金鑰對檔案的加密模組。

6. 鍵入金鑰對檔案的密碼。

   除非您選取的並非內部加密模組，否則在建立信任資料庫時便會指定此密碼。伺服器會使用該密碼來取得您的私密金鑰，並加密要傳送至 CA 的訊息。接著伺服器會將您的公開金鑰和加密的訊息傳送至 CA。CA 會使用公開金鑰為您的訊息解密。

7. 提供您的識別資訊，如姓名和電話號碼。

   此資訊的格式因 CA 而異。這些資訊中的大部分在憑證更新時通常都是不需要的。

8. 再次檢查您的資訊以確保準確性，然後按一下 [OK]。

   資訊越準確，批準憑證的速度可能就越快。如果請求是發送至憑證伺服器，則在提交請求前，會提示您驗證表單資訊。

   伺服器會產生包含您的資訊之憑證申請。該申請包含透過私密金鑰建立的數位簽名。CA 使用數位簽名來驗證該請求在從伺服器電腦路由至 CA 的過程中未被竄改。只有在極少數情況下請求才會遭到竄改，此時 CA 通常會透過電話與您連絡。

   如果選擇以電子郵件傳送請求，則伺服器會傳送一則電子郵件訊息，內含向 CA 提出的請求。一般而言，憑證接著就會以電子郵件方式傳送給您。如果已指定連結至憑證伺服器的 URL，您的伺服器便會使用此 URL 向憑證伺服器提交請求。您可能會收到以電子郵件或其他方式傳來的回應，視 CA 而定。

   CA 會通知是否同意將憑證核發給您。多數情況下，CA 透過電子郵件傳送您的憑證。如果您的組織使用的是憑證伺服器，也許可以使用憑證伺服器的表單來搜尋憑證。

   ---

   備註 –

   並非每個從商業 CA 處申請憑證的使用者都會取得憑證。許多 CA 在核發憑證之前，都會要求您提供身分證明。另外，核准時間快則一天，慢則數星期才會完成。您負責向 CA 快速提供所有必要資訊。

   ---

   收到憑證後立即安裝。在此期間，您仍然可以使用未啟用 SSL 的 Proxy Server。

安裝其他伺服器憑證

CA 所傳來的憑證會以您的公開金鑰加密，因此只有您可以將其解密。只有輸入信任資料庫的正確密碼，才能解密並安裝您的憑證。

憑證包括下列三種類型：

• 您自己伺服器上用於提供給用戶端的憑證

• CA 本身用於憑證鏈的憑證

• 可信任的 CA 憑證

憑證鏈是由連續憑證授權單位簽署的一系列階層式憑證。CA 憑證用於識別憑證授權單位，並用來簽署該授權單位所核發的憑證。反過來，CA 憑證又可以由父 CA 的 CA 憑證簽名，如此類推，直到根 CA。

如果 CA 未自動將其憑證傳送給您，請主動提出請求。許多 CA 會在電子郵件中放入他們的憑證和您的憑證，而您的伺服器將同時安裝這兩個憑證。

CA 所傳來的憑證會以您的公開金鑰加密，因此只有您可以將其解密。安裝該憑證時，Proxy Server 將使用您指定的金鑰對檔案密碼將其解密。如以下程序所述，您可以將電子郵件儲存在伺服器可以存取的位置上，也可以複製電子郵件的文字，並準備將其貼到 [Install Certificate] 表單中。

安裝其他伺服器憑證

1. 存取 Administration Server 或 Server Manager，然後按一下 [Security] 標籤。

2. 按一下 [Install Certificate] 連結。

3. 在 [Certificate For] 旁，選取要安裝的憑證類型：

   • 本伺服器

     • 伺服器憑證鏈

     • 憑證授權單位

       如需有關特定設定的更多資訊，請參閱線上說明。

4. 從下拉式清單中選取加密模組。

5. 鍵入金鑰對檔案密碼。

6. 如果您在步驟 3 中選取 [Server Certificate Chain] 或 [Certification Authority]，則請鍵入憑證名稱。

7. 執行下列任一操作以提供憑證資訊：

   • 選取 [Message Is In This File]，然後鍵入內含 CA 憑證的檔案的完整路徑名稱。

     • 選取 [Message Text] (含標頭)，然後複製並貼上 CA 憑證的內容。請確實納入 [Begin Certificate] 和 [End Certificate] 標頭，包括開頭和結尾的連字符。

8. 按一下 [OK]。

9. 指出是要增加新的憑證還是更新現有憑證。

   • [Add Certificate]，如果要安裝新憑證。

     • [Replace Certificate]，如果要安裝更新的憑證。

       憑證將儲存在伺服器的憑證資料庫中。例如︰

       server-root/alias/ proxy-serverid-cert8.db