Tomcat安裝CA證書(詳細過程篇)
阿新 • • 發佈:2019-02-08
以Verisign 測試證書為例
1.建立一個本地證書:
C:\j2sdk1.4.2_05\bin>;keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
輸入keystore密碼: 12345678
您的名字與姓氏是什麼?
[Unknown]: www.test.com
您的組織單位名稱是什麼?
[Unknown]: system
您的組織名稱是什麼?
[Unknown]: test
您所在的城市或區域名稱是什麼?
[Unknown]: beijing
您所在的州或省份名稱是什麼?
[Unknown]: beijing
該單位的兩字母國家程式碼是什麼
[Unknown]: cn
CN=liujx, OU=system, O=test, L=beijing, ST=beijing, C=cn 正確嗎?
[否]: y
輸入<tomcat>;的主密碼
(如果和 keystore 密碼相同,按回車):
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 1 輸入
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA
C:F7:0F:80
2.然後建立CSR:
C:\j2sdk1.4.2_05\bin>;keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore
輸入keystore密碼: 12345678
現在,你有了一個叫certreq.csr的檔案,你可以將它提交到CA(參考CA網站上的文件怎樣做)。然後就得到了證書。
例如:我們申請了個Verisign.com的測試證書儲存為:client.cer
3.從你獲得證書的CA下載Chain Certificate:
例如:
Verisign.com正式證書:去http://www.verisign.com/support/install/intermediate.html
Verisign Test CA Root證書:去http://www.verisign.com/server2/trial/faq/index.html
4.將Chain Certificate匯入到keystore:
例如:匯入Verisign Test CA Root證書getcacert.cer
C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias root -file getcacert.cer -keystore keystore
輸入keystore密碼: 12345678
Owner: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
發照者: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
序號: 52a9f424da674c9daf4f537852abef6e
有效期間: Sun Jun 07 08:00:00 CST 1998 至: Wed Jun 07 07:59:59 CST 2006
認證指紋:
MD5: 40:06:53:11:FD:B3:3E:88:0A:6F:7D1:4E:22:91:87
SHA1: 93:71:C9:EE:57:09:92:5D:0A:8E:FA:02:0B:E2:F5:E6:98:6C:60E
信任這個認證? [否]: y
認證已新增至keystore中
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 2 輸入
root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5): 40:06:53:11:FD:B3:3E:88:0A:6F:7D1:4E:22:91:87
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AAC:F7:0F:80
5.最後,匯入你的新證書:
C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias tomcat -file client.crt -keystore keystore
.old
輸入keystore密碼: 12345678
認證回覆已安裝在 keystore中
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 2 輸入
root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5): 40:06:53:11:FD:B3:3E:88:0A:6F:7D1:4E:22:91:87
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): 68:33:EE:6C:5C:5B:70:B5:0D:85:3B:6D:AF:00:91:24
注意:仔細觀察tomcat項的認證指紋與匯入之前是不同的。
6.安裝證書
把最後生成的keystore檔案,複製到tomcat安裝路徑的conf目錄下
7.修改Tomcat的配置檔案server.xml
<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->;
<Connector port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/conf/keystore" keystorePass="12345678"/>;
8.重新啟動Tomcat
9.為IE瀏覽器安裝測試根證書:
雙擊getcacert.cer,安裝測試根證書
10.測試SSL
開啟IE輸入https://www.test.com:8443/
如果沒有任何提示就進入頁面,說明配置完全正確。祝你好運!
1.建立一個本地證書:
C:\j2sdk1.4.2_05\bin>;keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
輸入keystore密碼: 12345678
您的名字與姓氏是什麼?
[Unknown]: www.test.com
您的組織單位名稱是什麼?
[Unknown]: system
您的組織名稱是什麼?
[Unknown]: test
您所在的城市或區域名稱是什麼?
[Unknown]: beijing
您所在的州或省份名稱是什麼?
[Unknown]: beijing
該單位的兩字母國家程式碼是什麼
[Unknown]: cn
CN=liujx, OU=system, O=test, L=beijing, ST=beijing, C=cn 正確嗎?
[否]: y
輸入<tomcat>;的主密碼
(如果和 keystore 密碼相同,按回車):
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 1 輸入
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA
C:F7:0F:802.然後建立CSR:
C:\j2sdk1.4.2_05\bin>;keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore
輸入keystore密碼: 12345678
現在,你有了一個叫certreq.csr的檔案,你可以將它提交到CA(參考CA網站上的文件怎樣做)。然後就得到了證書。
例如:我們申請了個Verisign.com的測試證書儲存為:client.cer
3.從你獲得證書的CA下載Chain Certificate:
例如:
Verisign.com正式證書:去http://www.verisign.com/support/install/intermediate.html
Verisign Test CA Root證書:去http://www.verisign.com/server2/trial/faq/index.html
4.將Chain Certificate匯入到keystore:
例如:匯入Verisign Test CA Root證書getcacert.cer
C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias root -file getcacert.cer -keystore keystore
輸入keystore密碼: 12345678
Owner: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
發照者: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
序號: 52a9f424da674c9daf4f537852abef6e
有效期間: Sun Jun 07 08:00:00 CST 1998 至: Wed Jun 07 07:59:59 CST 2006
認證指紋:
MD5: 40:06:53:11:FD:B3:3E:88:0A:6F:7D
1:4E:22:91:87SHA1: 93:71:C9:EE:57:09:92:5D:0A:8E:FA:02:0B:E2:F5:E6:98:6C:60
E信任這個認證? [否]: y
認證已新增至keystore中
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 2 輸入
root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5): 40:06:53:11:FD:B3:3E:88:0A:6F:7D
1:4E:22:91:87tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA
C:F7:0F:805.最後,匯入你的新證書:
C:\j2sdk1.4.2_05\bin>;keytool -import -trustcacerts -alias tomcat -file client.crt -keystore keystore
.old
輸入keystore密碼: 12345678
認證回覆已安裝在 keystore中
檢視證書
C:\j2sdk1.4.2_05\bin>;keytool -list -keystore keystore
輸入keystore密碼: 12345678
Keystore 型別: jks
Keystore 提供者: SUN
您的 keystore 包含 2 輸入
root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5): 40:06:53:11:FD:B3:3E:88:0A:6F:7D
1:4E:22:91:87tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5): 68:33:EE:6C:5C:5B:70:B5:0D:85:3B:6D:AF:00:91:24
注意:仔細觀察tomcat項的認證指紋與匯入之前是不同的。
6.安裝證書
把最後生成的keystore檔案,複製到tomcat安裝路徑的conf目錄下
7.修改Tomcat的配置檔案server.xml
<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->;
<Connector port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/conf/keystore" keystorePass="12345678"/>;
8.重新啟動Tomcat
9.為IE瀏覽器安裝測試根證書:
雙擊getcacert.cer,安裝測試根證書
10.測試SSL
開啟IE輸入https://www.test.com:8443/
如果沒有任何提示就進入頁面,說明配置完全正確。祝你好運!