20.7. 產生一個憑證要求以傳送給一個 CA

一旦您建立好金鑰後，下一步便是產生一個您需要傳送至您選擇之 CA 的憑證要求，請確定您位於 /usr/share/ssl/certs 目錄，然後輸入下列指令：

make certreq

您的系統將會顯示下列的輸出，並且將會向您詢問您的通行密碼（除非您停用通行密碼的選項）：

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
	

請輸入在產生金鑰時您選擇的通行密碼，您的系統將會顯示一些指示，然後向您詢問一連串的問題。 您的輸入將會合併到憑證要求中，系統的顯示（含有範例的答覆）將會如下所示：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:admin@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

預設的答覆會出現在每一個要求之後的括號 [] 之間以讓您輸入。 例如第一個需要的資訊是將使用該憑證的國家名稱，將會如以下的格式顯示：

Country Name (2 letter code) [GB]:

括號中預設的輸入為 GB，如要接受這個值，請按下 [Enter] 鍵，或者填入您國家的兩碼國碼。

您將需要輸入其餘的值，它們應該都是解釋很明白的，不過您需要遵照這些指示：

• 請勿使用地區或州名的縮寫，請將全名寫出（例如 St. Louis 應該寫成 Saint Louis）。

• 假如您要傳送這個 CSR 到一個 CA，請特別注意務必在所有欄位提供正確的資訊，特別是 Organization Name 與 Common Name。 CAs 檢查在 CSR 中所提供的資訊，來決定您的組織要為您所提供的 Common Name 負責。 CAs 會拒絕含有他們認定為無效資訊的 CSRs。

• 至於 Common Name，請確定您輸入您安全伺服器的真實名稱（一個有效的 DNS 名稱），而且不是您的伺服器所擁有的任何別名。

• Email Address 應該是網站管理員或系統管理員的電子郵件地址。

• 請避免使用任何特殊的字元，如 @, #, &, ! 等等。 有些 CAs 會拒絕含有特殊字元的憑證要求。 所以假如您的公司名稱含有一個 & 符號，請將它拼成 "and"，而不使用 "&"。

• 請勿使用任何額外的屬性（A challenge password 與 An optional company name）。 如要在不輸入任何數值的情況下繼續，您只要按下 [Enter] 鍵來接受這兩個欄位空白的預設值。

當您完成輸入您的資訊後，將會建立 /etc/httpd/conf/ssl.csr/server.csr 檔案，這個檔案便是您要傳送給 CA 的憑證要求。

在您決定好一個 CA 之後，請遵照在他們網站上所提供的指示，他們的指示將他們的指示將會告訴您如何傳送您的憑證要求、任何他們需要的其他文件以及您所須付的費用。

在您完成 CA 的各種要求後，他們將會傳送一個憑證給您（通常使用電子郵件），將他們傳送給您的憑證儲存（或剪貼）到 /etc/httpd/conf/ssl.crt/server.crt 檔案，請記得要備份這個檔案。