Johnson的部落格

使用Redhat ES 4


產生 Root CA的方法
cd /usr/share/ssl/misc/
執行./CA -newca (enter)
使用預設名稱(enter)

加密private key
(不可忘記此password ，否則無法簽發憑證，除非重新產生Root CA

再來輸入CA的資訊
不要輸入你網站的資訊，這是簽發憑證中心，產生Root CA


Root CA憑證位置：
/usr/share/ssl/misc/demoCA/

Root CA 的private key:
/usr/share/ssl/misc/demoCA/private


再來憑證申請書放到
CA SERVER的 /usr/share/ssl/misc/之下


Root CA 執行簽章
./CA -sign  (enter)

輸入CA Server 的private key 密碼
按兩次enter

產生了憑證(newcert.pem)
此時憑證申請書可以丟了


而如何證實數位憑證是否被竄改
方法：
當拿到馮證後，把這四項資訊抓出來(User Info 、public key 、CA info 、Begin -end )，
然後針對這四頁資訊透過MD5 or SHA or SHA1做雜湊運算，就可得到finger printer (這是立即運算出來的)，
再來，數位憑證是CA用private key 加密的，除非拿到CA的Private key ，才有辦法偽造
(但CA的private key 是不可能拿的到的)

如果能拿到CA的public key 就可以解開數位憑證，得到finger printer，
各大作業系統的瀏覽器中有CA的憑證(憑證中有public key)，如此就能比對finger printer 了

......

以下內容為HTTPS over ssl 文章內容(配合HTTPS over ssl 使用 ...)

1． WEB Server 產生憑證申請書(內容包含User information 、User 的Public key 、
   同時也會產生Private key)

   cd /usr/share/ssl/misc
   ./CA -newreq  (enter)
   出現
   writing new private key to 'newreq.pem'
   Enter PEM pass phrase: 12345
   Verifying - Enter PEM pass phrase:12345

在此結構有可能的問題，若private key 被偷，則小偷可解開資料，因此要先給private key 加上對稱式加密
再來輸入國別(一定要大寫)，國家、城市、公司行號、部門
再來的CN最重要(Common Name (eg,your name or your server's hostname:))
一定要輸入Server 的URL(若與Web Server 的URL不相等，則憑證使用上會有警告訊息，
輸入管理者的email，再來按兩次enter 即可


時此，產生newreq.pem
前十八行是private key 
後十二行是憑證申請書
請把他分離，但憑證申請書名字一定要是"newreq.pem"
再來先把private key名字定為private_key.pem
再來把憑證送交CA 即可