(二)快速產生CSR檔及私密金鑰檔
雖然我們可以在網頁伺服器中產生CSR及金鑰檔,但是過程相對較複雜,目前網路上有許多CSR的線上產生器,使用起來就簡單多了。
阿正老師便以「https://csrgenerator.com/」這個網站為例,教大家如何輕鬆產生這兩個檔案。
1.用瀏覽器開啟該網站後,會出現以下畫面,在各欄位中以英文輸入國家、洲、城市、組織(企業名、校名…)、部門及最重要的「Common Name」網域名稱(請不要加入特殊符號),最後點擊底下的CSR產生按鈕就可完成。
2.完成之後會出現以下畫面,裡面兩段由BASE64編碼而成的文字內容,下面從「—–BEGIN PRIVATE KEY—–」到「—–END PRIVATE KEY—–」這段就是所謂的「私密金鑰」(非常重要!),將這段文字用Ctrl+C複製起來(包括上下兩行以—開頭的文字),貼到「記事本」或其他文書編輯軟體並存檔,副檔名為(.key),例如private.key,請注意!這個檔案絕對要存放在非常安全的地方,不能弄丟! 不然到時候憑證簽署下來要是沒有這組金鑰,SSL憑證是沒有作用的!
再來把從「—–BEGIN CERTIFICATE REQUEST—–」到「—–END CERTIFICATE REQUEST—–」這段文字(其實就是CSR檔)用Ctrl+C複製起來(包括上下兩行以—開頭的文字),貼到剛才後台的CSR欄位(下一個步驟會介紹)。
(三)完成SSL憑證的申請
1.回到剛才的「設定SSL證書」畫面,在「CSR」的欄位中貼上剛才複製起來的內容,然後選擇伺服器的類型,再按下〔Get details from CSR〕就可以從CSR裡面取得剛才相關的申請資訊,並在下方有打*號的欄位補上相關的聯絡資訊(要填英文),來申請憑證。
※ CSR的內容僅供申請憑證用,完成申請之後就沒有用了,可以不必另外保存。
2.申請之後還需要網域的認證,讓認證機構確認這個網域是你擁有的。認證方式有三種:Email、File及DNS認證,只要填入你的信箱,系統就會寄送相關的認證資訊給你。例如阿正老師選的是DNS認證,會在信中請你加入一筆該網域的TXT紀錄。
3.例如阿正老師使用的是CloudFlare代管的DNS,因此只要照著信中的內容,到DNS設定畫面中,新增一筆TXT的紀錄,再點擊信中的驗證連結來進行驗證。
4.驗證成功之後,下方的「Status」就會出現綠色勾勾。
5.當驗證完成之後,回到遠振的管理後台,點擊產品裡面的Certum SSL加密憑證:
畫面上就會出現憑證的詳細資訊,按下〔Show Certificate〕按鈕就能查看核發下來的憑證了!
6.憑證一共會有三個檔案,分別是網站的X.509憑證、中繼憑證及根憑證,按下〔Save〕按鈕可以下載為.cer檔,再依照你的伺服器類型,將這幾個檔案及剛才的私密金鑰(private.key)分別安裝到伺服器中,網站就可以順利成為HTTPS的加密網站囉!
(四)憑證的檢查
以阿正老師自己的測試站為例,原本未安裝SSL之前,網址列前面出現的「不安全」字樣,可能會讓訪客望之卻步。
但是當我在遠振申請了Certum SSL並完成安裝之後,前方的「不安全」就變成了已加密的鎖頭圖示,點擊之後還可查看憑證的資訊,包括發給誰、簽發者以及有效期限,目前憑證最長就是一次簽發一年,必須每年申請,沒辦法像網域名稱那樣可以一次買好幾年,稍微有點麻煩。不過跟一次只有三個月效期的免費憑證來說,花一點小錢就可以省掉擔心每三個月憑證過期或更新失敗的困擾,也算是相當值得了!
如果你擔心SSL憑證沒有安裝完整(例如漏掉根憑證)而造成SSL憑證鏈的「斷鏈」,可以到SSLShopper的檢查網站來進行檢查,如果安裝錯誤的話會出現以下這種畫面,下方變成紅色斷掉的箭頭。
如果安裝正確,則會出現完整的憑證鏈,才算安裝成功。
六、結語
以上阿正老師從SSL的介紹、類型、購買到申請,大致上介紹了一遍,不過因為網站伺服器的類型相當多,SSL憑證的販售及啟用型態也不盡相同,無法一一介紹,如果你擁有自己的網站,或是負責經營公司、企業或學校的網站,都可以仔細地比較一番,挑選出最適合的數位憑證,讓網站變得更安全、更受訪客們信任!
###
【※本文係遠振資訊有償委託撰文】
