Debian/Ubuntu/Mint 會(huì)在 /etc/ssl 中存儲(chǔ)私鑰和證書的符號(hào)鏈接。系統(tǒng)自帶的證書保存在/usr/share/ca-certificates 中。你安裝或創(chuàng)建的證書在 /usr/local/share/ca-certificates/ 中。

這個(gè)例子是對(duì) Debian 而言。創(chuàng)建私鑰和公用證書，將證書轉(zhuǎn)換為正確的格式，并將其符號(hào)鏈接到正確的目錄：

$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 /-keyout /etc/ssl/PRivate/test-com.key -out //usr/local/share/ca-certificates/test-com.crtGenerating a 2048 bit RSA private key.......+++......................................+++writing new private key to '/etc/ssl/private/test-com.key'-----You are about to be asked to enter information that willbe incorporated into your certificate request.What you are about to enter is what is called a DistinguishedName or a DN. There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:WALocality Name (eg, city) []:SeattleOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Alrac Writing SweatshopOrganizational Unit Name (eg, section) []:home dungeonCommon Name (e.g. server FQDN or YOUR name) []:www.test.comEmail Address []:admin@test.com$ sudo update-ca-certificatesUpdating certificates in /etc/ssl/certs...1 added, 0 removed; done.Running hooks in /etc/ca-certificates/update.d...Adding debian:test-com.pemdone.done.
CentOS/Fedora 使用不同的文件結(jié)構(gòu)，并不使用 update-ca-certificates，使用這個(gè)命令：
$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 /-keyout /etc/httpd/ssl/test-com.key -out //etc/httpd/ssl/test-com.crt
最重要的條目是 Common Name，它必須與你的完全限定域名（FQDN）完全匹配。此外其它信息都是任意的。-nodes 用于創(chuàng)建一個(gè)無(wú)密碼的證書，這是 Apache 所必需的。-days 用于定義過(guò)期日期。更新證書是一個(gè)麻煩的事情，但這樣應(yīng)該能夠額外提供一些安全保障。
>配置 Apache
現(xiàn)在配置 Apache 以使用你的新證書。如果你遵循給初學(xué)者看的在 Ubuntu linux 上使用 Apache：第 2 部分，你所要做的就是修改虛擬主機(jī)配置中的 SSLCertificateFile 和 SSLCertificateKeyFile，以指向你的新私鑰和公共證書。來(lái)自該教程中的 test.com示例現(xiàn)在看起來(lái)像這樣：
SSLCertificateFile /etc/ssl/certs/test-com.pemSSLCertificateKeyFile /etc/ssl/private/test-com.key
CentOS 用戶，請(qǐng)參閱在 CentOS wiki 中的在 CentOS 上設(shè)置 SSL 加密的 Web 服務(wù)器一文。過(guò)程是類似的，wiki 會(huì)告訴如何處理 SELinux。
測(cè)試 Apache SSL
一個(gè)簡(jiǎn)單的方法是用你的網(wǎng)絡(luò)瀏覽器訪問(wèn) https://yoursite.com，看看它是否可以正常工作。在第一次這樣做時(shí)，你會(huì)在你過(guò)度保護(hù)的 web 瀏覽器中看到可怕的警告說(shuō)網(wǎng)站是不安全的，因?yàn)樗褂玫氖亲院灻C書。請(qǐng)忽略你這個(gè)敏感的瀏覽器，并單擊屏幕創(chuàng)建永久性例外。 如果你遵循在給初學(xué)者看的在 Ubuntu Linux 上使用 Apache：第 2 部分上的示例虛擬主機(jī)配置，那么即使你的網(wǎng)站訪問(wèn)者嘗試使用純 HTTP，你的網(wǎng)站的所有流量都將強(qiáng)制通過(guò) HTTPS。
一個(gè)很好測(cè)試方法是使用 OpenSSL。是的，有一個(gè)漂亮的命令來(lái)測(cè)試這些東西。試下這個(gè)：
$ openssl s_client -connect www.test.com:443CONNECTED(00000003)depth=0 C = US, ST = WA, L = Seattle, O = Alrac Writing Sweatshop,OU = home dungeon, CN = www.test.com, emailAddress = admin@test.comverify return:1---Certificate chain0 s:/C=US/ST=WA/L=Seattle/O=Alrac Writing Sweatshop/OU=homedungeon/CN=www.test.com/emailAddress=admin@test.comi:/C=US/ST=WA/L=Seattle/O=Alrac Writing Sweatshop/OU=homedungeon/CN=www.test.com/emailAddress=admin@test.com---Server certificate-----BEGIN CERTIFICATE-----[...]
這里輸出了大量的信息。這里有很多關(guān)于 openssl s_client 的有趣信息; 現(xiàn)在足夠我們知道我們的 web 服務(wù)器是否使用了正確的 SSL 證書。
創(chuàng)建一個(gè)證書簽名請(qǐng)求
如果你決定使用第三方證書頒發(fā)機(jī)構(gòu)（CA），那么就必須創(chuàng)建證書簽名請(qǐng)求（CSR）。你將它發(fā)送給你的新 CA，他們將簽署并將其發(fā)送給您。他們可能對(duì)創(chuàng)建你的 CSR 有自己的要求; 這是如何創(chuàng)建一個(gè)新的私鑰和 CSR 的典型示例：
$ openssl req -newkey rsa:2048 -nodes /-keyout yourdomain.key -out yourdomain.csr
你也可以從一個(gè)已經(jīng)存在的 key 中創(chuàng)建一個(gè) CSR：
$ openssl req -key yourdomain.key /-new -out domain.csr
今天就是這樣了。下周我們將學(xué)習(xí)如何正確地在 Dovecot 中設(shè)置 OpenSSL。
本文
免費(fèi)提供最新Linux技術(shù)教程書籍，為開源技術(shù)愛好者努力做得更多更好，開源站點(diǎn)：http://www.linuxprobe.com/