回到过程概述

四、创建一个主题不同扩展名的文件

当创建你的服务器证书groov史诗处理器,你会需要你的证书颁发机构(CA)键([myCertificateAuthority] -CA.key),客户端证书(CC)文件([myClientCertificate] -CC.pem),证书签名请求(CSR) groov史诗,和另一个主题名称(SAN)扩展文件[myEPIC] -SAN.ext

与证书颁发机构(CA)键和客户机证书(CC)只创建一次,这个话题又名(SAN)扩展文件和证书签名请求(CSR)文件必须创建为每个单独的史诗。

这是关键的一步,因为很多客户所需的扩展文件如Google Chrome。设置圣的主机名或静态IPgroov史诗的处理器。

请注意,您将需要使用一个持久的主机名或静态IP地址的服务器证书长期工作。如果你必须使用的主机名groov史诗处理器配置为动态分配IP地址,因为IP地址随时可能改变。如果主机名或静态IP地址变化,一个新的服务器证书需要生成并上传到史诗。

你可以使用任何标准的文本编辑器创建的SAN文件。重要的是有正确的文件的开头文件扩展名。

使用以下文本作为您的SAN文件的模板,更换(myEPIC)在最后一行DNS =与你的groov史诗的主机名或静态IP。

[myEPIC] -SAN.ext:

authorityKeyIdentifier = keyid,发行人
basicConstraints = CA:假的
keyUsage = digitalSignature认可、keyEncipherment dataEncipherment
subjectAltName = @alt_names

(alt_names)
DNS = [myEPIC]


注意:确保你取代DNS的方括号,例如主机名epic-01-02-03看起来像这样:


(alt_names)
DNS = epic-01-02-03


诉更新和下载证书签名请求(CSR)

证书签名请求(CSR)是一个文件作为应用程序创建了一个SSL服务器的证书将由一些证书颁发机构。在这种情况下,groov史诗处理器从你个人申请服务器证书证书颁发机构,以便它可以被信任任何客户相关联的客户端证书。证书签名请求包含两个重要的数据:加密的公钥和服务器的信息,如企业名称、和服务器主机名。

  1. groov管理导航到安全菜单,然后单击SSL服务器
  2. 选择创建证书证书管理并填入细节部分。服务器名称和国家代码字段是必需的;其他都是可选的但是推荐:
    • 服务器名称(必需)——这是完全限定域名(FQDN),主机名、或静态IP地址groov史诗处理器。在大多数情况下,你只需输入主机名的史诗。如果你不使用DHCP和DNS,您需要输入您的静态IP地址。

      这是特别重要的如果你最近改变了你的主机名或静态IP地址groov史诗处理器。这个字段必须精确匹配使用的主机名或静态IP访问你的史诗。在大多数情况下,这将只是在系统中设置>网络菜单;设备的主机名(例如epic-01(例如)或静态IP地址192.168.0.1)。以及更新主机名或静态IP地址,创建一个新的企业社会责任给了你机会去改变加密长度和过期的关键。同时,唯一必需的字段是服务器名称和国家代码(我们对美国而言,明白了wordlatlas.com对于其他国家代码),您可能想要联系你groov史诗处理器与您的组织、部门、城市、州和国家。

    • 电子邮件-可选字段管理员的电子邮件地址,或应该联系谁支持关于这个证书的任何问题。
    • 部门——这相当于“组织单元”用于创建客户端证书。输入部门名称或离开字段空白。
    • 组织——这应该是你们公司的名字或反映的groov史诗般的安装。例如,“光电子22日”。
    • 城市或地区——这应该是完整的城市groov史诗般的安装。例如,“泰梅库拉”。
    • 状态——国家应全部写出,不是缩写(例如,使用“华盛顿”而不是“佤邦”。
    • 国家代码(必需)——输入我们对美国而言,明白了wordlatlas.com其他国家代码。你必须为这个字段输入一个值
    • 过期——证书的有效期的天数。建议离开397天或更少由于证书有效性约束。
    • RSA密钥大小——这是长度(比特)的关键加密。离开这个默认2048,价值目前推荐的国家标准和技术研究院(NIST)。
  3. 字段是完成之后,点击创建在右上角。

  4. 您将看到一个弹出声明“生成CSR”,一旦完成,消息说,您需要重新启动groov管理更改生效。点击重新加载

  5. 点击下载企业社会责任下载更新后的证书签名请求文件到一个文件夹在您的计算机上。生成的文件将被命名为csr.pem。确认文件被创建并花一些时间来重命名它来帮助跟踪你的个人史诗csr。是一个不错的选择[myEPIC] -CSR.pem只是替换(myEPIC)独特的识别主机名、序列号或静态IP的史诗你下载它。一旦你确认文件下载和重命名它,把它转移到你的证书颁发机构的文件夹,客户机证书,和扩展文件([myEPIC] -SAN.ext第四步)都存储。

为每个单独的VI。创建一个服务器证书groov史诗处理器

你需要四个文件之前,您可以创建服务器证书(SC)文件:

  1. [myCertificateAuthority] -CA.key:证书颁发机构(CA)安全的。key文件及其相关的密码。这是中创建一步我和尽可能多的是可重用的groov史诗处理器(服务器)。
  2. [myClientCertificate] -CC.pem:客户端证书(CC) .pem中创建的文件步骤二,安装在第三步,并用于安全地连接到多个史诗的服务器证书(SC)创建相同的文件。这个文件也将安装在客户端信任证书存储(操作系统或浏览器)。
  3. [myEPIC] -SAN.ext:史诗被签名的扩展文件,设置主题又名(SAN)为特定的设备第四步
  4. [myEPIC] -CSR.pem:生成证书签名请求groov管理上的groov史诗处理器以其特定的主机名或静态IP第五步

建议保持在你的文件名后缀来帮助跟踪的文件有什么目的:ca(认证机构),cc(客户端证书),(主题交替扩展名文件),企业社会责任(证书签名请求)sc(服务器证书)。

在命令行中,键入以下,更换(myEPIC)CSR的史诗主机名,服务器证书(SC)和圣扩展文件,以及更换(myCertificateAuthority)与你的证书颁发机构(CA)(myClientCertificate)选择您的客户机证书名称(CC):

openssl x509要求——myEPIC csr。pem ca myClientCertificate cc。pem凝固了的myCertificateAuthority ca。关键-CAcreateserial治疗myEPIC sc。crt天397 -sha256 -extfile myEPIC -SAN.ext

在你输入的密码[myCertificateAuthority] -CA.key,这个命令将创建新的服务器证书[myEPIC] -SC.crt

这个命令也会生成一个序列化的文件[myClientCertificate] -CC.srl将更新本身对于每个额外的生成服务器证书的证书颁发机构键和您所提供的客户端证书。

继续第七步并上传服务器证书。

七世。上传服务器证书

使用groov管理上传新创建的服务器证书[myEPIC] -SC.crtgroov史诗的处理器。

  • 注意:这是非常重要的您上传正确的服务器证书(SC) groov史诗处理器创建它。
    1. 开放groov管理
    2. 导航到安全菜单并选择SSL服务器
    3. 下载私有密钥文件key.pemgroov史诗处理器通过点击下载私钥
  • 注意:您可能想要将这个私钥文件重命名为[myEPIC] -PK.crt保持与你的文件命名一致。也有用当上传服务器证书到多个史诗。
    1. 点击上传证书
    2. 点击公共证书。(groov管理使用术语“公共证书”服务器证书。)
    3. 选择您的服务器证书[myEPIC] -SC.crt从你的文件系统,然后单击OK
    4. 点击私钥
    5. 选择key.pem_file you just downloaded from the _groov史诗的处理器。如果你重命名它如上建议,这将是myEPIC -PK.crt。之后你可以删除这个文件已经完成了这一过程。
    6. 跳过中间证书按钮
    7. 点击上传在右上角
    8. 系统将提示您重新加载页面
    9. 点击重新加载您的连接将会安全。
      • 注意:如果你的连接并不会立即成为安全完全可能需要重启浏览器。如果不工作,试着重新启动你的电脑之前进一步的故障排除。

刷新完成过程

在这一点上你可以刷新你的页面和丢弃任何先前网络异常你将拥有一个有效的,签署证书,没有不安全的连接警告在Chrome和/或Firefox。

如果你想要任何其他设备能够安全地访问这个页面不需要做出任何进一步的改变到史诗SSL服务器,只是在客户端设备上安装CA证书,你是好去。当你给的证书文件确保不给出来的关键,那些被抓的密钥文件可以创建并签署的证书将由所有客户信任上安装相关的CA证书。

签署附加的CSR文件更多的设备

一旦您创建了CA证书和密钥,并将文件安全的地方,您可以重复签署和服务器的SSL证书更新过程无需制作和更新一个新的可信根CA。只要相同的密钥签署您的CA证书签署你的设备是企业社会责任的你可以尽可能多的你想要私人CA签署的设备。

所有你需要做的是只有这个页面上遵循的步骤,您可以跳过前面的页面创建一个证书颁发机构(CA)创建和安装的客户端证书因为你可以重用这些文件当你再次重复这个过程。

也,你可以添加新客户的这些设备只需将CA证书添加到设备的可信根商店,然后,客户端可以自由访问所有服务器的证书由CA密钥签名。请记住,如果你的钥匙下车然后证书颁发机构将不再是值得信赖的,你会需要一个新的CA和服务器使用,再签署所有CSR的以及上传新客户CA证书。

是至关重要的,你把你的证书颁发机构关键秘密和安全。

回到创建一个证书颁发机构(CA)(步骤1),或创建和安装的客户端证书(步骤II和III),或过程概述

或者去史诗开发概述回家