| Red Hat Linux 7.2: Официальное руководство по настройке Red Hat Linux | ||
|---|---|---|
| Назад | Глава 15. Настройка безопасного сервера Apache | Вперед |
Как только вы создали ключ, вы можете сформировать запрос на получение сертификата, который затем нужно отправить в выбранный вами центр сертификации. Введите следующую команду:
make certreq |
На экране появится следующее сообщение и предложение ввести ваш пароль (если только вы не отказались от его использования):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter PEM pass phrase: |
Введите пароль, выбранный вами при генерации ключа. На экране появятся дополнительные указания, затем вы должны будет ответить на несколько вопросов. Введённые вами данные будут включены в запрос на получение сертификата. Примеры этих вопросов и ваших ответов на них приведены ниже:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:North Carolina Locality Name (eg, city) []:Durham Organization Name (eg, company) [Internet Widgits]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Ответ по умолчанию показан в квадратных скобках [] в строке запроса. Например, в первой строке задаётся имя страны, в которой будет использован сертификат, как показано ниже:
Country Name (2 letter code) [AU]:
|
Ответ по умолчанию, размещён в скобках: AU. Вы можете согласиться с предложенным вариантом, просто нажав
Вы должны ввести ответы на вопросы (State or Province Name (Название штата или провинции), Locality Name (Название местности), Organization Name (Название организации), Organizational Unit Name (Название подразделения организации), Common Name (Имя сервера) или Email address (Почтовый адрес)). Все эти параметры достаточно понятны, но вы должны учитывать следующие обстоятельства:
Не следует сокращать название местности или штата. Записывайте их полностью (например, St. Louis должно быть записано как Saint Louis).
Если вы отправляете этот запрос (CSR) в центр сертификации (CA), будьте очень внимательны, заполняя эти поля, но особенно важны Organization Name (Имя организации) и Common Name (Имя сервера). Центр сертификации (CA) проверяет информацию, представленную в запросе (CSR), чтобы убедиться в том, что именно ваша организация ответственна за сервер с именем Common Name. CA будет отвергать запросы CSR, в которых содержится неверная информация.
Убедитесь в том, что в качестве значения Common Name введено настоящее имя вашего безопасного веб-сервера (корректное имя DNS), а не какой-либо из его псевдонимов.
В качестве Email Address используйте почтовый адрес веб-мастера или системного администратора.
Избегайте использования специальных символов, например @, #, &, !, и т.д. Некоторые центры сертификации не примут запрос сертификата, содержащий специальный символ. Поэтому, если в имя компании входит символ (&), запишите его в виде "and" вместо "&."
Не используйте дополнительные атрибуты (A challenge password (Пароль вызова) и An optional company name (Необязательное имя компании)). Если вы решили не заполнять эти поля, просто нажмите
Когда вы завершите ввод информации, будет создан файл server.csr. Этот файл и представляет собой запрос сертификата, готовый к отправке в ваш центр сертификации (CA).
После того как вы определились с выбором CA, следуйте указаниям, приведённым на веб-сайте этого центра. Там вы узнаете, как отправить ваш запрос сертификата, дополнительные необходимые документы и произвести оплату.
После того как вы выполните все требования центра сертификации, они вышлют вам сертификат (обычно по электронной почте). Сохраните (или воспользуйтесь буфером обмена) полученный сертификат, в файле /etc/httpd/conf/ssl.crt/server.crt.