签名验签证书
Resin说明本文使用"keytool"来生成私钥和CSR 文件,JDK 中一般已经默认安装有keytool,如果您的服务器上没有安装keytool,请先下载安装。本文还要求安装有JSSE,如果使用J
Resin
说明
本文使用"keytool"来生成私钥和CSR 文件,JDK 中一般已经默认安装有keytool,如果您的服务器上没有安装keytool,请先下载安装。
本文还要求安装有JSSE,如果使用JDK1.4及其以上版本,JSSE已经集成到JDK 中,否则请到SUN 网站下载和安装JSSE: http://www.sun.com.cn,并把 jsse.jar、jcert.jar、 jnet.jar 复制到目录:$JAVA_HOME/jre/lib/ext 安装完成后需要添加SSL 安全服务提供者:
修改 $JAVA_HOME/jre/lib/security/java.security文件中的:
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
本文Resin 安装配置示例使用的版本是2.1.17, 如果进行resin 配置时不能成功完成,可能是版本原因,请参考resin 帮助文件中SSL 相关章节进行配置。 产生CSR
重要注意事项
在生成CSR 文件时同时生成您的私钥,如果您丢了私钥或忘了私钥密码,则颁发证书给您后不能安装成功!您必须重新生成私钥和CSR 文件,利用证书补办流程颁发新的证书。为了避免此情况的发生,请在生成CSR 后一定要备份私钥文件和记住私钥密码,最好是在收到证书之前不要再动服务器
1. 生成 keystore 和 keyEntry
请使用以下命令,并参考下图:
keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore
[keystore_name]
,
请注意:keyEntry_name和keystore_name可以根据需要自行输入,但请与下文中内容保持一致。如果您不指定一个 keystore 名称(不使用参数 -keystore), 则 keystore 文件将保存在您的用户目录中(如:C:Documents and
Settingsyour name.keystore),文件名为:.keystore
系统会提示您输入 keystore 密码,缺省密码为:changeit,您可以指定一个新的密码,但请一定要记住。
接着会提示“What is your fist and last name?”,请输入您要申请域名证书的域名,而不是真的输入您的个人姓名,如果您需要为www.domain.cn 申请域名证书就不能只输入 domain.cn。域名证书是严格绑定域名的。
接着,输入您的部门名称、单位名称、所在城市、所在省份和国家缩写(中国填:CN,其他国家填其缩写),除国家缩写必须填CN 外,其余都可以是英文或中文。 。这些信息具体内容可以忽略,生成证书时信息以RA 系统中登记的为准。
最 后,要求您输入私钥密码, 请一定要为 keystore 和 keyEntry 输入一样的密码,否则您重新启动Tomcat 后会提示错误信息:
java.security.UnrecoverableKeyException: Cannot recover key。同时,请一定要记住密码!
2. 生成CSR
请使用以下命令,并参考下图:
keytool -certreq -alias [keyEntry name] -file request.csr -keystore
[keystore name]
CSR 文件(request.csr)会保存在当前目录下, CSR文件为文本文件,如下图示。
,
3. 备份私钥文件
请备份您的keystore 文件并记下私钥密码。最好是把私钥文件备份到软盘或光盘中。
4.把CSR 发给CNNIC
成功生成CSR 后请在登录CNNIC 证书下载页面时把CSR 内容发给CNNIC 即可。请一定不要再动您的服务器,等待证书的颁发。
证书下载
生成完CSR 后,既可以登录CNNIC 可信网络服务中心网页(进入www.cnnic.cn ,点击“可信网络”),点击“网址卫士”下载进入到证书下载页面。
1.下载域名证书
A .点击“网址卫士第一部分”,根据网页上的提示输入从密码信封中获取的“参考号”和“授权码”,复制上一步所生成的CSR 到网页的“CSR ”文本框中,复制时不要复制头尾的“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”,只要中间的部分。结果如下所示:
,
B .点击“下载”,如果参考号、授权码和CSR 均无问题,显示页面如下所示。请根据页面上的提示将文本框中的内容拷贝下来,粘贴到一个新建的文本文件中,并保存,文件名可以是“www.domain.cn.txt ”。
注意:文本框中的内容就是此次申请的证书,请一定将内容拷贝保存下来,如果内容丢失,就必须进行证书补办。
C .将保存下来的文本文件的文件类型从.txt 改为.cer ,例如,这就是此次下载下来的域名证书。改完后可以双击打开文件,即可以查看到证书的具体信息。显示类似如下(具体内容有所不同):
,
D .证书格式转换。因为keytool 工具所支持的证书编码格式问题,需要对证书的格式进行转换。在上图中,点击“详细信息”->“复制到文件”后,即可以根据提示点击“下一步”将证书另存一个文件,得到最终的证书文件。其中“选择导出文件格式”时请选择“DER 编码二进制X.509(.CER)”,如下图所示:
2.下载证书链上的其他证书
点击证书下载页面的“网址卫士第二部分”,将压缩包下载到本地,解压缩即可以获取证书链上的中级根证书和根证书。至此证书下载完成。
安装证书
1. 保存证书文件
一旦您申请的域名证书成功颁发,您会受到一个带有参考号和授权码的密码信封,然后即可以登录CNNIC 网站进行证书下载。下载下来的域名证书可以保存为www.domain.cn.cer,就是您的域名命名的证书文件。
进行证书下载时还需要将证书链上的根证书和中级根证书一并下载保存。
2. 导入证书
请使用以下命令导入根证书(假设保存为root.cer)到您的Keystore 中:
keytool -import -trustcacerts -alias root -file root.cer -keystore
[keystore_name]
请使用以下命令导入中级根证书(假设保存为CNNIC.cer)到您的Keystore 中:
keytool -import -trustcacerts -alias INTER -file CNNIC.cer -keystore
[keystore_name]
请使用以下命令导入您的域名证书到您的Keystore 中,其中:
keytool -import -trustcacerts -alias [keyEntry_name] -file
www.domain.cn.cer -keystore [keystore_name]
以下图例为导入测试证书:
,
请注意:如果您在生成 keystore 没有指定名称,则不需要 -keystore 选项。
在运行此命令时会提示您输入密码,也就是您在生成 keystore 时设置的密码。
当导入证书到您的 keystore 时,一定要使用生成CSR 时一样的别名(alias),同时使用 -trustcacerts 参数。如果不指定一样的别名,将不能安装成功!
如果您忘了您的别名,请使用如下命令查看您的别名:
keytool –list -keystore [keystore_name] -v
3. 修改Resin 配置文件(resin.conf)
检查和修改配置文件resin.conf:
.........
Resin 在文件resin.conf 中保存SSL 配置信息,请确保Resin 能正常读取keystore 文件和密码,并且8443端口已经打开。
请检查和修改keystoreFile 的目录正确和keystore 密码正确。
请保存配置文件,重新启动Resin。
4. 完成配置
,请确认分配了8443端口(resin默认配置为ssl 服务使用8443端口)和一个固定的IP 地址给主机。
在浏览器地址栏输入:https://www.domain.cn:8443(申请证书的域名)测试您的域名证书是否安装成功,如果成功,则浏览器下方会显示一个 安全锁标志。请注意:如果您的网页中有不安全的元素,则会提供“是否显示不安全的内容”,建议修改网页删除不安全的内容。
配置成功后,可以根据自己的需要在resin.conf 中调整https 所使用的端口,https 访问使用的默认端口是443。