假如您從 Red Hat Linux 所提供的 RPM 套件安裝您的安全伺服器,將會產生一把亂數的金鑰以及一個測試(test)的憑證,並且放置到適當的目錄下。 然而在您開始使用您的安全伺服器前,您必須產生您自己的金鑰,並取得能夠正確辨識您伺服器的一個憑證。
您需要一把金鑰與一個憑證來運作您的安全伺服器 — 也就是說,您可以選擇要產生一個自我簽署的憑證或從一個 CA 購買一個 CA 認證的憑證。 那麼這兩種有何不同呢?
一個 CA 簽署的憑證為您的伺服器提供兩種重要的功能:
瀏覽器(通常)能夠自動辨識憑證,並且在不提示使用者的情況下允許進行安全的連線。
當一個 CA 發放一個簽署的憑證時,他們也負責保證提供這個網頁給瀏覽器的組織身份識別。
假如您的安全伺服器大多是被公眾存取,您的安全伺服器需要一個由 CA 簽署的憑證,使得拜訪您網站的人知道該網站是由聲稱擁有它的組織所擁有。 在簽署一個憑證之前,CA 會先確認要求憑證之組織確實是該組織。
大部分的支援 SSL 的網頁瀏覽器都有它們自動接受憑證的 CA 清單。 假如瀏覽器遇到認證憑證的 CA 不在清單中,瀏覽器將會詢問使用者是否要接受或拒絕連線。
您可以為您的安全伺服器產生一個自我簽署的憑證,不過請特別注意,一個自我簽署的憑證並不提供與一個 CA 簽署之憑證相同的功能性。 一個自我簽署的憑證並無法被大部分的網頁瀏覽器自動辨識,而且一個自我簽署的憑證並不對提供該網站之組織身份識別提供任何的保證。 一個 CA 簽署的憑證同時為您的安全伺服器提供這兩種重要的功能,假如您的安全伺服器將使用在生產的環境中,您或許需要一個 CA 簽署的憑證。
從一個 CA 取得一個憑證的過程相當簡單,以下有簡單的概要:
建立一組用作加密的私鑰與公鑰金鑰環。
依據公鑰建立一個憑證要求,該憑證要求必須含有關於您伺服器以及管理公司的資訊。
傳送憑證要求並附上證明您身份的文件到一個 CA,我們無法告訴您該選擇那一個憑證機構,您可以根據您之前的經驗或您朋友同事的經驗或者純粹是金錢的因素來做這個決定。
一旦您決定好一個 CA 後,您將需要遵從他們提供的指示來從他們取得一個憑證。
當 CA 滿意您確實是您本人時,他們將會寄給您一個數位憑證。
安裝這個憑證到您的安全伺服器,然後便可以開始處理安全的通訊。
不管您是從一個 CA 取得一個憑證或產生您自我簽署的憑證,第一個步驟便是產生一把金鑰,請看 菴 20.6 節 以取得如何產生一把金鑰的指示。