1.獲取服務器證書
將證書籤發郵件中的從BEGIN到 END結束的服務器證書內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中,並修改文件擴展名,保存爲server.cer文件
2.獲取CA證書
將證書籤發郵件中的從BEGIN到 END結束的兩張 CA證書 內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中,並修改文件擴展名,保存爲ca1.ce r和 ca2.cer文件。
3.查看keystore文件內容
進入JDK安裝目錄下的bin目錄,運行keytool命令查詢keystore文件信息。
keytool -list -keystore D:\keystore.jks -storepass password
查詢到PrivateKeyEntry(或KeyEntry)屬性的私鑰別名(alias)爲server。記住該別名,在稍後導入服務器證書時需要用到(示例中粗體部分爲可自定義部分,可根據實際配置情況相應修改)。
注意,導入證書時,一定要使用生成證書請求文件時生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件,都將無法正確導入您的服務器證書。
4.導入證書(如果只有一張CA證書,則只需要導入一張CA證書)
導入第一張中級CA證書
keytool -import -alias ca1 -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca1.cer -noprompt
導入第二張中級CA證書
keytool -import -alias ca2 -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca2.cer -noprompt
導入服務器證書
keytool -import -alias?server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer
導入服務器證書時,服務器證書的別名必須和私鑰別名一致。請留意導入中級CA證書和導入服務器證書時的提示信息,如果您在導入服務器證書時使用的別名與私鑰別名不一致,將提示“認證已添加至keystore中”而不是應有的“認證回覆已安裝在keystore中”。
證書導入完成,運行keystool命令,再次查看keystore文件內容
keytool -list -keystore D:\keystore.jks -storepass password
三、安裝服務器證書
1.配置Jboss
打開Jboss安裝目錄下server\default\deploy\jbossweb.sar目錄中的server.xml文件,找到並修改以下內容
<!-- SSL/TLS Connector configuration using the admin devl guide keystore
<Connector protocol="HTTP/1.1" SSLEnabled="true"
port="8443" address="${jboss.bind.address}"
scheme="https" secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"
keystorePass="rmi+ssl" sslProtocol = "TLS"/>
SSL訪問端口
-->修改爲
<Connector protocol="HTTP/1.1" SSLEnabled="true"
port="443" address="${jboss.bind.address}"
scheme="https" secure="true" clientAuth="false"
keystoreFile=" C:\keystore.jks"
keystorePass="password" sslProtocol = "TLS"/>
默認的SSL訪問端口號爲443,如果使用其他端口號,則您需要使用https://yourdomain:port的方式來訪問您的站點。
2.訪問測試:重啓Tomcat,訪問https://youdomain:port,測試證書的安裝。
四、服務器證書的備份及恢復
在您成功的安裝和配置了服務器證書之後,請務必依據下面的操作流程,備份好您的服務器證書,以防證書丟失給您帶來不便。
1.服務器證書的備份
備份服務器證書密鑰庫文件keystore.jks文件即可完成服務器證書的備份操作。
2.服務器證書的恢復
請參照服務器證書安裝部分,將服務器證書密鑰庫keystore.jks文件恢復到您的服務器上,並修改配置文件,恢復服務器證書的應用。