创建证明

Root CA 在 Root CA 机器上为 Web 站点创建和存储证明。作为一种选择，此后证书可以由另一个 CA 签署，如 VeriSign。当证明准备好之后，它们被安装在 Sun WebServer 机器上供 Web 站点使用。

本文档中的"证明"指一个密钥包 -公共和私有密钥- 及有关证书。

为 Web 站点创建证明

1. 为 Web 站点确定判别名条目，使用"全限定域名"(FQDN) 作为公用名 (cn)。

   有关证书中的判别名的详细信息，请参见 "Root CA 用户"。

2. 作为 Root CA 用户登录到 Root CA 机器上。

3. 创建一个目录，用来存储您将要创建的证明。

   rootca % mkdir /var/SSL_CERTS/121.122.123.12/

4. 选择适当的选项运行 /usr/http/bin/setup_creds。

   有效选项为：

   -d output_directory

   指定证明应存储的目录；例如，/var/SSL_CERTS/121.122.123.12/。

   -f trusted_file

   （不必需；用来在设置时为其它可信赖的 CA 添加证书。）指定含有 Root CA 证书的文件的全路径名，例如，/export/skirca2/certs/skirca2.CERT。

   -i IP_Address

   指定正在为其创建证明的 Web 站点的 IP 地址。

   -r rootca

   （可选）指定 Root CA 用户名（您用来运行正文的用户名）。如果 -r 被省略，setup_creds 将会要求提供本系统上的 Root CA 用户的用户名。

   # /usr/http/bin/setup_creds -r rootca \ -d /var/SSL_CERTS/121.122.123.12/ -i 121.122.123.12

5. 只作为 Web 站点的名称输入主机名。您下一步将被要求输入域名。

   例如，如果 Web 站点是 www.V.com，则输入 www。

   输入您在其上运行 httpd 服务器的主机名： （敲回车键使用本地主机）www

6. 输入 Web 站点的域名。

   输入您的服务器的域名（例如，eng.sun.com）V.com

7. 输入 Web 站点的 DN 属性，不带公用名 (cn)。

   为您的服务器输入判别名后缀（例如，o=SUN, c=US）：o="Company V", st=California, c=US

8. 输入此 Web 站点的证明的新口令。

   每个密钥包都有一个口令，该口令应该与 Root CA 的证明的口令不同。

   请提供口令以加密您的服务器的私有密钥。 安装证书时您将会需要它。 输入口令： 重新输入口令： 使用配置文件 '/tmp/try/host_config skilogin：输入您自己的密钥包口令：

9. 站点的密钥包和证书将被生成并存储在您指定的输出目录中。

   证书的位置是 output_directory/certs/IP_Address.cert。在此例中，它是 /var/SSL_CERTS/121.122.123.12/certs/121.122.123.12.cert。

   如果您在另一个证书之上重新安装此证书，您将会需要这个证书。

10. 重复 1 至 9 步以便为其它 Web 站点生成证明。

您现在有了一个"自我签署"的证书。如果连接的浏览器的可信赖 CA 表中有您的 Root CA，则您可以使用此证书进行 SSL 加密。这在您的组织中是很有用的，您可以更新需要使用 SSL 的浏览器（例如，如果您用 SSL 保护"Sun WebServer 管理控制台"）。但是，Internet 上的大多数客户都不会知道您的 Root CA，因此您会想让证书由第三方为公共 SSL 站点签署。当您在 Sun WebServer 机器上安装了证明之后，请参阅 "申请签署证书 "。

继续 "在 Web 站点上启用 SSL " 中的步骤。