HTTPS證書配置(單向認證)
環境準備
openssl和jdk。
Openssl: Linux系統中一般自帶openssl,無需安裝;Windows下使用openssl,可下載此檔案
JDK: 要求jdk1.8及以上版本
製作步驟
CA根證書的製作
應先提前建好生成證書的存放目錄,本例中在openssl.exe同級目錄下建立了ca資料夾
點選openssl.exe開始製作證書,以下命令中可不在輸入openssl
1. 建立私鑰
|
openssl genrsa -out ca/ca-key.pem 1024 |
2. 建立證書請求
|
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem |
以下各項可根據實際情況任意配置
3. 自簽署證書
|
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 |
4. 將證書匯出成瀏覽器支援的.p12格式
|
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12 |
製作伺服器證書
cmd命令視窗執行keytool命令
01.生成金鑰
02.生成證書請求
03.根據證書請求,製作證書
(使用openssl執行)
|
openssl x509 -req -in ca/server.csr -out ca/server.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1 |
04.向金鑰庫中匯入CA證書
(cmd命令視窗,keytool命令)
05. 匯入伺服器證書
06.匯入CA驗籤資訊
|
keytool -import -alias server-ca -trustcacerts -file ca-cert.pem -keystore servertrust.jks |
此處金鑰口令填寫666666,在之後ssl的配置中使用到。
Tomcat配置
修改config目錄下的server.xml檔案
找到如下配置,解開註釋
修改為如下配置
客戶端配置
雙擊安裝ca.p12檔案到受信任的根證書頒發機構即可,(一路點下一步)
效果
綠色安全的HTPPS訪問
明天接著寫weblogic的HTTPS配置,後續會更細如何進行雙向配置,以及配置證書中一些坑