實作申請

1.先建立屬於自己的 private key

openssl genrsa -out [name_of_your_key].key 4096

2.產生 certificate signing request (csr)

openssl req -new -key [name_of_your_key].key -out [name_of_your_csr].csr

3.選擇 CA GoDaddy, GeoTrust, DigiCert… 把你的 CSR 傳上去即可

4.收到 CSR 後, CA 會根據你的 domain 開始實行一系列的背景審核, 確認你是否是正確/合法的憑證擁有者. 當然, 前面也提到過, 這階段也會根據你所選擇的憑證等級而有不同的作業時間. 如 EV (Extended validation certificate) 可能就要花上10個工作天.

5.當 CA 完成了審核過程後, 就會簽核你的 CSR 然後把簽過的憑證寄還給你, 通常是一個 .crt 檔案. 詳細一點的說, CA 會根據憑證的資料區段來計算出 checksum, 並且以其 private key 對這段 checksum 進行加密, 然後把這段加密後的密文 (signature) 附加在原本的憑證後並且寄還給你. 這就是你要用來安裝在你的網站或是 load balancer/webserver 上的東西了.

自簽

openssl req -x509 -newkey rsa:4096 -keyout [name_of_your_key].key -out [name_of_your_crt].crt -days 365