1. Generate Certificate Signing Request (CSR). Sebelum anda boleh membeli dan memasang sebuah SSL Certificate, anda mesti menjana CSR pada pelayan. Fail ini mengandungi maklumat pelayan dan kunci awam anda yang diperlukan untuk menjana kunci peribadi. Anda boleh menjana CSR terus daripada baris arahan Apache:
- Jalankan utiliti OpenSSL. Ia biasanya terletak di /usr/local/ssl/bin/
- Buat sepasang kunci dengan memasukkan arahan berikut:
openssl genrsa –des3 –out www.mydomain.com.key 2048
- Buat frasa laluan. Frasa laluan mesti dimasukkan setiap kali anda berinteraksi dengan kunci.
- Jalankan proses penciptaan CSR. Masukkan arahan berikut apabila digesa untuk mencipta fail CSR:
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
- Isikan maklumat yang diminta. Anda mesti memasukkan dua digit negara, kod negeri atau wilayah, nama bandar, nama syarikat penuh, nama bahagian (contohnya IT atau Pemasaran) dan nama biasa (biasanya nama domain).
- Buat fail CSR. Setelah maklumat dimasukkan, jalankan arahan berikut untuk menjana fail CSR pada pelayan:
openssl req -noout -text -in www.mydomain.com.csr
2. Order your SSL certificate. Terdapat beberapa perkhidmatan internet yang menawarkan sijil SSL. Pastikan anda hanya memesan daripada perkhidmatan yang bereputasi, kerana keselamatan anda dan pelanggan anda dipertaruhkan di sini. Terdapat beberapa perkhidmatan yang terkenal sebagai contoh DigiCert, Symantec, GlobalSign dan banyak lagi. Perkhidmatan terbaik sangat berbeza dan bergantung pada keperluan anda (bilangan sijil, penyelesaian syarikat, dll.).
- Anda mesti memuat naik fail CSR ke perkhidmatan sijil semasa memesannya. Fail ini akan digunakan untuk menjana sijil untuk pelayan anda.
-----BEGIN CERTIFICATE----- [Encoded Certificate] -----END CERTIFICATE-----
- Jika sijil ialah fail teks, anda mesti menukarnya kepada fail .crt sebelum memuat naik.
- Semak kunci yang dimuat turun. Mesti ada 5 tanda sempang “-” di sisi baris BEGIN CERTIFICATE atau END CERTIFICATE. Pastikan juga tiada ruang tambahan atau pemisah baris disertakan dalam kekunci.
5. Buka fail “httpd(dot)conf” daripada editor teks. Sesetengah versi Apache mempunyai fail ssl(dot)conf untuk sijil SSL. Hanya edit salah satu fail jika terdapat dua fail. Tambahkan baris berikut pada bahagian Hos Maya:
SSLCertificateFile /usr/local/ssl/crt/primary.crt SSLCertificateKeyFile /usr/local/ssl/private/private.key SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
- Simpan perubahan pada fail apabila selesai. Muat naik semula fail jika perlu.
6. But semula pelayan. Setelah fail telah berubah, anda boleh mula menggunakan sijil SSL anda dengan memulakan semula pelayan. Kebanyakan versi boleh dimulakan semula dengan memasukkan arahan berikut:
apachectlp stop apachectl startssl
7. Uji Sijil. Gunakan pelbagai pelayar web untuk menguji sama ada sijil anda berfungsi dengan betul. Sambung ke tapak web anda menggunakan “https://” untuk memaksa sambungan SSL. Anda akan melihat ikon kunci dalam bar alamat, biasanya dengan latar belakang hijau.