申請並安裝新的簽章憑證

如果現行簽章憑證已到期或即將到期,您可以向憑證管理中心申請新的簽章憑證。

關於這項作業

註: 變更系統憑證會變更任何已配置的金鑰伺服器在系統內具有的信任。請將系統憑證匯出至金鑰伺服器,以在系統中重新建立金鑰伺服器信任。

在管理 GUI 中,選取設定 > 安全 > 安全通訊,然後選取已簽章的憑證,並填寫表單來為您的系統申請已簽章的憑證。從憑證管理中心收到憑證之後,請使用此畫面將憑證安裝在系統上。

程序

  1. 在指令行介面中,輸入下列指令來建立新的憑證申請: 
    chsystemcert -mkrequest -keytype ecdsa521 -country GB -state Hampshire -locality Hursley -org MYCO -orgunit Storage -commonname svcsystem1.myco.com -email admin@myco.com
    憑證申請會自動寫入 /dumps/certificate.csr

    Chrome 瀏覽器及其他瀏覽器需要主體替代名稱,這是公開金鑰憑證的網際網路標準延伸。「主體替代名稱」延伸用於匹配網域名稱與站台憑證,可以是電子郵件位址、IP 位址、URI 或 DNS 名稱。憑證可以包含這些值的集合,以便此憑證可在多個站台上使用。

    例如,如果要將 DNS 名稱新增至「主體替代名稱」延伸,請在 chsystemcert CLI 指令中包括下列參數:-subjectalternativename "DNS:dns.mysystem.com"。對於多個值,請使用建議的定界字元來區隔 -subjectalternativename 參數的每個項目。定界字元可以混合使用:
    表 1. 建議的定界字元
    定界字元名稱 Symbol 範例
    空格 ( 空格) -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com"
    逗點 (,) -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com"
    分號 (;) -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com"
    新行(適用於 Linux 或 UNIX 作業系統) (\n) -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com"
    定位點(適用於 Linux 或 UNIX 作業系統) (\t) -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com"
    換行(適用於 Windows 作業系統) (\r) -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com"
    換行及新行(適用於 Windows 作業系統) (\r\n) -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com"
    如需受支援定界字元的相關資訊,請參閱 chsystemcert CLI 指令。
  2. 使用安全複製 (scp) 從系統中複製檔案 /dumps/certificate.csr,並將此檔案傳送到憑證管理中心 (CA) 來簽署。憑證管理中心會傳回已簽章的憑證。收到憑證之後,請使用 scp 將憑證複製回到系統中的檔案 /dumps/certificate.cer,其中 certificate.cer 是憑證的名稱。
  3. 將憑證複製到系統後,輸入下列指令將憑證安裝在系統上。
    chsystemcert -install -file /dumps/certificate.cer