[精讚] [會員登入]
2375

[CentOS8] GCP政府憑證申請及掛載

資安的關係開始要求各網站導入ssl,那就申請政府憑證吧

分享此文連結 //n.sfs.tw/15454

分享連結 [CentOS8] GCP政府憑證申請及掛載@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2023-10-03 09:47:56 最後編修
2021-10-26 10:29:17 By 張○○
 

自動目錄

只要是政府相關的網站,都可以申請政府憑證,不建議使用免費的或是自己購買,不僅浪費而且不合理。

政府憑證申請

如果你的網域是 gov.tw 或  edu.tw 都可以申請,憑證本身免費,效期一年。

除此之外網域亦可申請,但審核權在該單位,可參考QA的說明

一、到 GCP 政府憑證入口網

https://gcp.nat.gov.tw/index.html

點選「憑證申請」

 

二、選取「TLS類憑證申請」

進到憑證申請作業流程說明,到下方,選取「TLS類憑證申請」

 

三、選擇憑證申請方式

如果有GCAIC卡(單位憑證卡)的話可以直接開通

四、同意用戶約定條款

  讀完按同意就好

五、填寫申請內容

* 同一頁面下方上傳憑證,多台伺服器可以共用私鑰,只要傳一份就可以了。

* 萬用憑證申請不能

* 最多一筆100個網站

六、私鑰產生方式

詳細可參考[1],以下截錄重點:

產生私鑰 server.key 請委善保存

$ openssl genrsa -des3 -out server.key 2048

產生憑證請求檔

$ openssl req -new -key server.key -out server.csr

這個檔就是上面要上傳的檔案

六、發文給國家發展委員會

申請完畢後會產生一份申請表,將此申請表發文給「國家發展委員會」(選擇發文申請的話)。

靜待佳音,該單位非常有效率,幾乎收到文沒多久就會簽發憑證 (會寄email通知)。

 

掛載

一、取回已簽發憑證

憑證管理中心同意申請後,會寄發email通知

憑證管理中心特以此EMAIL通知貴用戶申請之憑證已簽發。

請您可以透過瀏覽器連線至GCP網站的"憑證查詢與下載"網頁進行憑證查詢與下載作業,
此網頁的URL:   https://gtlsca.nat.gov.tw/GCP/views/PEXE_Query/Query.CEXE
 

點擊上方網址,出現下方表格依說明填寫即可。

  擇一填寫即可以下載

二、修改簽發憑證格式CER to CRT

已下載簽發之SSL 伺服器軟體憑證*.cer為DER格式,你的伺服器不支援的話可以把他改為PEM編碼格式,例如:

$ openssl x509 -in server.cer -inform DER -out server.crt

 

三、下載中繼憑證

請至GTLSCA網站下載已經製作好的憑證串鏈檔案,格式為PEM編碼,下載網址為

https://gtlsca.nat.gov.tw/download/eCA1_GTLSCA.zip

將下載的eCA1_GTLSCA.zip解壓縮得到eCA1_GTLSCA.crt

 

四、掛載apache

把檔案放在指定位置,並修改設定檔(此例 /etc/httpd/conf.d/ssl.conf)

SSLCertificateFile /etc/pki/tls/certs/2021.10.crt  <==已簽發下載的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

有關設定ssl的設定可以參考[2],也許能解決大家一些問題。

或是和ca合併有fullchain的憑證[3]

SSLCertificateFile /etc/pki/tls/certs/2021.10.fullchain.crt  <==已簽發完整鍊結的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

 

五、如果要移除密碼

$ openssl rsa -in server.key -out server-nopass.key

 

六、重啟apache生效

# apachectl restart

 

檢測

使用瀏覽器檢視看憑證是否已上(一般而言是網址列前面的鎖頭符號)

可搜尋檢測ssl的網站,此例選用 qualys https://www.ssllabs.com/ssltest/

檢測結果

祝您申請順利。

 

參考資料

[1] https://gca.nat.gov.tw/download/GCA_Apache_CSR_and_INSTALL.pdf

[2] [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚

[3] https://community.letsencrypt.org/t/recommended-apache-config/58294/6

END

你可能感興趣的文章

使用Wayback machine來查看以前的網站 你以前的網站長什麼樣子,想必你一定記得,但是越來越模糊,還好有人幫你把他記錄下來

用Nibbler檢視你的網站優缺點 用Nibbler檢視你的網站存取能力、seo、社交媒體和技術

[Gigapixels] 一億二千萬畫素初試 第一次用我的canon500D拍出一億二千萬畫素的照片

YAHOO 拒絕我的mail:spamhaus's list 有人反應yahoo收不到信,因為該ip被列入spamhaus's list

網路是平的?所以競爭來自四面八方! 在二十世紀末的時候,網際網路的出現改變了這個世界。但不表示你可以分一杯羹。

好用的3+2碼郵遞區號查詢系統推薦 網路上找到用地址輸入判斷3+2碼郵遞區號的辨識率不高,除了這個網站…

隨機好文

沒有非誰做不可的事,也沒有不可被取代的人 沒有非誰做不可的事,也沒有不可被取代的人

PHP for sphinx 函式庫安裝 PECL/sphinx PHP>= 5.2.2 已經能原生支援 sphinx,可是預設的沒有裝,我們得自己裝才能用

詭異的創業思維 創業的思維中,有多少銀彈,有多少技術,有多少人脈,有多少時間等等,每個都要考慮進去,以熱忱建立的關係脆弱的像蘇打餅乾一樣..

[Bootstrap] Datepicker使用/Bootstrap日期選日期選擇器的使用 Bootstrap日期選日期選擇器的使用

此一時彼一時 我是不是易怒的人,其實我也不知道,總之我常會失控,不知道自己在幹嘛。這近生活過得浮浮的,不是很踏實,總會想太多,我甚至會