创建自签名证书以用于SSL的步骤

文档名称 文档密级创建自签名证书以用于SSL 的步骤一、创建Keystore1、假设在控制台我们进入的目录是D 盘的temp, 在命令行下输入如下：keytool -genkey -alias www

文档名称 文档密级

创建自签名证书以用于SSL 的步骤

一、创建Keystore

1、假设在控制台我们进入的目录是D 盘的temp, 在命令行下输入如下：

keytool -genkey -alias www.huawei.com -keyalg RSA -keysize 2048 -validity 3650 -keystore keystore.cer -storepass keystore-password

说明：

1) –keyalg 使用加密的算法，这里是RSA

2) –alias 密钥的别名

3) -keystore 密钥保存在当前temp 目录下

4) -storepass 存取密码，这里设置为keystore-password ，这个密码提供系统从

keystore.cer 文件中将信息取出

5) –validity 该密钥的有效期为 180天 (默认为90天)

2、 回车执行命令，提示输入需要认证的基本信息

您的名字与姓氏是什么？

[Unknown]： 169.254.66.159

您的组织单位名称是什么？

[Unknown]： huawei

您的组织名称是什么？

[Unknown]： huawei

您所在的城市或区域名称是什么？

[Unknown]： shenzhen

您所在的州或省份名称是什么？

[Unknown]： guangdong

该单位的两字母国家代码是什么

[Unknown]： zh_cn

CN=169.254.66.159, OU=huawei, O=huawei, L=shenzhen, ST=guangdong, C=zh_cn 正确吗？

[否]： y

2013-3-27

华为机密，未经许可不得扩散 第1页, 共10页

文档名称 文档密级

输入的主密码

（如果和 keystore 密码相同，按回车）：

注意：根据提示逐个填写上面的信息，注意，这里的“您的名字与姓氏是什么”必须是站点的完整域名或者ip 地址

4、输入的主密码，按默认和keystore 密码相同，直接回车退出并生成证书，在D 盘的temp 目录即可找到一个key.store 证书文件。

5. 验证生成的keystore ，输入如下命令：

keytool -list -keystore keystore.cer -storepass keystore-password

注意：-storepass 的密码需要跟创建的keystore 保持一致

结果如下：

二、创建自签名的证书

基于第上面的keystore.cer 创建一个自签名的证书，步骤如下：

1、在命令行输入命令如下：

keytool -selfcert -alias www.huawei.com -keystore keystore.cer -storepass keystore-password

注意：下面几个参数须跟上面创建的Keystore 保持一致

1. -alias 别名 2. -keystore 证书文件名 3. -storepass 密码

2、再次验证生成的keystore ，输入如下命令：

keytool -list -keystore keystore.cer -storepass keystore-password

2013-3-27

华为机密，未经许可不得扩散 第2页, 共10页

文档名称 文档密级

注意：-storepass 的密码需要跟创建的keystore 保持一致

结果如下：

4、导出cer 证书, 输入如下命令：

keytool -export -alias www.huawei.com -keystore keystore.cer -file bmecert.cer -storepass keystore-password

结果如下：

三、设置用于Https 的证书路径

1. 上传证书文件:

1. 需要将产生的密钥keystore.cer 拷贝到${JBOSS_HOME}/server/default/conf/

2. 需要将产生的证书文件bmecert.cer 拷贝到

${JBOSS_HOME}/server/default/deploy/smap.ear/default.war/ssl

2. 打开${BMP_HOME}/jboss/server/default/deploy/jbossweb-tomcat55.sar/server.xml，修改如下节点配置：

algorithm="IbmX509"

clientAuth="false"

emptySessionPath="true" keystoreFile="${jboss.server.home.dir}/conf/

keystore.cer"

keystorePass="keystore-password"

maxHttpHeaderSize="8192"

maxThreads="100"

port="${jboss.https.WebPort}"

scheme="https"

2013-3-27

华为机密，未经许可不得扩散 第3页, 共10页

文档名称 文档密级

secure="true"

sslProtocol="TLS"

strategy="ms"/>

需要修改配置的参数如下：

1.keystoreFile ：对应上传到${BMP_HOME}/jboss/server/default/conf目录的keystore.cer 证书

2.keystorePass: keystore密码，即生成证书时storepass 对应的密码

四、安装信任证书

1. 对于IE 浏览器，选择Internet 选项，则显示如下：

点击证书按钮，显示如下：

2013-3-27

华为机密，未经许可不得扩散 第4页, 共10页

文档名称 文档密级

点击导入，显示如下：

2013-3-27

华为机密，未经许可不得扩散 第5页, 共10页

文档名称 文档密级

点击下一步，显示如下：

2013-3-27

华为机密，未经许可不得扩散 第6页, 共10页

文档名称 文档密级

选择要导入的文件名，这里我们选择前面导出的bmecert.cer 证书，单击下一步显示如下：

选择将所有的证书放在受信任的根证书颁发结构，点击下一步，显示如下：

2013-3-27

华为机密，未经许可不得扩散 第7页, 共10页

文档名称 文档密级

单击完成，显示如下：

2013-3-27

华为机密，未经许可不得扩散 第8页, 共10页

文档名称 文档密级

由于我们是一个自签名证书，所以Windows 会给出上面的安全提示，选择“是”，显示如下：

启动BMP 服务器，提交https 请求，将不再出现下面的提示框：

2013-3-27

华为机密，未经许可不得扩散 第9页, 共10页

文档名称 文档密级

五、证书下载

对于证书的安装，在实际使用中一般可以提供一个链接允许用户下载证书。如下图红色指示。

2013-3-27

华为机密，未经许可不得扩散 第10页, 共10页