VeriSign SSL服务器证书安装配置指南
安装运行Tomcat6需要JDK支持,如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。从Tomcat6开始,Tomcat不仅可以支持使用Java Keytool创建的jks格式keystore密钥,还支持OpenSSL创建的pem格式密钥。据信使用OpenSSL的mod_ssl模块,比使用 Java的JSSE模块更加高效。两大目前最流行Web Server软件Apache和Nginx均采用OpenSSL的加密模块,各位不妨一试。
使用JSSE模块创建keystore.jks格式密钥:只需要安装有JRE或者JDK,可以无需在服务器上操作,在任意Java环境下生成兼容格式的
keystore密钥均可支持在Tomcat6下的配置。由于Java1.5之前版本创建的keystore格式密钥,在Java1.5及以后的版本中存
在兼容性问题,建议不要使用1.5之前版本的Java环境创建keystore文件。
使用OpenSSL模块创建pem格式密钥:需要安装openssl工具,推荐下载绿色版OpenSSL工具,使用autocsr.bat的批处理工具来
创建密钥。该批处理程序在Windows环境下运行,如果您在Unix或Mac环境部署Tomcat,可以在创建好证书密钥后上传到相应的服务器上。
生成证书请求
使用Java keytool创建JSSE支持的密钥
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storetype jks -storepass <password> -keypass <password>
填写证书注册信息:
您的名字与姓氏是什么?
[Unknown]: www.ert7.com
您的组织单位名称是什么?
[Unknown]: Ert7Com Support
您的组织名称是什么?
[Unknown]: Company Co.,Ltd.
您所在的城市或区域名称是什么?
[Unknown]: Beijing
您所在的州或省份名称是什么?
[Unknown]: Beijing
该单位的两字母国家代码是什么
[Unknown]: CN
CN=www.ert7.com, OU=Ert7Com Support, O=”Company Co.,Ltd.”, L=Beijing, ST=Beijing, C=CN 正确吗?
keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass <password> -storepass <password>
3.备份私钥并提交证书请求
正式证书请求,请保存bin目录下的证书密钥库文件keystore.jks(使用Java Keytool创建),并将证书请求文件certreq.csr提交给天威诚信。支持签发30天免费根受信测试证书。
如果仅需要使用自签名证书用于项目测试使用,请下载自签名测试证书工具。
导入服务器证书
根受信服务器证书都需要安装中级CA证书。在相应的CA颁发机构网站可以下载到相应产品的服务器证书中级CA证书文件。
从邮件中获取中级CA证书:
将证书签发邮件中的从BEGIN到 END结束的中级CA证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”字段)粘贴到记事本等文本文档中。修改文件扩展名,保存为intermediate.cer文件。如果证书签发邮件中包含多 张中级CA文件,则创建多个中级CA的cer文件,如intermediate1.cer、intermediate2.cer等。
如果无法从您的VeriSign证书签发邮件中获取中级CA证书,请对应您的证书产品相应下载中级CA证书。
2.获取服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”) 粘贴到记事本等文本文档中,保存为server.cer文件
3.导入证书
导入中级CA证书到keystore文件中
keytool -import -alias intermediate -keystore keystore.jks -trustcacerts -storepass password -file <filepath\intermediate.cer>
如果您的服务器证书包含多个中级CA证书,则需要导入所有中级CA证书文件。导入命令行中,需要设置不同的中级证书别名-alias,例如导入
intermedate1.cer文件时,设置证书别名为intermediate1:“-alias intermedate1”
导入服务器证书到keystore文件中
keytool -import -alias server -keystore keystore.jks -trustcacerts -storepass password -file <filepath\server.cer>
导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
证书导入完成,运行keystool命令,即可查看keystore文件内容(可添加-v参数查看详细)。
keytool -list -keystore keystore.jks -storepass <password>
使用OpenSSL创建mod_ssl支持的密钥
1.安装OpenSSL工具
Tomcat6支持的pem格式证书,可以下载绿色版OpenSSL工具,使用autocsr.bat工具来创建。
2.生成服务器证书私钥和请求文件
解压autocsr.rar工具包,您可以选择运行批处理程序autocsr.bat,快速创建证书请求。或使用openssl命令行,设置更多自定义参数。
使用autocsr.bat工具请参考以下步骤按照操作提示填写证书注册信息:
通用名(域名): www.ert7.com
组织名称: Company Co.,Ltd.
部门名称: Ert7Com Support
省市名称: Beijing
市或区名: Beijing
程序将自动在server目录下创建server.key的私钥文件,以及certreq.csr的证书请求文件。
使用openssl命令行请参考以下步骤:
在开始菜单“运行”中输入“CMD”,命令行进入autocsr\openssl目录,运行如下命令:
openssl genrsa -out server.key 2048
生成服务器证书请求(CSR)文件
openssl req -config openssl.cfg -new -key server.key -out certreq.csr
正式证书请求,请保存工具程序server目录下的证书私钥文件server.key,并将证书请求文件certreq.csr提交给天威诚信。支持签发30天免费根受信测试证书。
如果仅需要使用自签名证书用于项目测试使用,请下载自签名测试证书工具。
获取pem格式服务器证书
1.获取服务器证书中级CA证书
根受信服务器证书都需要安装中级CA证书。在相应的CA颁发机构网站可以下载到相应产品的服务器证书中级CA证书文件。
从邮件中获取中级CA证书:
将证书签发邮件中的从BEGIN到 END结束的中级CA证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END
CERTIFICATE—–”字段)粘贴到记事本等文本文档中。修改文件扩展名,保存为intermediate.cer文件。如果证书签发邮件中包含多
张中级CA文件,则需在文本文档中粘贴多张中级CA代码,每段代码中间用回车换行分隔。
如果无法从您的VeriSign证书签发邮件中获取中级CA证书,请对应您的证书产品相应下载中级CA证书。
2.获取服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”) 粘贴到记事本等文本文档中,保存为server.cer文件
配置服务器证书
打开Tomcat6\conf\server.xml,查询server.xml中的以下配置
<!–
<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”
maxThreads=”150″ scheme=”https” secure=”true”
clientAuth=”false” sslProtocol=”TLS” />
–>
1.使用Java keytool创建JSSE支持的密钥时,请将其修改为:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11NioProtocol” SSLEnabled=”true”
maxThreads=”150″ scheme=”https” secure=”true”
keystoreFile=”<filepath>/keystore.jks” keystorePass=”<password>”
clientAuth=”false” sslProtocol=”TLS” />
以上配置中,将<filepath>替换成您的keystore.jks文件在服务器上的存储目录,将<password>替换成您的keystore.jks文件密码。
由于使用JSSE支持的密钥时,无需使用OpenSSL的SSL引擎,可以在server.xml文件中查找:
<Listener className=”org.apache.catalina.core.AprLifecycleListener” SSLEngine=”on” />
将其修改为“off”。
使用OpenSSL创建mod_ssl支持的密钥时,请将其修改为:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11AprProtocol” SSLEnabled=”true”
maxThreads=”150″ scheme=”https” secure=”true”
SSLCertificateFile=”<filepath>/server.cer”
SSLCertificateKeyFile=”<filepath>/server.key”
SSLCertificateChainFile=”<filepath>/intermediate.cer”
SSLVerifyClient=”none”
sslProtocol=”TLS” />
以上配置中,将<filepath>替换成您的密钥文件server.key、server.cer及intermedaite.cer文件在服务器上的存储目录。
由于使用OpenSSL支持的密钥时,必须使用OpenSSL的SSL引擎,在server.xml文件中查找:
<Listener className=”org.apache.catalina.core.AprLifecycleListener” SSLEngine=”on” />
确保 SSLEngine=”on”
重启Tomcat6,通过https方式访问您的站点,测试站点证书的安装配置。
服务器证书的备份及恢复
1.服务器证书的备份
在您成功的安装和配置了服务器证书之后,请务必备份好您的服务器证书,以防证书丢失给您带来不便。
备份服务器证书密钥库文件keystore.jks及其保护密码(Java Keytool创建)或server.key、server.cer和intermediate.cer文件(OpenSSL创建),即可完成服务器证书的备份操作。
2.服务器证书的恢复
请找到服务器证书的备份文件,参照服务器证书配置部分,将服务器证书密钥文件上传到您的服务器上,并修改配置文件,恢复服务器证书的应用。
关于VeriSign(威瑞信)
VeriSign(威瑞信)作为全球最著名的智能信息基础设施服务公司,是标普500指数之一。威瑞信公司提供的整套安全在线交易服务保障个人和公司放心从事数字交易活动。尤其是SSL产品线,VeriSign在全球具有绝对领先地位,SSL证书签发量超过百万。而VeriSign扩展验证EV SSL证书以其高加密强度与独特绿色地址栏功能,深受那些希望用户信息受到严密保护的网站青睐。
关于Symantec(赛门铁克)
2010年8月,赛门铁克(symantec)收购VeriSign,VeriSign认证服务现均由赛门铁克提供。作为过渡环节之一,赛门铁克重点在2012年4月对VeriSign的产品名称和品牌标识进行变更,而且在服务方面更加注重附加安全服务
变更的产品服务包括:SSL证书、代码签名证书、EV SSL证书、数字签名证书、服务器证书和VeriSign信任签章。
关于天威诚信(iTrusChina)
天威诚信数字认证中心是VeriSign在中国的首要合作伙伴,也是合作时间最长、合作范围最广、合作层级最高的合作伙伴。在超过11年的合作过程中,天威诚信和VeriSign积累了丰富的合作经验,建立了完善的联合服务机制,并培养了强大的技术与服务支持团队。VeriSign在中国大陆区SSL证书和代码签名证书市场份额中有95%来自天威诚信。
http://www.ert7.com/install/sslinstall/1244.html
