2020-08-30

如何在 Apache 安裝中華電信 SSL 憑證

本次任務是在 Apache 環境,為網站安裝中華電信的 SSL 憑證,我不解為何官方的說明文件可以寫得這麼複雜 😐,anyway, 最後依手上得到的檔案成功安裝憑證了,紀錄一下過程。

中華電信會提供三個檔案,分別是:

  1. 根憑證 (eCA ->PublicCA2_64.crt)
  2. 中繼憑證 (Publice CA ->ROOTeCA_64.crt)
  3.  SSL 憑證 (CABAK.pfx)
其中 CABAK.pfx 需要密碼才能解出需要的 server.crt 與 server.key

要安裝在 Apache 沒有在 IIS 這麼方便能一鍵安裝,需要先將 SSL 憑證(CABAK.pfx)轉檔,才可得到 server.crt and server.key。步驟如下:

  1. 透過 openssl,安裝這個版本 (Win64 OpenSSL v1.1.1g),exe 檔即可。
  2. 安裝完 openssl,請至程式目錄把 openssl 指令的執行檔複製到憑證的根目錄。

3. 以系統管理員執行剛複製到 ssl資料夾中的 openssl.exe

4. 取得 server. crt

指令:pkcs12 -in CABAK.pfx -out server.crt -nodes
按 enter 後請輸入密碼,輸入過程中沒動靜是正常的(游標不會隨著輸入字元而移動,會以為沒在敲鍵盤),打完按 enter, 目錄就多一個 crt 憑證了。

5. 同理,取得 server.key

指令:pkcs12 -in CABAK.pfx -out server.key -nodes

6. 轉檔完根目錄就多出兩個憑證檔,分別是 server.crt 及 server.key

7. 複製 PublicCA2_6.crt,並重新命名為 ca-bundle.crt,這樣就不用再修改 apache 的 httpd_ssl.conf。這純粹是因為我懶,本來文字檔命名就是ca-bundle。不要重新命名也可以,但要記得到 httpd_ssl.conf 去更改中繼憑證的檔名。

8. 最後,替換資料夾的舊檔,重啟 Apache 即完成更新。
注意:建議舊憑證先不要改檔名覆蓋,以免憑證有問題無法還原 😭

將舊檔加上前綴詞 bk 做識別
將舊檔加上前綴詞 bk 做識別

補充:如何安裝政府憑證(GTLSCA)

若網站的公家機關所有,要使用政府憑證,在政府憑證入口網下載 GTLSCA憑證串鍊,會包含根憑證ROOTeCA_64.crt及中繼憑證eCA1_to_eCA2-New.crt、GTLSCA.crt

GTLSCA憑證串鍊

步驟跟之前大同小異,從 CABAK.pfx 解出 server.crt and server.key 後,只有兩個地方不同:

1. 把 eCA1_to_eCA2-New.crt 重新命名為 ca-bundle.crt

2. 把 GTLSCA.crt 的內容複製貼上到 server.crt

參考來源:Apache SSL 憑證請求檔製作與憑證安裝手冊

延伸閱讀:

Xampp 如何安裝 SSL 憑證

強制將 http 導向 https

請我喝杯咖啡吧 ^^

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

PeiYing Tsai
author
愛藝術,喜歡以科技解決問題的數位產品設計師。 堅持信念,任何困難事,必有搞定的一天,Just try it! 隨手紀錄日常學習到的知識心得,希望對妳/你有幫助。
coffee-cup linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram