يوضح هذا الكيفية كيفية تثبيت شهادات SSL على خادم Tomcat أو خادم آخر يستند إلى Java باستخدام keytool، أداة سطر أوامر لإدارة المفاتيح والشهادات في Java KeyStore.
الشهادات الأساسية والوسيطة
يعتمد التشغيل الصحيح لشهادة خادم على التثبيت الناجح للشهادات المتوسطة والجذرية. تتضمن سلسلة شهادات SSL.com الكاملة عادةً 4 ملفات (تستخدم جذور USERTRUST القديمة أيضًا 4 ملفات):
جذور SSL.com
| ملفات الشهادة |
الوصف |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | شهادة الجذر 1 |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | شهادة الجذر 2 |
| SSL_COM_RSA_SSL_SUBCA.crt | الشهادة المتوسطة |
| your_domain_here.crt | شهادة خادم موقعة |
جذور USERTRUST
| ملفات الشهادة |
الوصف |
|---|---|
| AAACertificateServices.crt | شهادة الجذر |
| USERTrustRSAAAACA.crt | الشهادة المتوسطة 1 |
| SSLcomDVCA_2.crt | الشهادة المتوسطة 2 |
| your_domain_here.crt | شهادة خادم موقعة |
تثبيت الشهادة باستخدام Keytool
domain.key مع اسم مخزن المفاتيح الخاص بك.استخدم الأمر keytool لاستيراد شهادة (شهادات) الجذر كما يلي (استخدم علامات التبويب القابلة للنقر للتحديد بين التعليمات الخاصة بجذور SSL.com وجذور USERTRUST:
استخدم الأمر keytool لاستيراد شهادة جذر Certum كما يلي:
keytool -import -trustcacerts -alias root1 -ملف CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
استخدم نفس العملية لشهادة SSL.com الجذر باستخدام الأمر keytool (لاحظ أن الاسم المستعار مختلف قليلاً عن ذي قبل):
keytool -import -trustcacerts -alias root2 -ملف SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
بعد ذلك ، ستقوم بتثبيت الشهادة المتوسطة:
keytool -import -trustcacerts -alias INTER -ملف SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
استخدم الأمر keytool لاستيراد شهادة جذر USERTRUST كما يلي:
keytool-import -trustcacerts -alias root-file AAACertificateServices.crt -keystore domain.key
استخدم نفس العملية للشهادة المتوسطة الأولى باستخدام الأمر keytool:
keytool -import -trustcacerts -alias INTER1 -ملف USERTrustRSAAAACA.crt -keystore domain.key
بعد ذلك ، ستقوم بتثبيت الشهادة المتوسطة الثانية (لاحظ أن الاسم المستعار مختلف قليلاً عن السابق):
keytool -import -trustcacerts -alias INTER2 -ملف SSLcomDVCA_2.crt -keystore domain.key
استخدم نفس العملية لشهادة الموقع باستخدام الأمر keytool. يجب أن يتطابق الاسم المستعار لهذه الشهادة مع الاسم المستعار الذي استخدمته عند إنشاء ملف CSR.
keytool -import -trustcacerts -alias yyy (حيث yyy هو الاسم المستعار المحدد أثناء CSR إنشاء) -ملف domain.crt -keystore domain.key
ثم يتم طلب كلمة المرور:Enter keystore password: (هذا هو الذي استخدم خلال CSR خلق)
سيتم عرض المعلومات التالية حول شهادة SSL وسيتم سؤالك عما إذا كنت تريد الوثوق بها (الإعداد الافتراضي هو لا ، لذا اكتب "y" أو "نعم"):
المالك: CN = Root، O = Root، C = US جهة الإصدار: CN = Root، O = Root، C = US Serial number: 111111111111 صالح من: Fri JAN 01 23:01:00 GMT 1990 حتى: Thu JAN 01 23: 59:00 GMT 2050 بصمات الشهادة: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: قرص مضغوط: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 هل تثق بهذه الشهادة؟ [لا]:
ثم ستظهر رسالة معلومات على النحو التالي:
تمت إضافة الشهادة إلى ملف تخزين المفاتيح
يتم الآن تحميل جميع الشهادات وسيتم تقديم شهادة الجذر الصحيحة.
