IBM Cloud Docs
管理原始憑證

管理原始憑證

起源憑證是由 IBM Cloud® Internet Services 簽發的免費 TLS 憑證,可加密您的起源伺服器與使用者之間的流量。 請訂購免費的 TLS 憑證以安裝在您的原點伺服器上。

CIS 原產地證書僅在 中使用有效。CIS

訂購原點憑證

若要訂購原始憑證,請提供憑證簽章請求 (CSR) 或選擇私密金鑰類型,以便 CIS 產生金鑰和 CSR。

在憑證所保護的原點上最多指定 100 個主機名稱(包括萬用字元)。 萬用字元只提供一層涵蓋面。 在相同憑證上使用多個萬用字元,以取得更廣泛的涵蓋面 (例如,*.yourdomain.com*.yoursubdomain.yourdomain.com)。CIS 原點憑證不允許 IP 位址。

請指定有效期限。 預設憑證有效期限為 15 年; 最短有效期限為 7 天。

只有在私密金鑰和 CSR 由 CIS 產生的情況下,您才可以在訂購證書後立即取得私密金鑰。

在伺服器上安裝原點憑證

Apache httpd

  1. 訂購原點憑證。

  2. 將 PEM 格式的私密金鑰和原始憑證複製成獨立檔案,到伺服器上存放金鑰和憑證檔案的目錄。

  3. 找出 Apache 配置檔。 通常,檔案名稱是 httpd.confapache2.conf,位置是 /etc/httpd//etc/apache2/。 不過,您的設定檔可能會有所不同,尤其是當您使用特殊介面來管理伺服器時。 請參考 Apache 的 DistrosDefaultLayout 以獲得完整的預設安裝佈局清單。 下列指令是在 Linux 上搜尋 SSL 配置檔的方法之一。

    grep -i -r "SSLCertificateFile" /etc/httpd/
    
  4. 找到要設定的 <VirtualHost> 區塊。 可選擇複製您網站現有的非安全虛擬主機,以便透過 HTTP 和 HTTPS 使用,因為每種類型的連線都需要虛擬主機。

  5. 為 SSL 設定 <VirtualHost> 區塊。 下列範例代表 SSL 的簡單配置。 使用憑證和私密金鑰的檔名。SSLCertificateFile 是原始 CA 憑證檔名,而 SSLCertificateKeyFile 是原始 CA 私密金鑰檔名。

    <VirtualHost 192.168.0.1:443>
      DocumentRoot             /var/www/html2
      ServerName               www.mydomain.com
      SSLEngine                on
      SSLCertificateFile       /path/to/your_domain_name.crt
      SSLCertificateKeyFile    /path/to/your_private.key
    </VirtualHost>
    
  6. 測試您的配置。 在重新啟動 Apache之前,請驗證您的配置檔沒有任何錯誤。 執行下列指令來測試您的配置。

    apachectl configtest
    
  7. 重新啟動 Apache。 執行下列指令來重新啟動 Apache 以及 SSL 支援。

    apachectl stop
    apachectl start
    

如果 SSL 支援未隨 apache start 載入,請執行 apachectl startssl 指令。 如果 Apache 使用 apachectl startssl 啟動時只有 SSL 支援,建議調整 Apache 啟動設定,在指令 apachectl start 中加入 SSL 支援。 否則,如果伺服器重新開機,您可能需要使用 apachectl startssl 手動重新啟動 Apache。 此重新啟動通常包括移除包圍您組態的 <IfDefine SSL></IfDefine SSL> 標籤。

NGINX

  1. 訂購原點憑證。

  2. 以 PEM 格式將私密金鑰及原點憑證複製到您在伺服器上保留金鑰及憑證檔之目錄中的個別檔案。

  3. 更新 NGINX 虛擬主機檔案。 編輯您網站的 NGINX 虛擬主機檔案。 下列範例代表 SSL 支援的伺服器區塊。 在伺服器區塊中的聆聽套接字上啟用 ssl 參數,以便您的網站可透過 HTTP 和 HTTPS 使用。

    server {
      listen    80;
      listen    443;
    
      ssl       on;
      ssl_certificate         /path/to/your_certificate.pem;
      ssl_certificate_key     /path/to/your_private.key;
      location / {
        root    /home/www/public_html/yourdomain.com/public/;
        index   index.html;
      }
    }
    
  4. 重新啟動 NGINX。 執行下列其中一項指令來重新啟動 NGINX。

    sudo /etc/init.d/nginx restart
    sudo systemctl restart nginx
    

Apache Tomcat

  1. 訂購原點憑證。

  2. 以 PKCS #7 格式 (cert.p7b) 將私密金鑰及原點憑證複製到您在伺服器上保留金鑰及憑證檔之目錄中的個別檔案。

    您必須將 SSL 憑證檔安裝到相同的 keystore,並安裝在您用來產生 CSR 的相同別名 (或「伺服器」) 下。 如果 SSL 憑證檔安裝到不同的 keystore,下一步的安裝就無法運作。

  3. 安裝憑證。 執行下列指令,將 SSL 憑證檔安裝到您的金鑰儲存庫。

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
    

    會出現確認訊息: 「憑證回覆已安裝在金鑰儲存庫中。」 如果詢問您是否信任該憑證,請輸入 yyes。 您的 keystore 檔案 ( your_site_name.jks ) 已準備好在 Tomcat 伺服器上使用。

  4. 配置「SSL 連接器」。 為 Tomcat 設定 SSL 連接器,使其能夠接受安全連線。

    1. 在文字編輯器中開啟 Tomcat server.xml 檔案。 server.xml 檔案通常位於 Tomcat 起始目錄的 conf 資料夾中。
    2. 識別用來保護新金鑰儲存庫安全的連接器。 通常使用具有埠 443 或 8443 的連接器。
    3. 移除可能圍繞連接器的任何註解標籤。
    4. 在連接器配置中更新正確的金鑰儲存庫檔名及密碼。

    下列範例代表已配置的「SSL 連接器」區塊。

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
    minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
    disableUploadTimeout="true" acceptCount="100" scheme="https"
    secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
    keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
    keystorePass="your_keystore_password" />
    

    如果您的 Tomcat 版本早於 Tomcat 7,請將 keystorePass 改為 keypass

  5. 儲存 server.xml 檔案。

  6. 重新啟動 Tomcat。

Microsoft Internet Information Services (IIS) 7.0

  1. 在 IIS Manager 中建立 CSR,並將其匯出為 .pem。 IIS Manager 位於「系統管理工具」下。

  2. 使用您的 CSR 訂購 CIS 原始憑證。

  3. 將原點憑證複製到伺服器的桌面。

  4. 開啟 IIS Manager,並在連線下選取您的伺服器主機名稱。

  5. 從中央功能表的 IIS 區段中,選取伺服器憑證

  6. 從「動作」功能表中,選取完成憑證要求動作。 在指定憑證管理中心回應頁面的包含憑證管理中心回應的檔名下,按一下 ... 以瀏覽至複製到桌面的 .cer 憑證檔,並選取該檔案,然後按一下開啟

  7. 輸入憑證的一般名稱。 一般名稱可識別該憑證。

  8. 選取確定,以完成伺服器的憑證安裝。

  9. 將憑證連結至您的網站。 在 IIS Manager 連線下的功能表中,展開您伺服器名稱下的網站,以選取您的網站。 從「動作」功能表中選取編輯網站下的連結。 從「網站連結」視窗中選取新增,並提交下列資訊。

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. 您的網站現在已配置為接受安全連線。

Microsoft Internet Information Services (IIS) 8.0 及 8.5

  1. 在 IIS Manager 中建立 CSR,並將其匯出為 .pem。 IIS Manager 位於「系統管理工具」下。

  2. 使用您的 CSR 訂購 CIS 原始憑證。

  3. 將原點憑證複製到伺服器的桌面。

  4. 開啟 IIS Manager,並在連線下選取您的伺服器主機名稱。

  5. 從中央功能表的 IIS 區段中,選取伺服器憑證

  6. 從「動作」功能表中,選取完成憑證要求動作。 在指定憑證管理中心回應頁面的包含憑證管理中心回應的檔名下,按一下 ... 以瀏覽至複製到桌面的 .cer 憑證檔,並選取該檔案,然後按一下開啟

  7. 輸入憑證的一般名稱。 一般名稱可識別該憑證。

  8. 選取確定,以完成伺服器的憑證安裝。

  9. 將憑證連結至您的網站。 在 IIS Manager 連線下的功能表中,展開您伺服器名稱下的網站,以選取您的網站。 從「動作」功能表中選取編輯網站下的連結。 從「網站連結」視窗中選取新增,並提交下列資訊。

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. 如果有多個使用 SSL 的網站綁定到相同的 IP 位址,可選擇設定 SSL 憑證使用伺服器名稱指示 (SNI)。 請選取需要伺服器名稱指示方框。

  11. 您的網站現在已配置為接受安全連線。

憑證鏈

在某些情況下,原始 Web 伺服器需要上傳憑證鏈。 使用這些鏈結來下載 ECCRSA 版本,然後將憑證鏈上傳至原始 Web 伺服器。

撤銷原點憑證

刪除您的 CIS 原始憑證。 無法復原此程序。