步驟一: 使用 OpenSSL 產生憑證要求
以下的檔案名記得加附檔名
- 使用 .conf (配置檔案) 來產生 csr 跟 key 檔案
new-nodes-sha256-utf8-newkey rsa:2048-keyout [key 檔案名稱]-out [csr 檔案名稱]-config [ssl 檔案名稱]
範例 .conf 檔案:
表示生成一個新的 CSR。
這個參數告訴 OpenSSL 不要加密生成的私鑰檔案。通常,私鑰會被加密並需要一個密碼,但這個參數允許生成的私鑰不需要密碼保護。
指定使用 SHA-256 雜湊演算法來生成 CSR 的數位簽章。這是目前常用的雜湊演算法,因為它比 SHA-1 更安全。
使用 UTF-8 編碼來處理 CSR 中的文字,這樣可以支援多語言或特殊字符的編碼。
指定生成一個新的 RSA 私鑰,並且密鑰長度為 2048 位元。這是一個常見的加密密鑰長度,提供較高的安全性。
指定將生成的私鑰儲存到
[key 檔案名稱] 所指的檔案中。指定將生成的 CSR 儲存到
[csr 檔案名稱] 所指的檔案中。指定一個 OpenSSL 配置檔案來定義 CSR 的內容,比如主題資訊 (如組織名稱、國家、主機名稱等) 和擴展選項 (如主體備選名稱)。
步驟二: 前往 AD CA 簽發此憑證要求
- 上面完成後會產生 csr 檔案
- 前往 AD CA 伺服器要求憑證
- 點選進階憑證要求,並將 csr 檔案內容複製上去
- 下載產生的 crt 檔案 (base64 格式)
步驟三: 設定 nginx
- 設定以下 nginx.con