全球服务器证书SSL配置手册Tomcat 4.1
北京数字证书认证中心
BEIJING CERTIFICATE AUTHORITY
目录
1开始申请之前需要注意 (3)
2如何产生私钥 (3)
3CSR生成指南 (5)
4证书安装指南 (6)
5如何配置SSL (12)
6启动和停止Tomcat (13)
7验证SSL连接 (13)
8灾难恢复 (13)
1开始申请之前需要注意
需要安装服务器软件并配置环境,下面我们以Keytool和Tomcat为例进行说明:a) 首先需要准备所需的软件:
z Java(TM) 2 SDK, Standard Edition 1.4.1_01
下载j2sdk-1_4_1_01-windows-i586.exe
z Tomcat 4.1
下载tomcat-4.1.18.exe
z Windows 2000 SP 2 or Windows NT SP6a
z Tomcat做为单独的服务器
b) 环境变量设置为:
Variable Value User Name
CATALINA_HOME C:\Tomcat~1.1 [SYSTEM]
JAVA_HOME C:\j2sdk1.4.1_01 [SYSTEM]
JSSE_HOME C:\j2sdk1.4.1_01\jre\lib\ext[SYSTEM]
TOMCAT_HOME C:\Tomcat~1.1 [SYSTEM]
Administrator
Path C:\j2sdk1.4.1_01\bin
c) 测试服务器
安装完Tomcat,并配置完环境后,启动Tomcat并进行测试:
http://localhost:8080 to make sure http is working
如果没有问题,我们可以进行下一步操作了。
2如何产生私钥
新打开一个DOS窗口:
1) 新建一个本地的证书密钥存储(Certificate keystore)
keytool -genkey -alias tomcat -keyalg RSA \ -keystore
请注意:
!当keystore建立后,需要指定keystore的存储位置
!如果更新证书,你必须重新创建一个新的密钥对和keystore
!当您生成CSR或安装自签的keystore证书时,请使用相同的别名
例如:
C:\>keytool -genkey -alias myalias -keyalg RSA -keystore c:\.mykeystore
Enter keystore password: 输入keystore口令,如password
What is your first and last name?
[Unknown]: 输入通用名,如https://www.doczj.com/doc/967340222.html,
What is the name of your organizational unit?
[Unknown]: 输入部门名称,如Sales Dept
What is the name of your organization?
[Unknown]: 输入您的组织名称,如Beijing Certificate Authority
What is the name of your City or Locality?
[Unknown]: 输入您所在的市/县/区,如Beijing
What is the name of your State or Province?
[Unknown]: 输入您所在的省/自治区/直辖市,如Beijing
What is the two-letter country code for this unit?
[Unknown]: 输入您所在国家的ISO国家代码,中国为CN
is CN=https://www.doczj.com/doc/967340222.html,, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CN correct?
[no]: yes
Enter key password for (RETURN if same as keystore password): 输入密钥口令
The same password MUST be used.
非常重要: Tomcat will recognize the location of this keystore even if the specified attributes in your server.xml point to a different keystore.
C:\>
2) 确认keystore建立成功
例如:
C:\>keytool -list -v -keystore c:\.mykeystore
Enter keystore password: password
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: myalias
Creation date: Jan 8, 2003
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=https://www.doczj.com/doc/967340222.html,, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CN
Issuer: CN=https://www.doczj.com/doc/967340222.html,, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CN
Serial number: 3e1cd4e9
Valid from: Wed Jan 08 20:48:25 EST 2003 until: Tue Apr 08 21:48:25 EDT 2003 Certificate fingerprints:
MD5: D0:BA:7C:A4:D1:D9:CF:46:38:E5:48:22:8E:AB:E2:9B
SHA1: 4A:33:FA:11:D6:5F:F4:73:9D:7A:2B:E2:89:F8:C3:57:69:0C:DC:7E
3CSR生成指南
1) 按照如下方法生成CSR
keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr \ -keystore
重要提示:
! 当您生成CSR或安装自签的keystore证书时,请使用相同的别名
例如:
C:\>keytool -certreq -keyalg RSA -alias myalias -file certreq.txt -keystore c:\.mykeystore
Enter keystore password: password
C:\>
2) 生成的CSR如下:
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDz ANBgNVBAcTBk90
dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEh MB8GA1UEAxMYd3d3
5w6T+q/f+wIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAF+0hqAqXumz/vGrzGVhKH lnxd7HW3ezS
GIbIUcOy1YdDc/1ZCqRpu3utYIZ6welK++l+QjlbL6p5RJJETkkLKXjb/WVFajNuPl7Yob9p bwA7
JBrCCKbFj+kzDNbGhCR1RgFA9vQj5vob41Vj+k+TQchliuTLL9rFXNDHrtgTMtA=
-----END NEW CERTIFICATE REQUEST-----
4 证书安装指南
按照如下方法安装BJCA的SSL证书
1) 安装SSL证书和证书链
输入命令:
keytool -import -alias root -keystore your_keystore_filename \ -trustcacerts -file filename_of_the_combined_chain_and_webcert
例如: C:\>keytool -import -alias myalias -keystore c:\.mykeystore -trustcacerts -file c:\webcert.txt
由于java把“cacerts”文件看作可信任的根CA,如果根证书已经存在,则不必再将证书链导入“cacerts”。
例如:
-----BEGIN CERTIFICATE-----
MIIC4zCCAkygAwIBAgIBAzANBgkqhkiG9w0BAQUFADBFMQswCQYDVQQGEwJVUzE
Y
MBYGA1UEChMPR1RFIENvcnBvcmF0aW9uMRwwGgYDVQQDExNHVEUgQ3liZXJUc nVz
dCBSb290MB4XDTAxMDgyMTIwMDIwOVoXDTA2MDEwMTIzNTkwMFowgcMxCzAJBg NV
BAYTAlVTMRQwEgYDVQQKEwtFbnRydXN0Lm5ldDE7MDkGA1UECxMyd3d3LmVudH J1
c3QubmV0L0NQUyBpbmNvcnAuIGJ5IHJlZi4gKGxpbWl0cyBsaWFiLikxJTAjBgNV BAsTHChjKSAxOTk5IEVudHJ1c3QubmV0IExpbWl0ZWQxOjA4BgNVBAMTMUVudHJ1 Ct8k2pzWUHmBelrTN/fCStgpkiZk0eSYbDoAivU0m2X47eMQ//24SVjcoN6COWuB sRYZYblUtuZDAgEDo2YwZDAPBgNVHRMECDAGAQH/AgEDMA4GA1UdDwEB/wQEA wIB
BjBBBgNVHR8EOjA4MDagNKAyhjBodHRwOi8vY2RwLmJhbHRpbW9yZS5jb20vY2dp LWJpbi9DUkwvR1RFUm9vdC5jZ2kwDQYJKoZIhvcNAQEFBQADgYEAgbZwffFU+Fjj NYTSoUFyRAAysIauOknVaLteQPQJxBGLMhXGdfejVBTWLb1UTFBQXNNCiqm8Co+d YikuVB+0/1habRkb+k4vFe6tn5IvQMnfhZbSJNoXn5IlGVDWQYlfC0/R1wjfv+U6
rzTJbJ7WXX0Ka5jKLKuckXNvu7EqOA4=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGEjCCBXugAwIBAgIEN0w5HDANBgkqhkiG9w0BAQQFADCBwzELMAkGA1UE BhMCVVMxFDASBgNVBAoTC0VudHJ1c3QubmV0MTswOQYDVQQLEzJ3d3cuZW50 cnVzdC5uZXQvQ1BTIGluY29ycC4gYnkgcmVmLiAobGltaXRzIGxpYWIuKTEl
MCMGA1UECxMcKGMpIDE5OTkgRW50cnVzdC5uZXQgTGltaXRlZDE6MDgGA1UE AxMxRW50cnVzdC5uZXQgU2VjdXJlIFNlcnZlciBDZXJ0aWZpY2F0aW9uIEF1 dGhvcml0eTAeFw0wMzAxMDkxNzE4MjFaFw0wMzExMTAxNzQ2NDFaMHoxCzAJ BgNVBAYTAkNBMRAwDgYDVQQIEwdPbnRhcmlvMQ8wDQYDVQQHEwZPdHRhd2Ex EDAOBgNVBAoTB0VudHJ1c3QxEzARBgNVBAsTCkVudHJ1c3QgQ1MxITAfBgNV BAMTGHd3dy50ZXN0Y2VydGlmaWNhdGVzLmNvbTCBnzANBgkqhkiG9w0BAQEF MCfPxacCAwEAAaOCA1kwggNVMAsGA1UdDwQEAwIFoDArBgNVHRAEJDAigA8y BAMCBkAwEwYDVR0lBAwwCgYIKwYBBQUHAwEwggFoBgNVHSAEggFfMIIBWzCC AVcGCSqGSIb2fQdLAjCCAUgwJgYIKwYBBQUHAgEWGmh0dHA6Ly93d3cuZW50
cnVzdC5uZXQvY3BzMIIBHAYIKwYBBQUHAgIwggEOGoIBClRoZSBFbnRydXN0 IFNTTCBXZWIgU2VydmVyIENlcnRpZmljYXRpb24gUHJhY3RpY2UgU3RhdGVt
ZW50IChDUFMpIGF2YWlsYWJsZSBhdCB3d3cuZW50cnVzdC5uZXQvY3BzICBp
IGJ5IHJlZi4gKGxpbWl0cyBsaWFiLikxJTAjBgNVBAsTHChjKSAxOTk5IEVu
dHJ1c3QubmV0IExpbWl0ZWQxOjA4BgNVBAMTMUVudHJ1c3QubmV0IFNlY3Vy ZSBTZXJ2ZXIgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkxDjAMBgNVBAMTBUNS
TDU2MCygKqAohiZodHRwOi8vd3d3LmVudHJ1c3QubmV0L0NSTC9zZXJ2ZXIx LmNybDAfBgNVHSMEGDAWgBTwF2ITVT2z/woAa/tQhJfz7WLQGjAdBgNVHQ4E FgQU8PAQJvkXpS82OTYbatZ36ZPmzM4wCQYDVR0TBAIwADAZBgkqhkiG9n0H QQAEDDAKGwRWNS4wAwIDKDANBgkqhkiG9w0BAQQFAAOBgQCviVPHpMdBNRc+ J88+VVW8k3bQQlyIsbtBr3XYDkqS5o9tSXXmpwJU6G40StrObPdKLHI2C+ho GiXnmXjFlKXPe/pOjHnU3azNBPJR7edrp523EB0muGTadk9rhnoRNEpUAw9u hgdRmxjwjO0XhBLVPcsCiiyFoDZpaU9o3MHVXQ==
-----END CERTIFICATE-----
您必须接受这个可信的CA。
您应该收到这样的信息:"Certificate Reply Was Installed Into Keystore"
如果在UNIX环境下,以上的例子是颠倒的。
2) 在SUN JAVA 1.4.1或更低版本上安装SSL证书
输入命令:
keytool -import -alias root -keystore \ -trustcacerts –file
! 注意:当您生成CSR或安装自签的keystore证书时,请使用相同的别名
例如:
C:\>keytool -import -alias myalias -keystore c:\.mykeystore -trustcacerts -file c:\webcert.txt 由于java把“cacerts”文件看作可信任的根CA,Entrust的根证书没有预埋到java 1.4.x或更低版本中,不必将证书链导入“cacerts”。
例如:
-----BEGIN CERTIFICATE-----
MIIE2DCCBEGgAwIBAgIEN0rSQzANBgkqhkiG9w0BAQUFADCBwzELMAkGA1UEBhM C
VVMxFDASBgNVBAoTC0VudHJ1c3QubmV0MTswOQYDVQQLEzJ3d3cuZW50cnVzdC 5u
ZXQvQ1BTIGluY29ycC4gYnkgcmVmLiAobGltaXRzIGxpYWIuKTElMCMGA1UECxMc KGMpIDE5OTkgRW50cnVzdC5uZXQgTGltaXRlZDE6MDgGA1UEAxMxRW50cnVzdC5u ZXQgU2VjdXJlIFNlcnZlciBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTAeFw05OTA1 MjUxNjA5NDBaFw0xOTA1MjUxNjM5NDBaMIHDMQswCQYDVQQGEwJVUzEUMBIGA 1UE
ChMLRW50cnVzdC5uZXQxOzA5BgNVBAsTMnd3dy5lbnRydXN0Lm5ldC9DUFMgaW5j b3JwLiBieSByZWYuIChsaW1pdHMgbGlhYi4pMSUwIwYDVQQLExwoYykgMTk5OSBF bnRydXN0Lm5ldCBMaW1pdGVkMTowOAYDVQQDEzFFbnRydXN0Lm5ldCBTZWN1cm Ug
U2VydmVyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIGdMA0GCSqGSIb3DQEBAQUA A4GLADCBhwKBgQDNKIM0VBuJ8w+vN5Ex/68xYMmo6LIQaO2f55M28Qpku0f1BBc/
I0dNxScZgSYMVHINiC3ZH5oSn7yzcdOAGT9HZnuMNSjSuQrfJNqc1lB5gXpa0zf3 wkrYKZImZNHkmGw6AIr1NJtl+O3jEP/9uElY3KDegjlrgbEWGWG5VLbmQwIBA6OC AdcwggHTMBEGCWCGSAGG+EIBAQQEAwIABzCCARkGA1UdHwSCARAwggEMMIH eoIHb
oIHYpIHVMIHSMQswCQYDVQQGEwJVUzEUMBIGA1UEChMLRW50cnVzdC5uZXQxO zA5
BgNVBAsTMnd3dy5lbnRydXN0Lm5ldC9DUFMgaW5jb3JwLiBieSByZWYuIChsaW1p dHMgbGlhYi4pMSUwIwYDVQQLExwoYykgMTk5OSBFbnRydXN0Lm5ldCBMaW1pdGV k
MTowOAYDVQQDEzFFbnRydXN0Lm5ldCBTZWN1cmUgU2VydmVyIENlcnRpZmljYXR p
b24gQXV0aG9yaXR5MQ0wCwYDVQQDEwRDUkwxMCmgJ6AlhiNodHRwOi8vd3d3Lm Vu
dHJ1c3QubmV0L0NSTC9uZXQxLmNybDArBgNVHRAEJDAigA8xOTk5MDUyNTE2MDk 0
MFqBDzIwMTkwNTI1MTYwOTQwWjALBgNVHQ8EBAMCAQYwHwYDVR0jBBgwFoAU 8Bdi
E1U9s/8KAGv7UISX8+1i0BowHQYDVR0OBBYEFPAXYhNVPbP/CgBr+1CEl/PtYtAa MAwGA1UdEwQFMAMBAf8wGQYJKoZIhvZ9B0EABAwwChsEVjQuMAMCBJAwDQYJK oZI
hvcNAQEFBQADgYEAkNwwAvpkdMKnCqV8IY00F6j7Rw7/JXyNEwr75Ji174z4xRAN 95K+8cPV1ZVqBLssziY2ZcgxxufuP+NXdYR6Ee9GTxj005i7qIcyunL2POI9n9cd
2cNgQ4xYDiKWL2KjLB+6rQXvqzJ4h6BUcxm1XAX5Uj5tLUUL9wqT6u0G+bI=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGEjCCBXugAwIBAgIEN0w5HDANBgkqhkiG9w0BAQQFADCBwzELMAkGA1UE BhMCVVMxFDASBgNVBAoTC0VudHJ1c3QubmV0MTswOQYDVQQLEzJ3d3cuZW50 cnVzdC5uZXQvQ1BTIGluY29ycC4gYnkgcmVmLiAobGltaXRzIGxpYWIuKTEl
MCMGA1UECxMcKGMpIDE5OTkgRW50cnVzdC5uZXQgTGltaXRlZDE6MDgGA1UE AxMxRW50cnVzdC5uZXQgU2VjdXJlIFNlcnZlciBDZXJ0aWZpY2F0aW9uIEF1 dGhvcml0eTAeFw0wMzAxMDkxNzE4MjFaFw0wMzExMTAxNzQ2NDFaMHoxCzAJ BgNVBAYTAkNBMRAwDgYDVQQIEwdPbnRhcmlvMQ8wDQYDVQQHEwZPdHRhd2Ex EDAOBgNVBAoTB0VudHJ1c3QxEzARBgNVBAsTCkVudHJ1c3QgQ1MxITAfBgNV BAMTGHd3dy50ZXN0Y2VydGlmaWNhdGVzLmNvbTCBnzANBgkqhkiG9w0BAQEF MCfPxacCAwEAAaOCA1kwggNVMAsGA1UdDwQEAwIFoDArBgNVHRAEJDAigA8y BAMCBkAwEwYDVR0lBAwwCgYIKwYBBQUHAwEwggFoBgNVHSAEggFfMIIBWzCC AVcGCSqGSIb2fQdLAjCCAUgwJgYIKwYBBQUHAgEWGmh0dHA6Ly93d3cuZW50 cnVzdC5uZXQvY3BzMIIBHAYIKwYBBQUHAgIwggEOGoIBClRoZSBFbnRydXN0 IFNTTCBXZWIgU2VydmVyIENlcnRpZmljYXRpb24gUHJhY3RpY2UgU3RhdGVt
ZW50IChDUFMpIGF2YWlsYWJsZSBhdCB3d3cuZW50cnVzdC5uZXQvY3BzICBp
IGJ5IHJlZi4gKGxpbWl0cyBsaWFiLikxJTAjBgNVBAsTHChjKSAxOTk5IEVu
dHJ1c3QubmV0IExpbWl0ZWQxOjA4BgNVBAMTMUVudHJ1c3QubmV0IFNlY3Vy ZSBTZXJ2ZXIgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkxDjAMBgNVBAMTBUNS
TDU2MCygKqAohiZodHRwOi8vd3d3LmVudHJ1c3QubmV0L0NSTC9zZXJ2ZXIx LmNybDAfBgNVHSMEGDAWgBTwF2ITVT2z/woAa/tQhJfz7WLQGjAdBgNVHQ4E
FgQU8PAQJvkXpS82OTYbatZ36ZPmzM4wCQYDVR0TBAIwADAZBgkqhkiG9n0H QQAEDDAKGwRWNS4wAwIDKDANBgkqhkiG9w0BAQQFAAOBgQCviVPHpMdBNRc+
J88+VVW8k3bQQlyIsbtBr3XYDkqS5o9tSXXmpwJU6G40StrObPdKLHI2C+ho GiXnmXjFlKXPe/pOjHnU3azNBPJR7edrp523EB0muGTadk9rhnoRNEpUAw9u hgdRmxjwjO0XhBLVPcsCiiyFoDZpaU9o3MHVXQ==
-----END CERTIFICATE-----
您需要接受这个可信CA。
Enter keystore password: password
Top-level certificate in reply:
Owner: CN=https://www.doczj.com/doc/967340222.html, Secure Server Certification Authority, OU=(c) 1999 Entrust .net Limited, OU=https://www.doczj.com/doc/967340222.html,/CPS incorp. by ref. (limits liab.), O=Entrust.n et, C=US Issuer: CN=https://www.doczj.com/doc/967340222.html, Secure Server Certification Authority, OU=(c) 1999 Entrus https://www.doczj.com/doc/967340222.html, Limited, OU=https://www.doczj.com/doc/967340222.html,/CPS incorp. by ref. (limits liab.), O=Entrust. net, C=US
Serial number: 374ad243
Valid from: Tue May 25 12:09:40 EDT 1999 until: Sat May 25 12:39:40 EDT 2019 Certificate fingerprints:
MD5: DF:F2:80:73:CC:F1:E6:61:73:FC:F5:42:E9:C5:7C:EE
SHA1: 99:A6:9B:E6:1A:FE:88:6B:4D:2B:82:00:7C:B8:54:FC:31:7E:15:39
... is not trusted. Install reply anyway? [no]: yes
证书已经装入keystore。
如果在UNIX环境下,以上的例子是颠倒的。
3) 在SUN JAVA 1.4.2或更高版本上安装SSL证书
输入命令:keytool -import -alias ralias -keystore your_keystore_filename
!请注意:当您生成CSR或安装自签的keystore证书时,请使用相同的别名
例如:
C:\>PROGRA~1\JAVA\J2RE14~1.2_0\BIN>keytool -import -alias ralias -keystore c:\15keystore -trustcacerts -file c:\certnoroot.txt
Enter keystore password: password
您将收到这样的信息:
"Certificate Reply Was Installed Into Keystore"
5如何配置SSL
1) 设置server.xml文件,举例如下:
port="443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableuploadTimeout="true"> clientAuth="false" protocol="TLS" keystoreFile="C:\.mykeystore" keystorePass="password" />
2) 启动Tomcat
从“开始”菜单或命令行进入Tomcat的Bin目录,输入Startup.bat或Catalina run启动Tomcat。
通过输入https://locahost,确认您是否能够使用自签发的证书。
输入https://localhost/admin/index.jsp,进入Tomcat管理员界面。
在Tomcat的独立服务界面点击443链接,确认您正在使用keystore的位置和您指定的文件名。
Keystore 文件名为: C:\.mykeystore
现在您可以开始申请BJCA的全球服务器证书了。
6 启动和停止Tomcat
从“开始”菜单或命令行进入Tomcat的Bin目录,输入Startup.bat或Catalina run启动Tomcat。
7 验证SSL连接
启动Tomcat,输入https://localhost:端口号,如在server.xml文件中设置端口为443,如下所示:
https://localhost
the browser will assume port 443
8 灾难恢复
找到包含密钥对的keystore文件。
将keystore文件备份到移动介质或保存到硬盘中一个安全的地方,以便恢复系统。
SSL证书验证过程解读及申请使用注意事项 SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。 本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时,对SSL证书的使用需要注意哪些安全方面的问题进行描述。 一、数字证书的类型 实际上,我们使用的数字证书分很多种类型,SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure,公钥基础结构)证书。 我们常见的数字证书根据用途不同大致有以下几种: 1、SSL证书:用于加密HTTP协议,也就是HTTPS。 2、代码签名证书:用于签名二进制文件,比如Windows内核驱动,Firefox插件,Java 代码签名等等。 3、客户端证书:用于加密邮件。 4、双因素证书,网银专业版使用的USB Key里面用的就是这种类型的证书。 这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发,针对企业与个人的不同,可申请的证书的类型也不同,价格也不同。CA机构颁发的证书都是受信任的证书,对于SSL证书来说,如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。 二、SSL证书申请与规则 SSL证书可以向CA机构通过付费的方式申请,也有CA机构提供免费SSL证书如沃通CA。 CA机构颁发的证书有效期一般只有一年到三年不等,过期之后还要再次申请,在ssl 证书应用中企业网站应用较多。但是随着个人网站的增多,以及免费SSL证书的推出,个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后,预计https网站将迎来井喷。 在申请SSL证书时需要向CA机构提供网站域名,营业执照,以及申请人的身份信息等。网站的域名非常重要,申请人必须证明自己对域名有所有权。此外,一个证书一般只绑定一个域名,比如你要申请域名时绑定的域名是https://www.doczj.com/doc/967340222.html,,那么只有在浏览器地址是
SSL与TLS 区别和联系 ssl证书类型区 分 什么是ssl SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。 SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 什么是tls 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS记录协议用于封装各种高层协议。作为这种封装协议之一的握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前彼此之间相互认证,协商加密算法和加密密钥。该协议由两层组成:TLS 记录协议(TLS Record)和TLS 握手协议(TLS Handshake) Ssl与tls的关系 ,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。 SSL是Netscape开发的专门用户保护Web通讯的,目前版本为3.0。最新版本的TLS(Transport Layer Security,传输层安全协议)是IETF(Internet Engineering Task Force,Internet工程任务组)制定的一种新的协议。最新版本的TLS 1.0,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。两者差别极小,可以理解为SSL 3.1。 Ssl与tls的功能 1. 在互联网上传输加密过的资料以达到防窃取的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明自己的身份。 何谓有效无效ssl(tls)证书?
如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.doczj.com/doc/967340222.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下
Linux下利用openssl 生成SSL证书步骤 1、概念 首先要有一个CA根证书,然后用CA根证书来签发用户证书。 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。 2、后缀详解 .key格式:私有的密钥 .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request 的缩写 .crt格式:证书文件,certificate的缩写 .crl格式:证书吊销列表,Certificate Revocation List的缩写 .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 3、添加 index.txt 和 serial 文件 cd /etc/pki/CA/ touch /etc/pki/CA/index.txt touch /etc/pki/CA/serial echo 01 > /etc/pki/CA/serial 4、CA根证书的生成 4.1 生成CA私钥(.key) openssl genrsa -out ca.key 2048 [root@CA]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............+++ .....+++ e is 65537 (0x10001) 4.2 生成CA证书请求(.csr) openssl req -new -key ca.key -out ca.csr [root@CA]# openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
IBM HTTP Server 服务器证书安装配置指南 深圳市沃通电子商务服务有限公司 2007-09
一、环境说明 服务器端:Websphere4.0(solaris8) 客户端:Win2000 p IE5.0 二、证书申请下载 1.产生证书请求 密钥文件由密钥管理器(ikeyman)产生的,在Solaris系统操作步骤如下: 2.1新建密钥数据库 a、启动密钥管理器: #./ikeyman b、点击密钥管理器的”key database file”,选择新建。接受创建默认的key.kdb或输入相应选项,点击OK
c、设置密钥口令,注意口令强度,最好是至少8位,至少包括一个大写字母,一个小写字母和一个数字。选定将口令保存到文件中选项,这样会产生一 个key.sth文件,点击OK
2.2下载安装Web服务器证书 产生证书请求 选择“personal certificate requests”,在对话框右边选择“New“,创建新的密钥和证书请求,在公用名称中填入从CFCA获得的参考号,其他依据实际情况填写,将生成的证书申请请求(CSR文件)提交给CFCA。 申请标准版时,生成CSR时按如下方式填写: 组织名(Organazation 简称“O”):请输入您的单位名称的英文简称。 组织单位名(Organization Unit Name 简称“OU”):请输入CFCA standard server。 通用名(Common Name 简称“CN”):请输入您的域名。 国家名(Country Name,简称“C”):输入CN,代表中国。 省或洲际名(State or Province Name)输入省份名称,根据实际情况填写如Beijing。 地方名(Locality Name)输城市名称,根据实际情况填写如Beijing。 申请高级版时,生成CSR时按如下方式填写: 组织名(Organazation 简称“O”):请输入您的单位名称的英文简称。
1.确定配置好java的环境变量 2.生成密钥库 新建一个密钥临时目录/home/genkey,并cd到/home/genkey 参数alias的为密钥标识第2、3、4步的命令中的alias必须完全一致 输入以下命令: keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 3650 -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 按照提示输入信息,第一个名字与姓氏必须为localhost,其他可以随意填写。 执行成功后/home/genkey下生成了一个server.keystore文件。 Tomcat: 3.导出证书 keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit 执行成功后/home/genkey下生成了一个server.cer文件。
4.导入到java信任库中 keytool -import -trustcacerts -alias tomcat -file server.cer -keystore /opt/Java/jdk1.6.0_35/jre/lib/security/cacerts -storepass changeit /opt/Java/jdk1.6.0_35修改为服务器java安装目录再执行 5.修改tomcat配置 打开tomcat目录下conf/server.xml,修改keystoreFile及keystorePass
天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:
*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。
文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。
info@https://www.doczj.com/doc/967340222.html, 使用OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记 下载Win32编译的openssl版本0.9.8e. 1.获取IIS证书请求:打开IIS,右键单击【默认网站】,在【目录安全性】选项卡中点击【服务器证书】按钮,【下一步】,【新建证书】,【现在准备证书请求--下一步】,输入【名称】,输入【单位】和【部门】,输入【公用名称】,选择【国家】并输入【省】和【市县】并【下一步】,【下一步】,【下一步】,【完成】,IIS的证书请求已经获取,就是C:\certreq.txt。这里请牢记输入的信息。 2.准备openssl工作环境:把openssl(编译后的版本)解压到D:\OpenSSL-0.9.8e\下, 在bin目录下建立目录demoCA,在demoCA下建立private和newcerts目录, 并新建index.txt,内容为空 如果没有serial文件,则到openssl网站上下载openssl的源文件,解压后,到apps\demoCA下,拷贝serial文件过来,两个目录两个文件都放到新建的 demoCA下。 3.生成自签名根证书: openssl req -x509 -newkey rsa:1024 -keyout ca.key -out ca.cer -days 3650 -config D:\OpenSSL-0.9.8e\https://www.doczj.com/doc/967340222.html,f PEM pass phrase: password // 根证书私钥密码 Verifying - Enter PEM pass phrase: password Country Name: CN // 两个字母的国家代号 State or Province Name: HB // 省份名称 Locality Name: WUHAN // 城市名称 Organization Name: Skyworth TTG // 公司名称 Organizational Unit Name: Service // 部门名称 Common Name: https://www.doczj.com/doc/967340222.html, // 你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址) Email Address: admin@https://www.doczj.com/doc/967340222.html, // Email地址
制作和使用SSL证书 在Linux环境下,一般都安装有OPENSSL。下面的内容就是用OPENSSL快速制作root 证书以及客户端证书的步骤和方法。 1、初始准备工作 1)创建一个我们制作证书的工作目录 # mkdir CA # cd CA # mkdir newcerts private 2)制作一个我们创建证书时需要的配置文件,内容可以参考见 # cd CA # vi 3)创建我们自己的证书库的索引 # echo '01' >serial # touch 2、制作一个root证书 执行下面的命令 # openssl req -new -x509 -extensions v3_ca -keyout private/ \ -out -days 3650 -config ./ 在屏幕上会出现如下的交互内容,按照提示相应的信息。注意,一定要记住PEM,这个在以后生成客户端证书时都需要。 Using configuration from ./ Generating a 1024 bit RSA private key .......++++++ ..........................++++++ writing new private key to 'private/' Enter PEM pass phrase:demo Verifying password - Enter PEM pass phrase:demo ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
使用证书服务建立S S L保护的w e b站点
使用证书服务,建立SSL保护的web站点 一、实训说明 现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。 通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。 本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。 二、实训环境与准备工作 由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。 1、虚拟机(windows 2003 server) IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。 2、计算机(本机) IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。 三、实训步骤 第一步,在计算机中安装虚拟机。 第二步,在虚拟机中安装windows 2003 server。 第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。 第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务)
第五步,在虚拟机中安装与配置证书服务。 1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。 2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。
SSL双向认证证书制作流程 ——含单向SSL 一、证书制作: 1、生成服务器密钥(库): keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -keypass 123456 -keystore server.jks -storepass 123456 CN:要签名的[域名]或[IP](说明:此处为要配置SSL服务器IP 或域名) OU:组织单位名称,如:[公司注册简称] O:组织名称,如:[公司英文全称] L:城市或地区名称,如:[Beijing] ST:州或省份名称,如:[Beijing] C:单位的两字母国家代码,如:[CN] 2、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
3、为步骤1生成的服务器密钥(库)创建自签名的证书: keytool -selfcert -alias server -keystore server.jks -storepass 123456 4、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
5、导出自签名证书: keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456 说明:此证书为后续要导入到浏览器中的受信任的根证书颁发机构。 6、生成客户端密钥(库): 说明:keytool –genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。 稍后,此P12文件将导入到IE或其他浏览器中。 keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname
Apache SSL证书安装配置方法教程 1.1 SSl证书安装环境简介 Centos 6.4 操作系统; Apache2.2.*或以上版本; Openssl 1.0.1+; SSL 证书一张(备注:本指南使用https://www.doczj.com/doc/967340222.html, 域名OV SSL 证书进行操作,通用其它版本证书) 1.2 网络环境要求 请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或http://XXX 进行正常访问。 2.1 生成请求文件csr 首先下载openssl软件,可以去openssl官网下载: https://www.doczj.com/doc/967340222.html,/source/ 下载后安装到本地计算机。 2.1.1 查看openssl 在终端输入openssl version 查看openssl当前版本。 图 1 2.1.2 生成key私钥文件 使用以下命令来生成私钥:opensslgenrsa -des3 -out https://www.doczj.com/doc/967340222.html,.key 2048,生成的私钥保存在当期目录。
图 2 2.1.3 生成csr文件 使用以下命令来生成私钥:opensslreq -new -key https://www.doczj.com/doc/967340222.html,.key -out https://www.doczj.com/doc/967340222.html,.csr 图 3 Country Name (2 letter code) [GB]: 输入国家地区代码,如中国的CN State or Province Name (full name) [Berkshire]: 地区省份 Locality Name (eg, city) [Newbury]: 城市名称 Organization Name (eg, company) [My Company Ltd]: 公司名称 Organizational Unit Name (eg, section) []: 部门名称
SSL证书的主要用途 目前只有部署SSL证书才能有效地保证网上机密信息的安全,SSL证书的主要用途有: 1.确保用户输入的登录密码能从用户电脑自动加密传输到服务器,从而大大降低用户密码被盗的可能性。有关统计表明:部署SSL证书后,可以降低80%的由于用户密码问题带来的客户服务工作量,这将为服务提供商降低客服成本。 2.确保用户安全登录后在线提交个人机密信息、公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输,防止非法窃取和非法篡改。 3.让在线用户能在线查询网站服务器的真实身份,防止被假冒网站所欺诈。如假冒银行网站,用户只要查看SSL证书中的主题信息的O字段就能了解此网站并不是真正的银行网站; 而被列入黑名单的欺诈网站,IE7浏览器能实时帮助用户识别。使用EV服务器证书更可以获得大部分主流浏览器绿色地址栏支持。EV证书与浏览器的安全功能结合更加紧密,使站点真实性更加可靠,帮助用户更容易识别假冒站点。EV 证书的签发遵循全球统一的标准“EV证书签发和管理指南”,有效避免误签的风险。 4.让在线用户放心,这点对于电子商务网站非常重要,因为部署了SSL证书,一方面表明服务提供商采取了可靠的技术措施来保证用户的机密信息安全;另一方面更重要的是,可以让用户了解到此网站的真实身份已经通过权威的第三方认证,网站身份是真实的,是现实世界合法存在的企业。 5.法律法规遵从:部署SSL证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施,这对于企业的健康发展非常重要。 全球最值得信任的网络基础架构供应商——威瑞信(VeriSign)公司提供的Web 服务器证书(SSL证书)可以确保您的网站与您的客户之间安全的信息传输,为超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家提供了数字认证服务。VeriSign提供的扩展验证(EV)SSL证书(extended validation ssl certificates)产品可以最大限度上提升客户交易信心。截至目前,全球范围有超过百万台服务器部署了VeriSign SSL证书,并且这一数字还在不断刷新。 VeriSign SSL证书还提供50万至150万美元的保单协议,为用户提供身份认证担保服务以及信息传输安全担保服务。确保不会错误的发行证书,并保障数据传输安全可靠。 本文由:ev ssl证书https://www.doczj.com/doc/967340222.html,/整理
集美大学计算机工程学院学院实验报告 课程名称:计算机信息安全技术班级:计算1191 实验成绩: 指导教师:高东伟姓名:黄宏荣 实验项目名称:证书使用和SSL实验学号:2011957009 上机实践日期:2014.12.4 实验项目编号:实验八组号:上机实践时间:学时 一、目的 完成本实验,应能够: 1.列举浏览器所配置的受信任的证书颁发机构。 2.安装并配置证书颁发机构服务器。 3.创建证书请求。 4.颁发/签署证书。 5.用SSL安全化Web站点。 6.描述当以SSL连接时Web页面使用的过程。 二、实验使用环境 1.Windows XP Professional(与2000系统机器能相互访问) 2.Windows 2000 Advanced Server(IP:192.168.174.128) 要求配置了默认Web服务器。 3.Windows 2000 Advanced Server 安装CD或ISO 三、实验步骤和调试过程 步骤1 查看受信任的根证书颁发机构。 Web浏览器通常配置了许多来自证书颁发机构的证书,先来看一下。 在Windows XP Professional PC机: 1) 打开Internet Explorer。
2) 单击“工具”、“Internet选项”。 3)选中“内容”选项卡,并在内容窗口中单击“证书”。
4) 在打开的证书窗口中选择“受信任的根证书颁发机构”,出现图1-2。
5)在打开的证书窗口中任意双击一个证书,查看该证书的有效期和作用。 步骤2 安装并配置证书颁发机构服务器。 将Windows 2000 Advanced Server配置成证书颁发机构服务器。 1) 在控制面板里选择添加/删除程序,再选择安装/删除Windows组件。
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 SSL证书安全认证的原理: 安全套接字层(SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。 SSL证书的功能: a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。 b 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。 其实现原理图如下图1所示: SSL证书的原理在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。 最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。
使用证书服务,建立SSL保护的web站点 一、实训说明 现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。 通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。 本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。 二、实训环境与准备工作 由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。 1、虚拟机(windows 2003 server) IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。 2、计算机(本机) IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。 三、实训步骤 第一步,在计算机中安装虚拟机。 第二步,在虚拟机中安装windows 2003 server。 第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。 第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务) 第五步,在虚拟机中安装与配置证书服务。 1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。
2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。 3、在打开的“CA类型”对话框中选中“独立根(CA)”单选框,单击“下一步”按钮,如图所示。
Websphere服务器证书 安装配置说明文档 深圳市电子商务安全证书管理有限公司 2007年01月23日
深圳市电子商务安全证书管理有限公司. 第 1 页 目 录 1 应用环境.......................................................................................................................................... 1 2 申请服务器证书 .............................................................................................................................. 1 2.1 简要 ....................................................................................................... 错误!未定义书签。 2.2 产生KEYSTORE 文件WEBSPHERE .JKS ................................................... 错误!未定义书签。 2.3 产生证书请求CERTREQ .PEM 文件 .......................................................................................... 3 2.4 产生证书请求CERTREQ .PEM 文件 (3) 3 下载服务器证书 .............................................................................................................................. 4 4 下载CA 根证书 .............................................................................................................................. 5 5 服务器证书安装 .............................................................................................................................. 6 5.1 将CA 根证书与服务器证书导入到WEBSPHERE .JKS 文件中 ............................................... 6 5.2 生成CACERTS 文件 ................................................................................................................. 6 5.3 添加根证书到CACERTS .......................................................................................................... 7 5.4 将WEBSPHERE .JKS ,CACERTS 拷贝到2.2中相同的目录 (7) 6 WEBSPHERE 中SSL 配置 .......................................................................................................... 8 6.1 在WEBSPHERE 中修改SSL 配置 ............................................................................................. 8 6.2 对特定应用程序进行SSL 配置 (10) 7 测试配置........................................................................................................................................ 14 8 WEBSPHERE 中CRL 配置 (16)
常见SSL证书问题集锦 1. 如何实现用户用访问http时自动跳转到https的访问地址? 实现网页的自动跳转有两种方式: A 增加重定向到https B 在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—> 2. 同一张服务器证书是否可以配置在多台服务器上? 不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。 3. 多台服务器多个域名,该如何选购SSL证书? 一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站: https://www.doczj.com/doc/967340222.html, https://www.doczj.com/doc/967340222.html, https://www.doczj.com/doc/967340222.html, https://www.doczj.com/doc/967340222.html, 申请通配型SSL证书时填写的通用名称(Common Name)为: *https://www.doczj.com/doc/967340222.html, 。 与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:https://www.doczj.com/doc/967340222.html,、https://www.doczj.com/doc/967340222.html,、 https://www.doczj.com/doc/967340222.html,、https://www.doczj.com/doc/967340222.html,、https://www.doczj.com/doc/967340222.html,、https://www.doczj.com/doc/967340222.html,、https://www.doczj.com/doc/967340222.html,、 https://www.doczj.com/doc/967340222.html,等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。 请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。 4. 部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?
TongWeb5.0服务器SSL配置 一、前提准备 安装配置好TongWeb5.0,确保能正常运行。 获取有CA中心签发的证书文件,需要为已经导入了证书的JKS文件(keystore文件),获取证书的别名和密码。 二、配置证书 复制证书文件,如server.jks到TongWeb_home/config目录。 修改TongWeb_home/bin目录下启动脚本中证书配置参数,包括证书文件路径和密码。以windows环境下为例 SetTW_OPTS=%TW_OPTS% https://www.doczj.com/doc/967340222.html,.ssl.keyStore="%TWNS_HOME%\config\server.jks" set TW_OPTS=%TW_OPTS% https://www.doczj.com/doc/967340222.html,.ssl.trustStore="%TWNS_HOME%\config\ server.jks " set TW_OPTS=%TW_OPTS% https://www.doczj.com/doc/967340222.html,.ssl.keyStorePassword=123456 set TW_OPTS=%TW_OPTS% https://www.doczj.com/doc/967340222.html,.ssl.trustStorePassword=123456 注:windows下若已经注册TongWeb到系统服务,则需要对应修改tws.xml文件中相同的参数。该文件位于bin目录下或者server\server1和server\server2目录下。Linux下可修改startservernohup.sh文件。 配置完成后重新启动TongWeb,确认可正常启动。 三、配置SSL 登录TongWeb管理控制台http://127.0.0.1:9060/twns,用户名:twns,密码:twns 选择服务配置---WEB容器---HTTP通道,然后选择新建或者修改已经存在的通道属性。