要塞密钥和证书通过以下三个脚本进行管理: genkey
, getca
及 genreq
。 这些是常规堡垒分布的一部分。 密钥和证书存储在目录中 $SSLTOP/private/
,其中 SSLTOP
通常是 /usr/local/ssl
.
生成密钥对并 CSR 对于您的服务器:
- 运行
genkey
,指定主机或虚拟主机的名称:genkey hostname
。 该genkey
脚本显示密钥文件的文件名和位置,以及 CSR 文件将生成:- 密钥文件:
/usr/local/www/sslhostname.key
- CSR 文件:
/usr/local/www/sslhostname.cert
请注意: 如果您已经有服务器密钥,请运行genreq [servername]
只产生 CSR. - 密钥文件:
- 媒体 输入。 该
genkey
脚本会提醒您确保您不会覆盖现有的密钥对和证书。 - 出现提示时,输入密钥大小。建议您使用可用的最大密钥大小。
- 出现提示时,输入随机按键。 计数器达到零时停止,然后
genkey
哔哔声。 此随机数据用于创建唯一的公用和专用密钥对。 - 出现提示时,输入
Y
创建密钥对并 CSR. - 对于您的CA,选择 其他名称.
- 输入您所在国家/地区的两个字母的国家/地区代码。 您必须使用正确的ISO国家/地区代码,否则其他缩写将无法识别。 请参考我们的 国家/地区代码清单 找到你的。
- 输入您所在州或地区的全名。 请不要缩写。
- 输入您的城市,城镇或其他地区的名称。
- 输入您的组织名称。 这是申请服务器证书的组织的完整法定名称。
- 输入指定组织内单位的名称。 这通常是证书所针对的组/部门。
- 输入您网站的标准域名。 (例如,
www.mydomain.com
。)这就是您网站的通用名称。 - CSR 创建后将如下所示:
-----开始新证书的要求----- MIIByDCCATECAQAwgYgxCzAJBgNVBAYTAlVTMREwDwYDVQQIEwhWaX ----------------更多文本----------------- --- U20CbzA7Ur0YBqrnQdD2PnTv / XpHtAAr + M4oez == -----结束新证书请求-----
- 此时,您应该备份密钥文件并 CSR 到安全的位置。 如果您丢失了私钥或忘记了密码,则将无法安装证书。