To instrukcje ilustrują sposób instalowania certyfikatów SSL na serwerze Tomcat lub innym serwerze opartym na Javie keytool
, narzędzie wiersza polecenia do zarządzania kluczami i certyfikatami w magazynie kluczy Java.
Certyfikaty root i pośrednie
Prawidłowe funkcjonowanie certyfikatu serwera zależy od pomyślnej instalacji certyfikatów pośrednich i głównych. Cały łańcuch certyfikatów SSL.com zazwyczaj zawiera 4 pliki (starsze katalogi główne USERTRUST również używają 4 plików):
Korzenie SSL.com
Pliki certyfikatów |
Opis |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Certyfikat root 1 |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Certyfikat root 2 |
SSL_COM_RSA_SSL_SUBCA.crt | Świadectwo pośrednie |
twoja_domena_here.crt | Podpisany certyfikat serwera |
Korzenie USERTRUST
Pliki certyfikatów |
Opis |
---|---|
AAACertificateServices.crt | Certyfikat główny |
USERtrustRSAAAACA.crt | Pośredni certyfikat 1 |
SSLcomDVCA_2.crt | Pośredni certyfikat 2 |
twoja_domena_here.crt | Podpisany certyfikat serwera |
Instalacja certyfikatu za pomocą Keytool
domain.key
z nazwą twojego magazynu kluczy.Użyj polecenia keytool, aby zaimportować certyfikaty główne w następujący sposób (użyj klikalnych kart, aby wybrać instrukcje dla katalogów głównych SSL.com i USERTRUST:
Użyj polecenia keytool, aby zaimportować certyfikat główny Certum w następujący sposób:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -domena magazynu kluczy.key
Użyj tego samego procesu dla certyfikatu głównego SSL.com za pomocą polecenia keytool (zauważ, że alias różni się nieco od poprzedniego):
keytool -import -trustcacerts -alias root2 -plik SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -magazyn kluczy domena.klucz
Następnie zainstalujesz certyfikat pośredni:
keytool -import -trustcacerts -alias INTER -plik SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Użyj polecenia keytool, aby zaimportować certyfikat główny USERTRUST w następujący sposób:
keytool -import -trustcacerts -alias root -file AAACertificateServices.crt -keystore domena.klucz
Użyj tego samego procesu dla pierwszego certyfikatu pośredniego za pomocą polecenia keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore domena.klucz
Następnie zainstalujesz drugi certyfikat pośredni (zwróć uwagę, że alias jest nieco inny niż wcześniej):
keytool -import -trustcacerts -alias INTER2 -plik SSLcomDVCA_2.crt -keystore domain.key
Użyj tego samego procesu dla certyfikatu witryny, używając polecenia keytool. Alias tego certyfikatu powinien być zgodny z aliasem użytym podczas tworzenia pliku CSR.
keytool -import -trustcacerts -alias yyy (gdzie yyy jest aliasem podanym podczas CSR tworzenie) -file domena.crt -keystore domena.klucz
Następnie wymagane jest hasło:Enter keystore password:
(To jest ten używany podczas CSR kreacja)
Zostaną wyświetlone następujące informacje o certyfikacie ssl i zostaniesz zapytany, czy chcesz mu ufać (domyślnie nie jest, więc wpisz „y” lub „tak”):
Właściciel: CN = root, O = root, C = amerykański Wystawca: CN = root, O = root, C = amerykański Numer seryjny: 111111111111 Obowiązuje od: piątek 01 23:01:00 GMT 1990 do: czw 01 stycznia 23: 59:00 GMT 2050 Odciski palców certyfikatu: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Ufasz temu certyfikatowi? [Nie]:
Następnie wyświetli się komunikat informacyjny w następujący sposób:
Certyfikat został dodany do magazynu kluczy
Wszystkie certyfikaty są teraz załadowane i zostanie wyświetlony poprawny certyfikat główny.