[精讚] [會員登入]
1498

[CentOS8] GCP政府憑證申請及掛載

資安的關係開始要求各網站導入ssl,那就申請政府憑證吧

分享此文連結 //n.sfs.tw/15454

分享連結 [CentOS8] GCP政府憑證申請及掛載@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2023-10-03 09:47:56 最後編修
2021-10-26 10:29:17 By 張○○
 

自動目錄

只要是政府相關的網站,都可以申請政府憑證,不建議使用免費的或是自己購買,不僅浪費而且不合理。

政府憑證申請

如果你的網域是 gov.tw 或  edu.tw 都可以申請,憑證本身免費,效期一年。

除此之外網域亦可申請,但審核權在該單位,可參考QA的說明

一、到 GCP 政府憑證入口網

https://gcp.nat.gov.tw/index.html

點選「憑證申請」

 

二、選取「TLS類憑證申請」

進到憑證申請作業流程說明,到下方,選取「TLS類憑證申請」

 

三、選擇憑證申請方式

如果有GCAIC卡(單位憑證卡)的話可以直接開通

四、同意用戶約定條款

  讀完按同意就好

五、填寫申請內容

* 同一頁面下方上傳憑證,多台伺服器可以共用私鑰,只要傳一份就可以了。

* 萬用憑證申請不能

* 最多一筆100個網站

六、私鑰產生方式

詳細可參考[1],以下截錄重點:

產生私鑰 server.key 請委善保存

$ openssl genrsa -des3 -out server.key 2048

產生憑證請求檔

$ openssl req -new -key server.key -out server.csr

這個檔就是上面要上傳的檔案

六、發文給國家發展委員會

申請完畢後會產生一份申請表,將此申請表發文給「國家發展委員會」(選擇發文申請的話)。

靜待佳音,該單位非常有效率,幾乎收到文沒多久就會簽發憑證 (會寄email通知)。

 

掛載

一、取回已簽發憑證

憑證管理中心同意申請後,會寄發email通知

憑證管理中心特以此EMAIL通知貴用戶申請之憑證已簽發。

請您可以透過瀏覽器連線至GCP網站的"憑證查詢與下載"網頁進行憑證查詢與下載作業,
此網頁的URL:   https://gtlsca.nat.gov.tw/GCP/views/PEXE_Query/Query.CEXE
 

點擊上方網址,出現下方表格依說明填寫即可。

  擇一填寫即可以下載

二、修改簽發憑證格式CER to CRT

已下載簽發之SSL 伺服器軟體憑證*.cer為DER格式,你的伺服器不支援的話可以把他改為PEM編碼格式,例如:

$ openssl x509 -in server.cer -inform DER -out server.crt

 

三、下載中繼憑證

請至GTLSCA網站下載已經製作好的憑證串鏈檔案,格式為PEM編碼,下載網址為

https://gtlsca.nat.gov.tw/download/eCA1_GTLSCA.zip

將下載的eCA1_GTLSCA.zip解壓縮得到eCA1_GTLSCA.crt

 

四、掛載apache

把檔案放在指定位置,並修改設定檔(此例 /etc/httpd/conf.d/ssl.conf)

SSLCertificateFile /etc/pki/tls/certs/2021.10.crt  <==已簽發下載的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

有關設定ssl的設定可以參考[2],也許能解決大家一些問題。

或是和ca合併有fullchain的憑證[3]

SSLCertificateFile /etc/pki/tls/certs/2021.10.fullchain.crt  <==已簽發完整鍊結的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

 

五、如果要移除密碼

$ openssl rsa -in server.key -out server-nopass.key

 

六、重啟apache生效

# apachectl restart

 

檢測

使用瀏覽器檢視看憑證是否已上(一般而言是網址列前面的鎖頭符號)

可搜尋檢測ssl的網站,此例選用 qualys https://www.ssllabs.com/ssltest/

檢測結果

祝您申請順利。

 

參考資料

[1] https://gca.nat.gov.tw/download/GCA_Apache_CSR_and_INSTALL.pdf

[2] [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚

[3] https://community.letsencrypt.org/t/recommended-apache-config/58294/6

END

你可能感興趣的文章

台灣2024(民國113年)節慶國定假日 ics下載 找不到2024年的假日ics檔?沒關係,我自己做一個。

看懂DSUB DVI HDMI USB等各式影音接頭 看懂DSUB DVI HDMI等各式影音接頭

WD硬碟保固查詢及送修 送修壞掉的WD硬碟,這篇是過程記錄

超強姓名音譯網站 超級強,符合我所有需求

台灣2019節慶國定假日 ics下載 找不到2019的假日檔,沒關係,我自己做一個

[Firefox] 使用Firefox一次將頁面所有圖檔下載 使用Firefox一次將頁面所有圖檔下載的3個方法

我有話要說

>>

限制:留言最高字數1000字。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

[MAC] 截取螢幕畫面的方法 截取螢幕畫面的方法,在MAC中叫作螢幕快照,英文是screenshot

為什麼要重造輪子? 什麼輪子?造什麼輪子?我為什麼要重造輪子?

關閉瀏覽器表單的自動完成autocomplete 什麼是自動完成?就是當我們在網頁的輸入文字欄位中打入文字時,瀏覽器會把曾輸入過歷史記錄中找出來讓我們選擇。

兩次使用InnoDB的慘痛經驗 Mysql 的Innodb引擎雖然好用,但是我得說說我兩次的慘痛經驗,這讓我考慮以後可能不會再使用innodb了

[MYSQL] 設定字串欄位的預設值 新增表格的時候,字串欄位給予預設空值;數字欄位給預設數值;日期欄位給空值。