Αυτό το πώς να απεικονίσει πώς να εγκαταστήσετε πιστοποιητικά SSL σε ένα Tomcat ή σε άλλο διακομιστή που βασίζεται σε Java με keytool, ένα εργαλείο γραμμής εντολών για τη διαχείριση κλειδιών και πιστοποιητικών σε Java KeyStore.
Πιστοποιητικά ρίζας και ενδιάμεσου
Η σωστή λειτουργία ενός πιστοποιητικού διακομιστή εξαρτάται από την επιτυχή εγκατάσταση των ενδιάμεσων και των πιστοποιητικών ρίζας. Η πλήρης αλυσίδα πιστοποιητικών SSL.com περιλαμβάνει συνήθως 4 αρχεία (οι παλαιότερες ρίζες USERTRUST χρησιμοποιούν επίσης 4 αρχεία):
Ρίζες SSL.com
| Αρχεία πιστοποιητικών |
Περιγραφή |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | Πιστοποιητικό Root 1 |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Πιστοποιητικό Root 2 |
| SSL_COM_RSA_SSL_SUBCA.crt | Ενδιάμεσο Πιστοποιητικό |
| your_domain_here.crt | Υπογεγραμμένο πιστοποιητικό διακομιστή |
Ρίζες USERTRUST
| Αρχεία πιστοποιητικών |
Περιγραφή |
|---|---|
| AAACertificateServices.crt | Πιστοποιητικό ρίζας |
| USERTrustRSAAAACA.crt | Ενδιάμεσο πιστοποιητικό 1 |
| SSLcomDVCA_2.crt | Ενδιάμεσο πιστοποιητικό 2 |
| your_domain_here.crt | Υπογεγραμμένο πιστοποιητικό διακομιστή |
Εγκατάσταση πιστοποιητικού με Keytool
domain.key με το όνομα του κλειδιού σας.Χρησιμοποιήστε την εντολή keytool για να εισαγάγετε τα πιστοποιητικά ρίζας ως εξής (χρησιμοποιήστε τις καρτέλες με δυνατότητα κλικ για να επιλέξετε ανάμεσα στις οδηγίες για τις ρίζες SSL.com και τις ρίζες USERTRUST:
Χρησιμοποιήστε την εντολή keytool για να εισαγάγετε το πιστοποιητικό ρίζας Certum ως εξής:
keytool -εισαγωγή -trustcacerts -alias root1 -αρχείο CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
Χρησιμοποιήστε την ίδια διαδικασία για το πιστοποιητικό ρίζας SSL.com χρησιμοποιώντας την εντολή keytool (σημειώστε ότι το ψευδώνυμο είναι ελαφρώς διαφορετικό από πριν):
keytool -εισαγωγή -trustcacerts -alias root2 -αρχείο SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
Στη συνέχεια, θα εγκαταστήσετε το ενδιάμεσο πιστοποιητικό:
keytool -εισαγωγή -trustcacerts -alias INTER -αρχείο SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Χρησιμοποιήστε την εντολή keytool για να εισαγάγετε το πιστοποιητικό ρίζας USERTRUST ως εξής:
keytool -εισαγωγή -trustcacerts -alias root -file AAACertificateServices.crt -keystore domain.key
Χρησιμοποιήστε την ίδια διαδικασία για το πρώτο ενδιάμεσο πιστοποιητικό χρησιμοποιώντας την εντολή keytool:
keytool -εισαγωγή -trustcacerts -alias INTER1 -αρχείο USERTrustRSAAAACA.crt -keystore domain.key
Στη συνέχεια, θα εγκαταστήσετε το δεύτερο ενδιάμεσο πιστοποιητικό (σημειώστε ότι το ψευδώνυμο είναι ελαφρώς διαφορετικό από πριν):
keytool -εισαγωγή -trustcacerts -alias INTER2 -αρχείο SSLcomDVCA_2.crt -keystore domain.key
Χρησιμοποιήστε την ίδια διαδικασία για το πιστοποιητικό τοποθεσίας χρησιμοποιώντας την εντολή keytool. Το ψευδώνυμο για αυτό το πιστοποιητικό πρέπει να ταιριάζει με το ψευδώνυμο που χρησιμοποιήσατε κατά τη δημιουργία του CSR.
keytool -import -trustcacerts -alias yyy (όπου yyy είναι το ψευδώνυμο που καθορίζεται κατά τη διάρκεια CSR δημιουργία) -file domain.crt -keystore domain.key
Στη συνέχεια ζητείται ο κωδικός πρόσβασης:Enter keystore password: (Αυτό είναι αυτό που χρησιμοποιήθηκε κατά τη διάρκεια CSR δημιουργία)
Θα εμφανιστούν οι ακόλουθες πληροφορίες σχετικά με το πιστοποιητικό ssl και θα ερωτηθείτε εάν θέλετε να το εμπιστευτείτε (η προεπιλογή είναι όχι, πληκτρολογήστε «y» ή «yes»):
Ιδιοκτήτης: CN = Root, O = Root, C = US Εκδότης: CN = Root, O = Root, C = US Σειριακός αριθμός: 111111111111 Ισχύει από: Παρ JAN 01 23:01:00 GMT 1990 έως: Πέμπτη 01 Ιανουαρίου 23: 59:00 GMT 2050 Πιστοποιητικά δακτυλικά αποτυπώματα: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Εμπιστεύεστε αυτό το πιστοποιητικό; [όχι]:
Στη συνέχεια, θα εμφανιστεί ένα μήνυμα πληροφοριών ως εξής:
Προστέθηκε πιστοποιητικό στο keystore
Όλα τα πιστοποιητικά έχουν πλέον φορτωθεί και θα παρουσιαστεί το σωστό πιστοποιητικό ρίζας.
