除了 VeriSign,还可以从其他证书授权机构申请和安装证书。您的公司或组织可能会提供自己的内部证书。本节介绍如何申请和安装其他类型的服务器证书。
本节包含以下主题:
开始申请过程之前,请确保了解 CA 所需的信息。不同的 CA 要求的信息的格式会有所不同,但通常都会要求您提供以下所列信息。对于证书更新,以下大部分信息通常不是必需的。
申请者名称。依据其颁发证书的名称。
电话号码。申请者的电话号码。
通用名称。DNS 查找中使用的全限定主机名,例如 www.example.com。
电子邮件地址。您与 CA 进行通信联系时使用的企业电子邮件地址。
组织。您的公司、教育机构和组织等的法定名称。多数 CA 需要您使用法律文档(例如营业执照副本)验证此信息。
组织单位。您的公司内部组织单位的说明。
地址。组织所在的城市、公国或国家/地区的说明。
省/自治区/直辖市。企业所在的省/自治区/直辖市。
国家/地区。您所在国家/地区的名称的双字符缩写(以 ISO 格式)。例如,美国的国家代码为 US。
所有这些信息组合为一系列属性值对(称为标识名 (distinguished name, DN)),用于唯一标识证书的主题。
如果从商业 CA 处购买证书,必须在 CA 颁发证书之前与之联络,以查明他们所需的其他信息。多数 CA 都要求您提供身份证明。例如,CA 需要验证您的公司名称和公司授权管理服务器的用户,还可能询问您是否拥有使用您提供的信息的合法权限。
某些商业 CA 向出具较为详细标识的组织或个人提供内容详细且精确的证书。例如,您可以购买一个证书,声明 CA 不仅验证了您是 www.example.com 计算机的合法管理员,而且验证了您的公司是已从事三年商业活动且无未决的客户诉讼案件的公司。
访问 Administration Server 或 Server Manager,并单击 "Security" 选项卡。
单击 "Request Certificate" 链接。
指定这是一个新证书还是证书更新。
许多证书在一段时间(例如六个月或一年)后会到期。某些 CA 会自动发送证书更新。
指定是否要提交证书申请:
从 "Cryptographic Module" 下拉式列表中,选择在申请证书时要用于密钥对文件的加密模块。
键入密钥对文件的密码。
除非选择了加密模块而不是 "Internal",否则在创建信任数据库时指定该密码。服务器将使用该密码获取专私钥并加密发送给 CA 的消息,然后将您的公钥和加密的消息发送给 CA。CA 使用公钥来解密您的消息。
提供您的标识信息,如姓名和电话号码。
此信息的格式因 CA 而异。对于证书更新,以下大部分信息通常不是必需的。
再次检查您的工作以确保准确性,然后单击 "OK"。
信息越准确,批准证书的速度可能就越快。如果要将申请发送至证书服务器,您将在提交申请之前收到验证格式信息的提示。
服务器将生成包含您的信息的证书申请。该申请中包含使用私钥创建的数字签名。CA 使用数字签名来验证在从服务器计算机向 CA 的路由过程中申请是否被更改。极少数情况下申请会被更改,这时 CA 通常会通过电话与您联络。
如果选择通过电子邮件发送申请,服务器将发送包含该申请的电子邮件到 CA。通常,证书会在随后通过电子邮件发送给您。如果您指定了指向证书服务器的 URL,服务器将使用该 URL 向证书服务器提交申请。您可能会收到电子邮件响应或某种其他方式的响应,视 CA 而定。
如果 CA 同意向您颁发证书,将会通知您。多数情况下,CA 会使用电子邮件向您发送证书。如果您的组织使用的是证书服务器,可以使用证书服务器的表单搜索证书。
并不是所有从商业 CA 申请证书的用户都会获得证书。很多 CA 在颁发证书之前都需要您提供身份证明。另外,审批通常可能会花费一天到几周不等的时间。您应向 CA 及时提供所有必要的信息。
在收到证书后,安装该证书。在此期间,您仍然可以使用未安装 SSL 的 Proxy Server。
您从 CA 收到的证书会使用您的公钥加密,因此只有您可以将其解密。只有输入正确的信任数据库密码,才能解密和安装证书。
提供给客户机的您自己的服务器证书
证书链中使用的 CA 自己的证书
信任的 CA 的证书
证书链是由各证书授权机构依次签署的一系列有层次结构的证书。CA 证书用于标识证书授权机构以及对该机构颁发的证书进行签名。反过来,CA 证书又可以由父 CA 的 CA 证书签名,依此类推,直到根 CA。
如果 CA 没有自动向您发送他们的证书,请申请该证书。很多 CA 在电子邮件中包含他们的证书和您的证书,您的服务器将同时安装这两个证书。
您从 CA 收到的证书会使用您的公钥加密,因此只有您可以将其解密。安装证书时,Proxy Server 将使用您指定的密钥对文件密码将其解密。您可以将电子邮件保存在服务器可以访问的位置中,也可以复制电子邮件的文本并准备将其粘贴到 "Install Certificate" 表单中,如以下过程所述。