| Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 13 Verwendung von Apache als Secure Web-Server | Vor |
Sobald Sie einen Schlüssel erstellt haben, müssen Sie als Nächstes das gewünschte Zertifikat bei einer ZS Ihrer Wahl beantragen:
make certreq |
Das System zeigt die folgende Ausgabe an und fordert Sie auf, ein Passwort einzugeben (bei aktivierter Passwortoption):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter PEM pass phrase: |
Geben Sie das Passwort ein, das Sie für die Erstellung Ihres Schlüssels gewählt haben. Ihr System wird einige Anweisungen anzeigen und Sie werden aufgefordert, eine Reihe von Fragen zu beantworten. Ihre Eingaben werden in den Antrag für das Zertifikat integriert. Die folgende Abbildung zeigt einen Antrag mit möglichen Antworten:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:North Carolina Locality Name (eg, city) []:Durham Organization Name (eg, company) [Internet Widgits]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.mydomain.com Email Address []:admin@mydomain.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Die Standardantworten werden in eckigen Klammern [] angezeigt, unmittelbar nach den jeweiligen Eingabeaufforderungen. Die erste Angabe ist beispielsweise das Land, in dem das Zertifikat verwendet werden soll:
Country Name (2 letter code) [AU]:
|
Die vordefinierte Eingabe in eckigen Klammern ist AU. Wenn Sie den Standardwert akzeptieren möchten, drücken Sie die Eingabetaste. Anderenfalls geben Sie den zweistelligen Code für Ihr Land ein.
Geben Sie dann die restlichen Daten ein ( State or Province Name, Locality Name, Organization Name , Organizational Unit Name , Common Name, und Email address). Folgen Sie dazu diesen Richtlinien:
Schreiben Sie den Namen der Stadt und des Landes aus und kürzen Sie ihn nicht ab (z.B. St. Augustin wird Sankt Augustin geschrieben).
Wenn Sie diese Anforderung an eine ZS schicken, stellen Sie sicher, dass alle Informationen in allen Dialogfeldern vollständig und richtig sind, im Besonderen Organization Name und Common Name. Die ZS überprüft die Angaben und weist solche, die als ungültig erkannt werden, zurück.
Stellen Sie bei der Eingabe des Common Name sicher, dass Sie den wirklichen Namen Ihres secure Web server (ein gültiger DNS-Name) und keinen Alias-Namen eingegeben haben.
Die Email Address sollte mit der E-Mail-Adresse des Webmasters oder des Systemadministratos übereinstimmen.
Vermeiden Sie jegliche Sonderzeichen wie @, #, &, !, etc. Einige Zertifizierungsstellen weisen Zertifikatanträge, die Sonderzeichen enthalten, zurück. Wenn also der Name Ihrer Firma ein Und-Zeichen (&) enthält, schreiben Sie es aus, so dass Sie statt "&", "und" eingeben.
Die zusätzlichen Attribute ( A challenge password und An optional company name) müssem Sie nicht ausfüllen. Drücken Sie einfach die Eingabetaste, um die in der Voreinstellung leeren Felder zu akzeptieren.
Wenn die Eingabe von Informationen abgeschlossen ist, wird die Datei server.csr erstellt. Diese Datei ist Ihre Zertifikatanfrage, die Sie an die ZS verschicken.
Nachdem Sie sich entschieden haben, welche ZS Sie verwenden möchten, folgen Sie den Anweisungen, die in der Web-Site der ZS enthalten sind. Diese Anweisungen enthalten Informationen darüber, wie Sie Ihren Zertifikatantrag verschicken, ob es andere Dokumentationen gibt, und über die Zahlungsmodalitäten.
Das Zertifikat von der ZS erhalten Sie üblicherweise per E-Mail. Sichern Sie das Zertifikat mit dem Namen /etc/httpd/conf/ ssl.crt/server.crt (Sie können es auch ausschneiden und einfügen).