自動目錄
只要是政府相關的網站,都可以申請政府憑證,不建議使用免費的或是自己購買,不僅浪費而且不合理。
政府憑證申請
如果你的網域是 gov.tw 或 edu.tw 都可以申請,憑證本身免費,效期一年。
除此之外網域亦可申請,但審核權在該單位,可參考QA的說明
一、到 GCP 政府憑證入口網
https://gcp.nat.gov.tw/index.html
點選「憑證申請」
二、選取「TLS類憑證申請」
進到憑證申請作業流程說明,到下方,選取「TLS類憑證申請」
三、選擇憑證申請方式
如果有GCAIC卡(單位憑證卡)的話可以直接開通
四、同意用戶約定條款
讀完按同意就好
五、填寫申請內容
* 同一頁面下方上傳憑證,多台伺服器可以共用私鑰,只要傳一份就可以了。
* 萬用憑證申請不能
* 最多一筆100個網站
六、私鑰產生方式
詳細可參考[1],以下截錄重點:
產生私鑰 server.key 請委善保存
$ openssl genrsa -des3 -out server.key 2048
產生憑證請求檔
$ openssl req -new -key server.key -out server.csr
這個檔就是上面要上傳的檔案
六、發文給國家發展委員會
申請完畢後會產生一份申請表,將此申請表發文給「國家發展委員會」(選擇發文申請的話)。
靜待佳音,該單位非常有效率,幾乎收到文沒多久就會簽發憑證 (會寄email通知)。
掛載
一、取回已簽發憑證
憑證管理中心同意申請後,會寄發email通知
請您可以透過瀏覽器連線至GCP網站的"憑證查詢與下載"網頁進
此網頁的URL: https://gtlsca.nat.gov.tw/GCP/
點擊上方網址,出現下方表格依說明填寫即可。
擇一填寫即可以下載
二、修改簽發憑證格式CER to CRT
已下載簽發之SSL 伺服器軟體憑證*.cer為DER格式,你的伺服器不支援的話可以把他改為PEM編碼格式,例如:
三、下載中繼憑證
請至GTLSCA網站下載已經製作好的憑證串鏈檔案,格式為PEM編碼,下載網址為
https://gtlsca.nat.gov.tw/download/eCA1_GTLSCA.zip
將下載的eCA1_GTLSCA.zip解壓縮得到eCA1_GTLSCA.crt
四、掛載apache
把檔案放在指定位置,並修改設定檔(此例 /etc/httpd/conf.d/ssl.conf)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證
有關設定ssl的設定可以參考[2],也許能解決大家一些問題。
或是和ca合併有fullchain的憑證[3]
SSLCertificateFile /etc/pki/tls/certs/2021.10.fullchain.crt <==已簽發完整鍊結的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證
五、如果要移除密碼
六、重啟apache生效
# apachectl restart
檢測
使用瀏覽器檢視看憑證是否已上(一般而言是網址列前面的鎖頭符號)
可搜尋檢測ssl的網站,此例選用 qualys https://www.ssllabs.com/ssltest/
檢測結果
祝您申請順利。
參考資料
[1] https://gca.nat.gov.tw/download/GCA_Apache_CSR_and_INSTALL.pdf
[2] [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚
[3] https://community.letsencrypt.org/t/recommended-apache-config/58294/6
