建立授權等級

Root CA 會替 Root CA 機器上的網站建立授權等級並加以儲存。此認證以後便可選擇性地由例如 VeriSign 的其他 CA 簽名。等授權認證建立之後，便會安裝在 Sun WebServer 機器上以便讓網站使用。

本文件中所稱「授權等級」，指的是鍵組-公用加密鍵與私人加密鍵-以及其相關認證。

建立網站的授權等級

1. 決定網站的區別名稱登錄，並以「完整且合格的領域名稱」（FQDN）作為其一般名稱（cn）。

   關於認證中區別名稱的詳細說明，請參閱 "Root CA 使用者"。

2. 以 Root CA 使用者身份登入 Root CA 機器。

3. 建立一個目錄，以便儲存稍後要建立的授權等級資料。

   rootca % mkdir /var/SSL_CERTS/121.122.123.12/

4. 執行 /usr/http/bin/setup_creds 指令，並加上適當的選項。

   可用選項如下：

   -d output_directory

   設定儲存授權等級資料的目錄，如： /var/SSL_CERTS/121.122.123.12/。

   -f 信任檔案

   （非必要；設置時可用此檔案將其他信任 CA 的認證加入）設定含有 Root CA 認證之檔案的完整路徑，如： /export/skirca2/certs/skirca2.CERT。

   -i IP位址

   設定要建立授權等級之網站的 IP 位址。

   -r rootca

   （選擇性的）設定 Root CA 使用者的名稱（即用來執行指令集的使用者名稱）。若未指定 -r 參數，則 setup_creds 指令會詢問您此系統上 Root CA 使用者的名稱。

   # /usr/http/bin/setup_creds -r rootca \ -d /var/SSL_CERTS/121.122.123.12/ -i 121.122.123.12

5. 輸入主機名稱且只當作網站名稱。接下來電腦會要求您輸入領域名稱。

   例如網站名稱為 www.V.com，則請輸入 www。

   輸入執行 httpd 伺服器的主機名稱： （按 RETURN 鍵以使用本端主機）www

6. 輸入網站的領域名稱。

   輸入伺服器的領域名稱（如 eng.sun.com）V.com

7. 輸入網站的 DN 屬性，但不含一般名稱（cn）。

   輸入伺服器的「區別名稱字尾」（如 o=SUN, c=US）：o="Company V", st=California, c=US

8. 輸入此網站授權等級的新密碼。

   每個鍵組都有一個密碼，且不應與 Root CA 授權等級的密碼相同。

   請輸入加密伺服器私人鍵的密碼。 安裝認證時會用到此密碼。 請輸入密碼： 再輸入一次密碼： 使用配置檔案 '/tmp/try/host_config skilogin: 輸入您自己的鍵組密碼：

9. 站台的鍵組與認證便會產生出來，並儲存在您指定的輸出目錄內。

   認證的位置為 output_directory/certs/IP_Address.cert，此範例中則是 /var/SSL_CERTS/121.122.123.12/certs/121.122.123.12.cert。

   要將此認證安裝在另一台機器上時，會需要用到此認證。

10. 重複步驟 1 到步驟 9，產生其他網站的授權等級。

現在您已經擁有一個「自己簽名」的認證了。如果與您網站連線的瀏覽程式將您的 Root CA 加入其信任 CA 列表內，便可使用此認證作 SSL 加密。這種作法可在公司內使用，因為可以要求公司內要使用 SSL 的所有瀏覽程式更新設定（例如若用 SSL 保護「Sun WebServer 管理控制台」）。但大部份的客戶機卻都是在 Internet 上，因此他們並不知道您設立的 Root CA，因此公用 SSL 站台的認證最好有協力廠商簽名比較恰當。在 Sun WebServer 機器上安裝好授權等級之後，請參考 "要求簽名認證 " 繼續進行。

請依照 "啟動網站上的 SSL " 中的程序繼續進行。