請求憑證
憑證是由數位資料組成,這些資料將指定個人、公司或其他實體的名稱,並證明憑證中包含的公開金鑰屬於該個人。啟用 SSL 的伺服器必須擁有憑證,但用戶端不一定要有憑證。
憑證由憑證授權單位或 CA 核發並以數位方式簽署。CA 可以是透過網際網路出售憑證的公司,也可以是負責為企業內部網路或企業間網路核發憑證的部門。您可以決定將充分信任的 CA 做為驗證其他使用者身份的機構。
您可以請求憑證並將憑證提交至憑證授權單位 (CA)。如果您的公司有自己的內部 CA,則可以向其請求憑證。如果計劃從商業 CA 購買憑證,請選擇一個 CA 並詢問其所需資訊的特定格式。您也可以為伺服器建立自我簽署的憑證。自我簽署的憑證不適用於連到網際網路的部署,但是對於開發和測試則非常有用,因為可讓您設定測試伺服器而無須 CA 介入。
如上文所述,憑證包括實體 (此案例中為 Web 伺服器) 的公開金鑰。公開金鑰是根據特定的演算法產生 (憑證中內建演算法類型程式碼)。下一節將提供 Web 伺服器所支援的金鑰演算法類型的背景說明。
請求憑證
-
按一下 [伺服器憑證] 標籤 > [請求] 按鈕。
-
選取配置
從配置清單中選取您要為其安裝憑證的配置。
-
選取記號
選取包含金鑰的記號 (加密裝置)。如果金鑰儲存在由 Sun Java System Web Server 7.0 維護的本機金鑰資料庫中,請選擇 [內部]。如果金鑰儲存在智慧卡或其他外部裝置或引擎中,請從下拉式清單方塊中選擇外部記號的名稱。輸入所選記號的密碼。
-
輸入詳細資訊
開始請求程序之前,請確保您已瞭解 CA 所需的資訊。無論是向商業 CA 還是向內部 CA 請求伺服器憑證,您都需要提供以下資訊:
-
伺服器名稱必須是 DNS 查詢中使用的完全合格的主機名稱 (例如 www.sun.com)。這是瀏覽器連線至您網站所使用的 URL 中的主機名稱。如果這兩個名稱不相符,則會通知用戶端憑證名稱與網站名稱不相符,由此懷疑憑證的可信賴性。
如果要從內部 CA 請求憑證,則也可以在此欄位中輸入萬用字元或常規表示式。大多數供應商將不會核准為一般名稱輸入萬用字元或常規表示式的憑證請求。
-
[組織] 是指公司、教育機構、夥伴等的正式、合法名稱。大多數 CA 都要求您提出法律文件 (如營業執照副本) 來驗證此資訊。
-
[組織單位] 為可選欄位,說明公司內部的組織。也可以用於標註不太正式的公司名稱 (不帶 Inc.、Corp. 等的名稱)。
-
[地區] 為可選欄位,通常用於說明組織所在城市和公國。
-
[州或省] 為選擇性欄位。
-
[國家/地區] 是您所在國家/地區名稱的兩個字元縮寫 (ISO 格式)。美國的國家代碼為 US。
所有這些資訊組合成稱為辨別名稱 (DN) 的一系列「屬性-值」對,由此形成憑證的主體。
-
-
選擇憑證選項
需要您提供金鑰資訊。對於金鑰類型,您可以選擇 RSA 或 ECC。如果金鑰類型為 RSA,則金鑰大小可以為 1024、2048 或 4098。如果您的金鑰類型為 ECC,則還需要選取曲線。請記住,產生新的金鑰對需要花費一些時間。金鑰長度越長,精靈產生金鑰所需的時間便越長。
注意 – 請確定選取 CA (您稍後要向其提交請求以進行簽署) 可以支援的金鑰類型。
-
選取憑證類型
為憑證選取憑證簽署授權單位 (CSA) (是自我簽署或由 CA 簽署)。如果選取自我簽署的憑證,則還可以將憑證與 HTTP 偵聽程式建立關聯。您也可以稍後再執行此動作。
-
產生請求
如果是 CA 簽署的憑證,則產生的憑證請求將為 ASCII 格式。如果是自我簽署的憑證,則會直接進行安裝。如果是自我簽署的類型,請提供暱稱、有效期 (月數) 以及 HTTP 偵聽程式名稱的值,以便處理安全請求。
-
檢視結果
此頁面為您提供了所選選項的摘要。按一下 [完成] 可完成請求產生過程。
備註 –使用 CLI
若要透過 CLI 請求憑證,請執行以下指令。
wadm> create-cert-request --user=admin --password-file=admin.pwd --host=serverhost --port=8989 --config=config1 --server-name=servername.org --org=sun --country=ABC --state=DEF --locality=XYZ --token=internal
請參閱 CLI 參照 create-cert-request(1)。
- © 2010, Oracle Corporation and/or its affiliates