Това ръководство илюстрира как да инсталирате SSL сертификати на Tomcat или друг Java-базиран сървър с keytool
, инструмент за команден ред за управление на ключове и сертификати в Java KeyStore.
Коренови и междинни сертификати
Правилното функциониране на сървърния сертификат зависи от успешната инсталация на междинни и коренни сертификати. Пълната верига от сертификати SSL.com обикновено включва 4 файла (по-старите корени на USERTRUST също използват 4 файла):
Корените на SSL.com
Досиета за сертификати |
Описание |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Сертификат Root 1 |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Сертификат Root 2 |
SSL_COM_RSA_SSL_SUBCA.crt | Междинен сертификат |
вашият_домейн_тук.crt | Подписан сертификат на сървъра |
USERTRUST корени
Досиета за сертификати |
Описание |
---|---|
AAACertificateServices.crt | Root сертификат |
USERTrustRSAAAACA.crt | Междинен сертификат 1 |
SSLcomDVCA_2.crt | Междинен сертификат 2 |
вашият_домейн_тук.crt | Подписан сертификат на сървъра |
Инсталиране на сертификат с Keytool
domain.key
с името на вашето хранилище на ключове.Използвайте командата keytool, за да импортирате корен (и) на сертификат (и), както следва (използвайте раздели, които можете да кликнете, за да изберете между инструкции за корени SSL.com и корени USERTRUST:
Използвайте командата keytool, за да импортирате Certum root сертификат, както следва:
keytool -import -trustcacerts -alias root1 -файл CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
Използвайте същия процес за коренния сертификат SSL.com, като използвате командата keytool (обърнете внимание, че псевдонимът е малко по-различен от преди):
keytool -import -trustcacerts -псевдоним root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
След това ще инсталирате междинния сертификат:
keytool -import -trustcacerts -псевдоним INTER -файл SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Използвайте командата keytool, за да импортирате USERTRUST root сертификат, както следва:
keytool -import -trustcacerts -alias root -файл AAACertificateServices.crt -keystore domain.key
Използвайте същия процес за първия междинен сертификат, използвайки командата keytool:
keytool -import -trustcacerts -alias INTER1 -файл USERTrustRSAAAACA.crt -keystore domain.key
След това ще инсталирате втория междинен сертификат (забележете, че псевдонимът е малко по-различен от преди):
keytool -import -trustcacerts -alias INTER2 -file SSLcomDVCA_2.crt -keystore domain.key
Използвайте същия процес за сертификата на сайта, като използвате командата keytool. Псевдонимът на този сертификат трябва да съответства на псевдонима, който сте използвали при създаването на CSR.
keytool -import -trustcacerts -alias yyy (където yyy е псевдоним, посочен по време на CSR създаване) -файл domain.crt -keystore domain.key
След това паролата се изисква:Enter keystore password:
(Това е този, използван по време на CSR създаване)
Ще се покаже следната информация за ssl сертификата и ще бъдете попитани дали искате да му се доверите (по подразбиране не е, така че напишете „y“ или „да“):
Собственик: CN = Root, O = Root, C = US Издател: CN = Root, O = Root, C = US Пореден номер: 111111111111 Валиден от: Fri JAN 01 23:01:00 GMT 1990 до: Thu JAN 01 23: 59:00 GMT 2050 Отпечатъци на сертификат: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Да се доверите на този сертификат? [не]:
Тогава ще се покаже информационно съобщение, както следва:
Сертификатът беше добавен в магазина за ключове
Всички сертификати вече са заредени и ще бъде представен правилния root сертификат.