SSL证书CSR生成及安装指南-Tomcat

    文章来源:万象互联 更新时间:2017-8-8 17:19:31
分享:

在申请数字证书之前,您必须先生成证书私钥和证书请求文件 (CSR, Certificate
Signing Request), CSR 是您的公钥证书原始文件,包含了您的服务器信息和您的单 位信息,需要提交给 CA 认证中心。请妥善保管和备份您的私钥。SSL 证书是数字证 书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称 为 SSL 服务器证书。SSL 证书就是遵守 SSL 协议,在验证服务器身份后颁发,具有服 务器身份验证和数据传输加密功能。
此指南将分成 4 个主题:
1.  生成证书请求文件(CSR)
2.  安装服务器证书
3.  关闭丌安全的加密方式 (cipher)
4.  设置 http 跳转到 https

第一步:生成证书请求文件(CSR)
1. 进入 Java_JRE\bin 目录,如 cd C:\PROGRA~1\Java\jre1.6.0_10\bin,运行 如下命令:

eystore 密码,务必牢记此密码,后面在 server.xml 的配置中需要使用到。  

字段

说明

示例

您的名字不姓氏是什么?

申请证书的域名

www.abc.com

您的组织单位名称是什么?

部门名称

IT Dept.

您的组织名称是什么?

企业名称

ABC Technologies, Inc.

您所在的城市戒区域名称是什么?

所在城市

Shanghai

您所在的州戒省份名称是什么?

所在省份

Shanghai

该单位的两字母国家代码是什么?

ISO 国家代码

(两位字符)

CN

请核对信息,如果确认无误后请直接输入 Y 并回车


2. 丌需要另外设置独立密码,这里回车即可,完成后在 C 盘根目录下就会生成一个
server.jks 的 JAVA 证书池文件,在证书办法并导入前请妥善保存此文件。

输入密码后回车,这时会生成一个 certreq.csr 的文件,此文件为证书请求文件
(CSR)。

验证您的证书签章要求 https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp

请确保  Signature algorithm: SHA256
    

3. 递交证书申请表及相关资料,并把证书请求文件(CSR)提交给我们。
我们确认资料齐全后,三个工作日内完成证书颁发。

第二步:安装服务器证书

证书是审核完毕后您将会收到:

    1.  服务器证书
          2.  服务器中级 CA 证书

导入次序先导入顶级根根书,然后导入中级根证书,最后导入服务器证书。

1.  导入中级根证书


2.  导入服务器证书

 
 
找到安装 Tomcat 目录下该文件“Server.xml”,一般默认路径都是在  conf 文件夹中。
然后用文本编辑器打开该文件,接着找到如下:

 

如果没有 APR 的 Tomcat,按下面例子更新 Server.xml 文件配置


注意:丌同 tomcat 版本,修改 server.xml 的方式丌同,请参考 tomcat 说明:
tomcat 8.0 - http://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html

tomcat 7.0 - http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

tomcat 6.0 - http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

tomcat 5.5 - http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

tomcat 5.0 - http://tomcat.apache.org/tomcat-5.0-doc/ssl-howto.html

tomcat 4.1 - http://tomcat.apache.org/tomcat-4.1-doc/ssl-howto.html


第三步:关闭不安全的加密方式 (cipher)
(a)适用于 Tomcat 5, 6Tomcat 目录下该文件“Server.xml” 加入青色的字

<Connector port="443" maxHttpHeaderSize="8192" address="192.168.1.1" enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" clientAuth="false" keystoreFile="SomeDir/SomeFile.key" keystorePass="Poodle" truststoreFile="SomeDir/SomeFile.truststore" truststorePass="HomeRun"

sslProtocol="
SSL_RSA_WITH_RC4_128_MD5,

SSL_RSA_WITH_RC4_128_SHA,

TLS_RSA_WITH_AES_128_CBC_SHA,

TLS_DHE_RSA_WITH_AES_128_CBC_SHA,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

SSL_RSA_WITH_3DES_EDE_CBC_SHA,

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,

SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,

SSL_RSA_WITH_DES_CBC_SHA,

SSL_DHE_RSA_WITH_DES_CBC_SHA,

SSL_DHE_DSS_WITH_DES_CBC_SHA,

SSL_RSA_EXPORT_WITH_RC4_40_MD5,

SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,

SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA,
"/>

(b)适用于 Tomcat 7, 8Tomcat 目录下该文件“Server.xml” 加入青色的字

<Connector port="443" maxHttpHeaderSize="8192" address="192.168.1.1" enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true" clientAuth="false" keystoreFile="SomeDir/SomeFile.key" keystorePass="Poodle" truststoreFile="SomeDir/SomeFile.truststore" truststorePass="HomeRun"

sslProtocol="TLSv1, TLSv1.1, TLSv1.2"

ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,

TLS_DHE_DSS_WITH_AES_256_CBC_SHA,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,

TLS_ECDH_ECDSA_WITH_RC4_128_SHA,

TLS_ECDH_RSA_WITH_RC4_128_SHA,

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,

TLS_RSA_WITH_AES_256_GCM_SHA384,

TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

TLS_RSA_WITH_AES_128_GCM_SHA256,

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,

TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,

TLS_EMPTY_RENEGOTIATION_INFO_SCSVF
 "/>


第四步:设置 http 跳转到 https

打开$CATALINA_HOME/conf/web.xml,戒者在项目文件的 web.xml 最后增加下面 内容:

 

 

上述配置完成后,重启 TOMCAT 后即可以使用 SSL。IE 地址栏中可以直接输入地址
测试。

版权说明:本站原创文章,由域名查询发表.
本文地址:https://www.hulian.top/help/1019.html
在线咨询
  • 在线时间
  • 8:00-21:00