SSL申請 - HackMD

# SSL申請 [TOC] ## 憑證申請 [TWCA 憑證申請](https://online.twca.com.tw/RegServer/form.htm?type=SSL&mode=apply) 申請之後會產生一個PDF檔案，簽名後將 **報價單** 及 **憑證申請單** 寄予TWCA處理人(報價單上會有) ## 產生 key、scr 檔，並上傳後續會收到 scr 上傳的網址信，即可產⽣key和scr檔。 1. 產⽣ server.key ``` $ sudo openssl genrsa -out /sslkey/2023/server.key 2048 ``` 2. 產⽣ csr ``` $ sudo openssl req -new -key /sslkey/2023/server.key -out /sslkey/2023/server.csr ``` 輸入憑證資訊 ``` [Country Name (2 letter code) [XX]：TW [State or Province Name (full name)[]：TAIWAN [Locality Name (eg, city) [Default City]：TAIPEI [Organization Name (eg, company) [Default Company Ltd]：<公司名> [Organizational Unit Name (eg, section) []：<部門單位> [common Name (eg, your name or your server's hostname) []：*.winnie.com.tw [Email Address []：<聯絡信箱> Please enter the following ‘extra’ to be sent with your certificaterequest A challenge password［］： An optional company name［］： ``` 3. 上傳 csr 將 csr 的內容複製貼到驗證網址中，送出後等待驗證完成。驗證完成後，TWCA 會寄送檔案 **(cert.zip)** 至當初填寫的聯絡信箱，或是到 [TWCA-查詢用戶憑證](https://ssl2.twca.com.tw/NCWebSSL/search.htm?dns=&Submit=%B7j%B4M) 搜尋網站取得檔案 **(cert.zip)**。 ## 創建新憑證 cert.zip 內會包含 root.cer、server.cer、uca.cer，將這三個檔案上傳至server(路徑自訂)，並產生 **pem 密鑰**。 1. 打包中繼憑證 ``` $ sudo cp server.cer server.pem;cat uca.cer >> server.pem ``` 2. 合併伺服器憑證和中繼憑證 ``` $ sudo cat server.cer uca.cer > combine.cer ``` 3. 將合併的憑證轉為pem檔 ``` $ sudo cp combine.cer server.pem ``` :::info 可將產生的server.pem及server.key回傳至本機備份。 ::: ## 更換憑證到 nginx.conf 查詢要更換的 server.pem 及 server.key 位置，並進行更換。 ``` server{ ... ssl_certificate /usr/local/conf/twca/server.pem; ssl_certificate_key /usr/local/conf/twca/server.pem; ... } ``` 最後重新 reload nginx 後，在網⾴查詢憑證是否有更新即可。