?? s1-secureserver-generatingkey.html
字號:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><HTML><HEAD><TITLE>生成鑰匙</TITLE><METANAME="GENERATOR"CONTENT="Modular DocBook HTML Stylesheet Version 1.76b+"><LINKREL="HOME"TITLE="Red Hat Linux 9"HREF="index.html"><LINKREL="UP"TITLE="Apache HTTP 安全服務器配置"HREF="ch-httpd-secure-server.html"><LINKREL="PREVIOUS"TITLE="證書類型"HREF="s1-secureserver-certs.html"><LINKREL="NEXT"TITLE="生成發送給 CA 的證書請求"HREF="s1-secureserver-generatingcsr.html"><LINKREL="STYLESHEET"TYPE="text/css"HREF="rhdocs-man.css"><METAHTTP-EQUIV="Content-Type"CONTENT="text/html; charset=gb2312"></HEAD><BODYCLASS="SECT1"BGCOLOR="#FFFFFF"TEXT="#000000"LINK="#0000FF"VLINK="#840084"ALINK="#0000FF"><DIVCLASS="NAVHEADER"><TABLESUMMARY="Header navigation table"WIDTH="100%"BORDER="0"CELLPADDING="0"CELLSPACING="0"><TR><THCOLSPAN="3"ALIGN="center">Red Hat Linux 9: Red Hat Linux 定制指南</TH></TR><TR><TDWIDTH="10%"ALIGN="left"VALIGN="bottom"><AHREF="s1-secureserver-certs.html"ACCESSKEY="P">后退</A></TD><TDWIDTH="80%"ALIGN="center"VALIGN="bottom">20. Apache HTTP 安全服務器配置</TD><TDWIDTH="10%"ALIGN="right"VALIGN="bottom"><AHREF="s1-secureserver-generatingcsr.html"ACCESSKEY="N">前進</A></TD></TR></TABLE><HRALIGN="LEFT"WIDTH="100%"></DIV><DIVCLASS="SECT1"><H1CLASS="SECT1"><ANAME="S1-SECURESERVER-GENERATINGKEY"></A>20.6. 生成鑰匙</H1><P> 你必須是根用戶才能生成鑰匙。 </P><P> 首先,<TTCLASS="COMMAND">cd</TT> 到 <TTCLASS="FILENAME">/etc/httpd/conf</TT> 目錄中,使用下面的命令刪除在安裝中生成的假鑰匙和證書: </P><TABLECLASS="SCREEN"BGCOLOR="#DCDCDC"WIDTH="100%"><TR><TD><PRECLASS="SCREEN"><TTCLASS="COMMAND">rm ssl.key/server.key</TT><TTCLASS="COMMAND">rm ssl.crt/server.crt</TT></PRE></TD></TR></TABLE><P> 其次,你需要生成你自己的隨機鑰匙。改換到 <TTCLASS="FILENAME">/usr/share/ssl/certs</TT> 目錄中,鍵入以下命令: </P><TABLECLASS="SCREEN"BGCOLOR="#DCDCDC"WIDTH="100%"><TR><TD><PRECLASS="SCREEN"><TTCLASS="COMMAND">make genkey</TT></PRE></TD></TR></TABLE><P> 你的系統會顯示和以下輸出相似的消息: </P><TABLECLASS="SCREEN"BGCOLOR="#DCDCDC"WIDTH="100%"><TR><TD><PRECLASS="SCREEN"><TTCLASS="COMPUTEROUTPUT">umask 77 ; \/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.keyGenerating RSA private key, 1024 bit long modulus.......++++++................................................................++++++e is 65537 (0x10001)Enter PEM pass phrase:</TT></PRE></TD></TR></TABLE><P> 現在,你需要鍵入口令句。要獲得最佳安全性,你的口令應至少包括八個字符,包括數字和標點,且不是詞典中的現成詞匯。另外請記住,你的口令是區分大小寫的。 </P><DIVCLASS="NOTE"><P></P><TABLECLASS="NOTE"WIDTH="100%"BORDER="0"><TR><TDWIDTH="25"ALIGN="CENTER"VALIGN="TOP"><IMGSRC="./stylesheet-images/note.png"HSPACE="5"ALT="注記"></TD><THALIGN="LEFT"VALIGN="CENTER"><B>注記</B></TH></TR><TR><TD> </TD><TDALIGN="LEFT"VALIGN="TOP"><P> 你在每次啟動安全服務器的時候都需要輸入這個口令,因此請將它牢記在心。 </P></TD></TR></TABLE></DIV><P> 重新鍵入口令來校驗它是否正確。一旦你正確地鍵入了,一個包括你的鑰匙,叫做 <TTCLASS="FILENAME">>/etc/httpd/conf/ssl.key/server.key</TT> 的文件就會被創建。 </P><P> 注意,如果你不想在每次啟動安全服務器的時候都輸入口令,你將需要下面這兩條命令,而不是 <TTCLASS="COMMAND">make genkey</TT> 來創建鑰匙。 </P><P> 使用下面的命令來創建你的鑰匙: </P><TABLECLASS="SCREEN"BGCOLOR="#DCDCDC"WIDTH="100%"><TR><TD><PRECLASS="SCREEN"><TTCLASS="COMMAND">/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key</TT></PRE></TD></TR></TABLE><P> 然后使用這條命令來確定鑰匙的權限被正確設置: </P><TABLECLASS="SCREEN"BGCOLOR="#DCDCDC"WIDTH="100%"><TR><TD><PRECLASS="SCREEN"><TTCLASS="COMMAND">chmod go-rwx /etc/httpd/conf/ssl.key/server.key</TT></PRE></TD></TR></TABLE><P> 在你使用以上命令創建鑰匙后,你將不需要使用口令句來啟動安全服務器。 </P><DIVCLASS="CAUTION"><P></P><TABLECLASS="CAUTION"WIDTH="100%"BORDER="0"><TR><TDWIDTH="25"ALIGN="CENTER"VALIGN="TOP"><IMGSRC="./stylesheet-images/caution.png"HSPACE="5"ALT="小心"></TD><THALIGN="LEFT"VALIGN="CENTER"><B>小心</B></TH></TR><TR><TD> </TD><TDALIGN="LEFT"VALIGN="TOP"><P> 在你的安全服務器中禁用口令功能是一種安全風險。我們不提倡你禁用安全服務器的口令功能。 </P></TD></TR></TABLE></DIV><P> 不使用口令所造成的問題和主機的安全維護休戚相關。譬如,若有人危害了主機上的常規 UNIX 安全系統,他就可以獲取你的密鑰(<TTCLASS="FILENAME">server.key</TT> 文件的內容)。該鑰匙可以用來提供似乎是來自你的安全服務器的網頁。 </P><P> 如果 UNIX 安全系統在主機上被認真維護(及時安裝操作系統的補丁和更新;不操作不必要的或冒險的服務等等),安全服務器的口令可能就不是很必要。然而,由于你的安全服務器應該沒必要被頻繁重新啟動,輸入口令所能帶來的額外保險在多數情況下是值得一行的。 </P><P> <TTCLASS="FILENAME">server.key</TT> 文件應該被系統的根用戶擁有,不應該被其它用戶訪問。給該文件備份,將備份副本存放在安全之處。你需要備份的原因是,如果你在使用鑰匙創建了證書請求后丟失了 <TTCLASS="FILENAME">server.key</TT> 文件,你的證書就不會再生效,而 CA 對此也愛莫能助。你只能再申請(并購買)一份新證書。 </P><P> 如果你打算從 CA 處購買證書,請繼續閱讀<AHREF="s1-secureserver-generatingcsr.html">第 20.7 節</A>。如果你打算生成 自簽的證書,請繼續閱讀<AHREF="s1-secureserver-selfsigned.html">第 20.8 節</A>。 </P></DIV><DIVCLASS="NAVFOOTER"><HRALIGN="LEFT"WIDTH="100%"><TABLESUMMARY="Footer navigation table"WIDTH="100%"BORDER="0"CELLPADDING="0"CELLSPACING="0"><TR><TDWIDTH="33%"ALIGN="left"VALIGN="top"><AHREF="s1-secureserver-certs.html"ACCESSKEY="P">后退</A></TD><TDWIDTH="34%"ALIGN="center"VALIGN="top"><AHREF="index.html"ACCESSKEY="H">起點</A></TD><TDWIDTH="33%"ALIGN="right"VALIGN="top"><AHREF="s1-secureserver-generatingcsr.html"ACCESSKEY="N">前進</A></TD></TR><TR><TDWIDTH="33%"ALIGN="left"VALIGN="top">證書類型</TD><TDWIDTH="34%"ALIGN="center"VALIGN="top"><AHREF="ch-httpd-secure-server.html"ACCESSKEY="U">上級</A></TD><TDWIDTH="33%"ALIGN="right"VALIGN="top">生成發送給 CA 的證書請求</TD></TR></TABLE></DIV></BODY></HTML>?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -