证书中包含的数字数据指定了个人、公司或其他实体的名称,并证明证书中包含的公钥属于该个人。启用 SSL 的服务器必须具有证书,客户机有无证书均可。
证书由证书授权机构(即 CA)颁发并进行数字签名。CA 可以是通过 Internet 销售证书的公司,也可以是负责为您公司的内联网或外部网颁发证书的部门。您可以将您充分信任的 CA 确定为其他用户身份的检验器。
您可以请求证书并将其提交到证书授权机构 (Certificate Authority, CA)。如果公司有自己的内部 CA,则可以向其申请证书。如果打算从商业 CA 处购买证书,请选择一个 CA 并索要所需的特定格式信息。您还可以为服务器创建自签名证书。自签名证书不适用于面向 Internet 的部署,但对于开发和测试却很有帮助,因为它们使您在无需 CA 介入的情况下即可设置测试服务器。
如上所述,证书包含实体(此例中为 Web 服务器)的公钥。公钥是根据特定的算法而生成(证书中还对该算法类型进行了编码)。下一节介绍有关 Web Server 对其密钥支持的算法类型的背景。
单击“服务器证书”选项卡 >“请求”按钮。
选择配置
从需要为其安装证书的配置列表中选择一个配置。
选择令牌
选择包含密钥的令牌(加密设备)。如果密钥存储在由 Sun Java System Web Server 7.0 维护的本地密钥数据库中,请选择内部令牌。如果密钥存储在智能卡或者其他外部设备或引擎中,请从下拉式列表框中选择外部令牌的名称。输入选定令牌的密码。
输入详细信息
开始请求过程之前,请确保您了解 CA 所需的信息。无论是从商业 CA 还是内部 CA 请求服务器证书,都需要提供以下信息:
服务器名必须是在 DNS 查找中使用的全限定主机名(例如,www.sun.com)。这是浏览器用于连接至您站点的 URL 中的主机名。如果这两个名称不匹配,客户机将收到证书名称与站点名称不匹配的通知,并怀疑您的证书的真实性。
如果从内部 CA 申请证书,也可以在此字段中输入通配符或正则表达式。多数供应商都不会批准在通用名称中输入通配符或正规表达式的证书请求。
组织是公司、教育机构、合作伙伴等的正式而合法的名称。多数 CA 需要您使用法律文档(例如营业执照副本)来验证此信息。
组织单位是用于说明公司中组织的可选字段。也可以用于标注不太正式的公司名称(不带 Inc.、Corp. 等等)。
地址是通常用于说明组织所在的城市、公国的可选字段。
省/自治区/直辖市为可选字段。
国家/地区是必填的,即您所在国家/地区名称的两个字符的缩写(以 ISO 格式)。美国的国家代码为 US。
所有这些信息组合为一系列属性值对(称为标识名 [DN]),用于形成证书的主题。
选择证书选项
您必须提供密钥信息。您可以选择 RSA 或 ECC 密钥类型。如果密钥类型为 RSA,则密钥大小可以为 1024、2048 或 4098。如果密钥类型为 ECC,则您还需要选择曲线。请谨记,生成新的密钥对需要花费时间。密钥长度越长,向导生成它所需的时间越长。
请务必选择 CA(稍后会向其提交签署请求)可以支持的密钥类型。
选择证书类型
为自签名证书或 CA 签署的证书选择证书签署授权机构 (Certificate Signing Authority, CSA)。如果选择自签名证书,则还可以关联证书的 HTTP 侦听器。也可以在以后执行此操作。
生成请求
如果是 CA 签名证书,生成的证书请求将以 ASCII 格式提供。如果是自签名证书,则生成的证书将直接安装。如果为自签名类型,请为昵称、有效期(月份)和 HTTP 侦听器名称提供相应的值以便处理安全请求。
查看结果
此页面为您提供了选定选项的摘要。单击“完成”可以完成请求的生成。
使用 CLI
要通过 CLI 请求证书,请执行以下命令:
wadm> create-cert-request --user=admin --password-file=admin.pwd --host=serverhost --port=8989 --config=config1 --server-name=servername.org --org=sun --country=ABC --state=DEF --locality=XYZ --token=internal |
请参见 CLI 参考 create-cert-request(1)。