[精讚] [會員登入]
1611

[CentOS8] GCP政府憑證申請及掛載

資安的關係開始要求各網站導入ssl,那就申請政府憑證吧

分享此文連結 //n.sfs.tw/15454

分享連結 [CentOS8] GCP政府憑證申請及掛載@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2023-10-03 09:47:56 最後編修
2021-10-26 10:29:17 By 張○○
 

自動目錄

只要是政府相關的網站,都可以申請政府憑證,不建議使用免費的或是自己購買,不僅浪費而且不合理。

政府憑證申請

如果你的網域是 gov.tw 或  edu.tw 都可以申請,憑證本身免費,效期一年。

除此之外網域亦可申請,但審核權在該單位,可參考QA的說明

一、到 GCP 政府憑證入口網

https://gcp.nat.gov.tw/index.html

點選「憑證申請」

 

二、選取「TLS類憑證申請」

進到憑證申請作業流程說明,到下方,選取「TLS類憑證申請」

 

三、選擇憑證申請方式

如果有GCAIC卡(單位憑證卡)的話可以直接開通

四、同意用戶約定條款

  讀完按同意就好

五、填寫申請內容

* 同一頁面下方上傳憑證,多台伺服器可以共用私鑰,只要傳一份就可以了。

* 萬用憑證申請不能

* 最多一筆100個網站

六、私鑰產生方式

詳細可參考[1],以下截錄重點:

產生私鑰 server.key 請委善保存

$ openssl genrsa -des3 -out server.key 2048

產生憑證請求檔

$ openssl req -new -key server.key -out server.csr

這個檔就是上面要上傳的檔案

六、發文給國家發展委員會

申請完畢後會產生一份申請表,將此申請表發文給「國家發展委員會」(選擇發文申請的話)。

靜待佳音,該單位非常有效率,幾乎收到文沒多久就會簽發憑證 (會寄email通知)。

 

掛載

一、取回已簽發憑證

憑證管理中心同意申請後,會寄發email通知

憑證管理中心特以此EMAIL通知貴用戶申請之憑證已簽發。

請您可以透過瀏覽器連線至GCP網站的"憑證查詢與下載"網頁進行憑證查詢與下載作業,
此網頁的URL:   https://gtlsca.nat.gov.tw/GCP/views/PEXE_Query/Query.CEXE
 

點擊上方網址,出現下方表格依說明填寫即可。

  擇一填寫即可以下載

二、修改簽發憑證格式CER to CRT

已下載簽發之SSL 伺服器軟體憑證*.cer為DER格式,你的伺服器不支援的話可以把他改為PEM編碼格式,例如:

$ openssl x509 -in server.cer -inform DER -out server.crt

 

三、下載中繼憑證

請至GTLSCA網站下載已經製作好的憑證串鏈檔案,格式為PEM編碼,下載網址為

https://gtlsca.nat.gov.tw/download/eCA1_GTLSCA.zip

將下載的eCA1_GTLSCA.zip解壓縮得到eCA1_GTLSCA.crt

 

四、掛載apache

把檔案放在指定位置,並修改設定檔(此例 /etc/httpd/conf.d/ssl.conf)

SSLCertificateFile /etc/pki/tls/certs/2021.10.crt  <==已簽發下載的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

有關設定ssl的設定可以參考[2],也許能解決大家一些問題。

或是和ca合併有fullchain的憑證[3]

SSLCertificateFile /etc/pki/tls/certs/2021.10.fullchain.crt  <==已簽發完整鍊結的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

 

五、如果要移除密碼

$ openssl rsa -in server.key -out server-nopass.key

 

六、重啟apache生效

# apachectl restart

 

檢測

使用瀏覽器檢視看憑證是否已上(一般而言是網址列前面的鎖頭符號)

可搜尋檢測ssl的網站,此例選用 qualys https://www.ssllabs.com/ssltest/

檢測結果

祝您申請順利。

 

參考資料

[1] https://gca.nat.gov.tw/download/GCA_Apache_CSR_and_INSTALL.pdf

[2] [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚

[3] https://community.letsencrypt.org/t/recommended-apache-config/58294/6

END

你可能感興趣的文章

來自網路的爬蟲分析 分析最近來自網路上的爬蟲

[EXCEL] 直接把表格變成圖片 要把表格變成圖片不用抓圖,只要簡單的幾步

[GITLAB] 讓git可以用ssh push,解決 Permission denied (publickey).的問題 在使用git push資料的時候發生 Permission denied (publickey).的問題,有沒有解法?

使用Wayback machine來查看以前的網站 你以前的網站長什麼樣子,想必你一定記得,但是越來越模糊,還好有人幫你把他記錄下來

看懂DSUB DVI HDMI USB等各式影音接頭 看懂DSUB DVI HDMI等各式影音接頭

移除google 的頁庫存檔--移除在google中保存的網頁資料 我的網頁或文件被google保存了,但我不想給別人下載要怎麼做?

我有話要說

>>

限制:留言最高字數1000字。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

[MAC] 截取螢幕畫面的方法 截取螢幕畫面的方法,在MAC中叫作螢幕快照,英文是screenshot

SELinux 常用指令和檔案 在Redhat系列中,Centos5以後加入了selinux,他並沒有這麼可怕,不必每次看到Selinux ,就想把他

安裝SPHINX支援中文 新版本的 sphinx 和舊版不同,網路上很多範例和教學是不能用的。此文是安裝和設定方法分享

[Win7] 燒錄 iso 檔 在Windows7 中內建燒錄程式,可以直接把檔案拉到光碟機裡,再執行燒錄。

[PHP] 檢查檔案是否是圖檔 使用getimagesize函數檢查檔案是否是圖檔