Tomcat怎么安装SSL证书方法教程
Tomcat 怎么安装SSL 证书方法教程1.1 服务器环境架设首先访问Tomcat 官网(http://tomcat.apache.org/)当前可根据您的系统下载不同的应用程序包,我们以Windo
Tomcat 怎么安装SSL 证书方法教程
1.1 服务器环境架设
首先访问Tomcat 官网(http://tomcat.apache.org/)当前可根据您的系统下载不同的应用程序包,我们以Windows 系统为例。所以下载Windows 版本的 apache-tomcat-7.0.29 版本。下载Tomcat 解压到其中一个盘符下后,进入apache-tomcat-7.0.29 根目录下找到bin 文件中此执行文件“startup.bat”,运行期间将出现如图 1 所示的命令提示符窗口。
图 1
启动执行文件后,我们将输入 Tomcat 应用服务默认的地址如:http://127.0.0.1:8080
,图
2
1.2 生成Csr 和Keystore 文件
进入 DOS 命令行具体如下:开始->运行->cmd->cd 到您安装的jdk 的目录, 这里我是C:Program FilesJavajdk1.5.0_04bin 图 3
图 3
1.2.1 生成Server 私钥
Keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore
[keystore_name]-keysize 2048 图 4
,图
4
以上如图所示此命令将生成 2048 位的 RSA 私钥,私钥文件名
为: server,系统会提示您输入keystore 密码,缺省密码为:changeit ,您可以指定一个新的密码,但请一定要记住。
接着会提示“What is your fist and last name?”,请输入您要申请 SSL 证书的域名,而不是真的输入您的个人姓名,如果您需要为
www.domain.com 申请 SSL 证书就不能只输入 domain.com 。SSL 证书是严格绑定域名的。
接着,输入您的部门名称、单位名称、所在城市、所在省份和国家缩写(中国填:CN ,其他国家填其缩写) ,单位名称一定要与证明文件上的名称一致。除国家缩写必须填 CN 外,其余都可以是英文或中文。
最后,要求您输入私钥密码,请一定要为keystore 和keyEntry 输入一样的密码,否则您重新启动 Tomcat 后会提示错误信息:
java.security.UnrecoverableKeyException:Cannot recover key。同时,请一定要记住密码!
1.2.2 生成Csr 文件
请使用以下命令来生成 CSR
Keytool -certreq -alias [keyEntry name] -file request.csr -keystore
[keystorename] 图 5
,图
5
如上图所示此命令将生成 CSR 文件,这样就完成了 CSR 和私钥的生成。
1.2.3 成功生成文件
您现在已经成功生成了密钥对,私钥文件:server 保存在您的服务器中,请把CSR 文件:request.csr 发给WoSign 即可。(注释:此时两个文件默认存放路径在安装jdk 目录中的 bin 文件夹中
如 server 和 request.csr)
如果您想测试您的 CSR 文件是否成功您可以通过记事本打开。如下图 6:
图 6
然后通过复制里面所有的内容粘贴到如下地址:
,
图
7
2.1 登录wosign 站点
登录 https://login.wosign.com/;输入密码和验证码,选择客户端证书登录在线购买系统。
2.2 选择证书类型
点右上边橙色“申请证书”连接,选择您要申请的 SSL 证书,点“立即申请”,如下图所示
2.3 填写资料
,需要填写:证书绑定的域名,申请年限,是否需要发票,证书签名算法,并设置证书安装密码。
2.4 验证域名邮箱
进入域名验证,可以选择whois 邮箱验证,或者网站验证方式,如下图所示,也可以先跳过验证,进入下一步,再验证域名。
2.5 确认订单信息
选择证书申请文件生成方式二,如下图所示,然后确认订单信息。
2.6 支付订单
可您以在线转账,也可以选择线下转账
2.7 上传证明材料
(SSL 用户授权书) ,如下图所示
,
2.8
等待证书签发
证书申请提交成功。待客服和鉴证审核,您可以联系您的客服专员咨询订单审核情况。
3.1 导入中级根证书
首先WoSign 将根据您提交的Csr 文件给您签发服务器证书。此时您拿到手的压缩文件,解压里面的 for other server.zip 文件,会得到里面则包含了以下证书,如下图
现在可以通过命令来导入您服务器证书比如:
Tomcat 安装(先导入根证书,用户证书最后导入) :
Tomcat 安装时需把顶级根、交叉根、中级根、用户证书全部导入到keystore 中(注意:keystore 等同于 server 文件,后面会把keystore 名称改为:server.jks 或jks.jks )
命令如下:
,Keytool -import -trustcacerts -alias [keyEntry_name] -file xxx.cer -keystore
[keystore_name]
[keyEntry_name] :别名;
xx.cer :表示根证书文件名;
[keystore_name] :证书容器 server;
keytool -import -trustcacerts -alias root –file 顶级根.cer
-keystorekeystore
keytool -import -trustcacerts -alias corss –file 交叉根.cer
-keystorekeystore
keytool -import -trustcacerts -alias intermediate –file 中级根.cer -keystore
keystore
3.2 导入服务器证书:
Keytool -import -trustcacerts -alias [keyEntry_name] -file xxx.crt -keystore
[keystore_name]
[keyEntry_name]:别名; 您制作 CSR 时候输入的别名;
xx.crt :表示服务器证书名称;
[keystore_name]:证书容器 server;
keytool -import -trustcacerts -alias 别名 -file xx.crt
-keystorekeystore
在运行此命令时会提示您输入密码,也就是您在生成 server 时设置的密码。(注:当您导入证书的时候如果“提示错误:无法从回复中建立链接”此时解决的方式是:检查证书的别名是否正确,中级根证书是否已经导入)
当导入证书到您的 server 时,一定要使用生成 CSR 时一样的别名(-alias),同时使用-trustcacerts 参数。如果不指定一样的别名,将不能安装成功!
验证检查证书
最终导入中级根证书和服务器证书文件后,可以通过以下命令检查是否包含了四级证书链接。命令行:keytool -list -v –keystore [证书文件]
3.3 配置部署SSL 证书
首先找到安装 Tomcat 目录下该文件“Server.xml”,一般默认路径都是在Conf 文件夹中。然后用文本编辑器打开该文件,接着找到如下图所示
,默认情况下
我们可以把“”去掉,然后对其节点进行相应的修改,比如:port :端口号、keystoreFile :证书路劲(例如:conf/SSL.jks);keystorePass:证书密码等信息。 (注:图片中的jks.jks 是以上所说的导入根证书和服务器证书后的 server 文件。)
keystorePass="XXXX"> 3.4 验证安装结果 最后保存该配置文件,然后重启 Tomcat 后再次访问即可。如图 备注:安装完 ssl 证书后部分服务器可能会有以下错误,请按照链接修复 a. 加密协议和安全套件:https://bbs.wosign.com/thread-1284-1-1.html b. 部署 https 页面后出现排版错误,或者提示网页有不安全的因素,可参考以下链接: (目前该安全签章只支持 OV 级以上证书使用) 4.1 安装中文签章 (注意:签章的显示需要外网环境,且 https 使用 443 端口) 您购买WoSign SSL证书后,将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识,能大大增强用户的在线信任,促成更多在线交易。所以,建议您在安装成功SSL 证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识:
