[精讚] [會員登入]
1956

[CentOS8] GCP政府憑證申請及掛載

資安的關係開始要求各網站導入ssl,那就申請政府憑證吧

分享此文連結 //n.sfs.tw/15454

分享連結 [CentOS8] GCP政府憑證申請及掛載@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2023-10-03 09:47:56 最後編修
2021-10-26 10:29:17 By 張○○
 

自動目錄

只要是政府相關的網站,都可以申請政府憑證,不建議使用免費的或是自己購買,不僅浪費而且不合理。

政府憑證申請

如果你的網域是 gov.tw 或  edu.tw 都可以申請,憑證本身免費,效期一年。

除此之外網域亦可申請,但審核權在該單位,可參考QA的說明

一、到 GCP 政府憑證入口網

https://gcp.nat.gov.tw/index.html

點選「憑證申請」

 

二、選取「TLS類憑證申請」

進到憑證申請作業流程說明,到下方,選取「TLS類憑證申請」

 

三、選擇憑證申請方式

如果有GCAIC卡(單位憑證卡)的話可以直接開通

四、同意用戶約定條款

  讀完按同意就好

五、填寫申請內容

* 同一頁面下方上傳憑證,多台伺服器可以共用私鑰,只要傳一份就可以了。

* 萬用憑證申請不能

* 最多一筆100個網站

六、私鑰產生方式

詳細可參考[1],以下截錄重點:

產生私鑰 server.key 請委善保存

$ openssl genrsa -des3 -out server.key 2048

產生憑證請求檔

$ openssl req -new -key server.key -out server.csr

這個檔就是上面要上傳的檔案

六、發文給國家發展委員會

申請完畢後會產生一份申請表,將此申請表發文給「國家發展委員會」(選擇發文申請的話)。

靜待佳音,該單位非常有效率,幾乎收到文沒多久就會簽發憑證 (會寄email通知)。

 

掛載

一、取回已簽發憑證

憑證管理中心同意申請後,會寄發email通知

憑證管理中心特以此EMAIL通知貴用戶申請之憑證已簽發。

請您可以透過瀏覽器連線至GCP網站的"憑證查詢與下載"網頁進行憑證查詢與下載作業,
此網頁的URL:   https://gtlsca.nat.gov.tw/GCP/views/PEXE_Query/Query.CEXE
 

點擊上方網址,出現下方表格依說明填寫即可。

  擇一填寫即可以下載

二、修改簽發憑證格式CER to CRT

已下載簽發之SSL 伺服器軟體憑證*.cer為DER格式,你的伺服器不支援的話可以把他改為PEM編碼格式,例如:

$ openssl x509 -in server.cer -inform DER -out server.crt

 

三、下載中繼憑證

請至GTLSCA網站下載已經製作好的憑證串鏈檔案,格式為PEM編碼,下載網址為

https://gtlsca.nat.gov.tw/download/eCA1_GTLSCA.zip

將下載的eCA1_GTLSCA.zip解壓縮得到eCA1_GTLSCA.crt

 

四、掛載apache

把檔案放在指定位置,並修改設定檔(此例 /etc/httpd/conf.d/ssl.conf)

SSLCertificateFile /etc/pki/tls/certs/2021.10.crt  <==已簽發下載的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

有關設定ssl的設定可以參考[2],也許能解決大家一些問題。

或是和ca合併有fullchain的憑證[3]

SSLCertificateFile /etc/pki/tls/certs/2021.10.fullchain.crt  <==已簽發完整鍊結的憑證(PEM格式)
SSLCertificateKeyFile /etc/pki/tls/private/2021.10.priv.key <==私鑰
SSLCACertificateFile /etc/pki/tls/certs/eCA1_GTLSCA.crt <==中繼憑證

 

五、如果要移除密碼

$ openssl rsa -in server.key -out server-nopass.key

 

六、重啟apache生效

# apachectl restart

 

檢測

使用瀏覽器檢視看憑證是否已上(一般而言是網址列前面的鎖頭符號)

可搜尋檢測ssl的網站,此例選用 qualys https://www.ssllabs.com/ssltest/

檢測結果

祝您申請順利。

 

參考資料

[1] https://gca.nat.gov.tw/download/GCA_Apache_CSR_and_INSTALL.pdf

[2] [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚

[3] https://community.letsencrypt.org/t/recommended-apache-config/58294/6

END

你可能感興趣的文章

[EXCEL] 直接把表格變成圖片 要把表格變成圖片不用抓圖,只要簡單的幾步

網路是平的?所以競爭來自四面八方! 在二十世紀末的時候,網際網路的出現改變了這個世界。但不表示你可以分一杯羹。

台灣2019節慶國定假日 ics下載 找不到2019的假日檔,沒關係,我自己做一個

使用Wayback machine來查看以前的網站 你以前的網站長什麼樣子,想必你一定記得,但是越來越模糊,還好有人幫你把他記錄下來

手動清除 Firefox, Chrome的DNS cache Firefox, Chrome上有別於系統的DNS cache,有時會造成使用者刷新到舊的網頁

UTF8中文字/全形一覽 快速查詢urf-8的中文字,共計13246中文字(5401常用字+7652罕用字+日文或編號),292全形符號,27半形符號。

隨機好文

[HP DL380G7] 生效啟動第3,4片網卡/開啟或關閉內建的網卡 HP DL380G7 預設第3,4片網卡裝完系統後找不到,難道是壞了?要怎麼辦?

[Freebsd] 使用 ADSL 撥接上網 Freebsd上要使用 ADSL 撥接上網,該如何設定?

[札記] 2016.7~12月札記 札記,只是札記

UTF8中文字/全形一覽 快速查詢urf-8的中文字,共計13246中文字(5401常用字+7652罕用字+日文或編號),292全形符號,27半形符號。

NETCRAFT發現你的網站及作業系統 NETCRAFT可以發現你的網站及作業系統