使用 OpenSSL 取得 SSL 憑證與私密金鑰

语言：

本程序概述如何使用 OpenSSL 工具程式建立 SSL 憑證和私密金鑰。

備註 - Oracle ILOM 不會要求您使用 OpenSSL 產生 SSL 憑證。本程序中使用的 OpenSSL 僅為示範用途。還有其他工具可產生 SSL 憑證。

要使用暫時自行簽署憑證或憑證授權機構簽署的憑證，應由網站管理員或安全人員決定。若您確實需要取得 SSL 憑證 (暫時自行簽署憑證或憑證授權機構簽署的憑證)，您可以依照下列的範例 OpenSSL 命令行指示進行。

備註 - 如需產生 SSL 憑證的進一步 OpenSSL 指示，應參考隨 OpenSSL 工具程式提供的使用者文件。

如果要使用 OpenSSL 工具程式產生新的 RSA 私密金鑰，請輸入：
openssl genrsa -out <foo>.key 2048

其中，<foo> 是私密金鑰的名稱。

備註 - 此私密金鑰是以 PEM 格式儲存的 2048 位元 RSA 金鑰，因此可以 ASCII 文字形式讀取。

如果要使用 OpenSSL 工具程式產生憑證簽署要求 (CSR)，請輸入：
openssl req -new -key <foo>.key -out <foo>.csr

其中，<foo> 是憑證簽署要求的名稱。

備註 - 在 CSR 產生過程中，系統會提示您輸入幾項資訊。

<foo>.csr 檔案現在應該會顯示在您目前的工作目錄中。

如果要產生 SSL 憑證，請執行下列其中一項動作：
- 產生暫時自我簽署憑證 (有效期限 365 天)。
  自我簽署的 SSL 憑證是從 server.key 私密金鑰和 server.csr 檔案所產生。
  
  使用 OpenSSL 工具組時，請輸入：
  
  openssl x509 -req -days 365 -in <foo>.csr
  
  -signkey <foo>.key -out <foo>.cert
  
  其中，<foo> 是指派給私密金鑰 (.key) 或憑證 (.cert) 的名稱。
  
  備註 - 此暫時憑證在用戶端瀏覽器中將產生錯誤，主因是簽署憑證機構不明或未受信任。如果無法接受此錯誤，應要求憑證授權機構核發簽署的憑證給您。
- 從憑證授權機構提供者取得正式簽署的憑證。
  將您的憑證簽署要求 (<foo>.csr) 提交給 SSL 憑證授權機構提供者。大多數的憑證授權機構提供者會要求您剪下並貼上 Web 應用程式畫面中的 CSR 輸出。通常最多需要 7 個工作天才能收到您的簽署憑證。

將新的 SSL 憑證和私密金鑰上傳至 Oracle ILOM。
請參閱下列指示：Upload a Custom SSL Certificate and Private Key to Oracle ILOM。