В этом руководстве показано, как установить сертификаты SSL на Tomcat или другой сервер на базе Java с keytool
инструмент командной строки для управления ключами и сертификатами в хранилище ключей Java.
Корневые и промежуточные сертификаты
Правильное функционирование сертификата сервера зависит от успешной установки промежуточных и корневых сертификатов. Полная цепочка сертификатов SSL.com обычно включает 4 файла (более старые корни USERTRUST также используют 4 файла):
SSL.com корни
Файлы сертификатов |
Описание |
---|---|
CERTUM_TRUSTED_NETWORK_CA.crt | Root 1 сертификат |
SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | Root 2 сертификат |
SSL_COM_RSA_SSL_SUBCA.crt | Промежуточный сертификат |
ваш_домен_здесь.crt | Сертификат подписанного сервера |
USERTRUST корни
Файлы сертификатов |
Описание |
---|---|
AAACertificateServices.crt | Корневой сертификат |
ПОЛЬЗОВАТЕЛЬTrustRSAAAACA.crt | Промежуточный сертификат 1 |
SSLcomDVCA_2.crt | Промежуточный сертификат 2 |
ваш_домен_здесь.crt | Сертификат подписанного сервера |
Установка сертификата с помощью Keytool
domain.key
с вашим именем хранилища ключей.Используйте команду keytool для импорта корневого сертификата (ов) следующим образом (используйте интерактивные вкладки, чтобы выбрать между инструкциями для корней SSL.com и корней USERTRUST:
Используйте команду keytool для импорта корневого сертификата Certum следующим образом:
keytool -import -trustcacerts -alias root1 -file CERTUM_TRUSTED_NETWORK_CA.crt -keystore domain.key
Используйте тот же процесс для корневого сертификата SSL.com с помощью команды keytool (обратите внимание, что псевдоним немного отличается от предыдущего):
keytool -import -trustcacerts -alias root2 -file SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
Далее вы установите промежуточный сертификат:
keytool -import -trustcacerts -alias INTER -file SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
Используйте команду keytool для импорта корневого сертификата USERTRUST следующим образом:
keytool -import -trustcacerts -корневой псевдоним -файл AAACertificateServices.crt -keystore domain.key
Используйте тот же процесс для первого промежуточного сертификата, используя команду keytool:
keytool -import -trustcacerts -alias INTER1 -file USERTrustRSAAAACA.crt -keystore domain.key
Затем вы установите второй промежуточный сертификат (обратите внимание, что псевдоним немного отличается от предыдущего):
keytool -import -trustcacerts -alias INTER2 -файл SSLcomDVCA_2.crt -keystore domain.key
Используйте тот же процесс для сертификата сайта с помощью команды keytool. Псевдоним для этого сертификата должен совпадать с псевдонимом, который вы использовали при создании CSR.
keytool -import -trustcacerts -alias yyy (где yyy - это псевдоним, указанный в CSR создание) -файл domain.crt -keystore domain.key
Затем запрашивается пароль:Enter keystore password:
(Это тот, который используется во время CSR создание)
Следующая информация будет отображаться о сертификате ssl, и вас спросят, хотите ли вы доверять ему (по умолчанию нет, поэтому введите «y» или «да»):
Владелец: CN = Root, O = Root, C = US Эмитент: CN = Root, O = Root, C = US Серийный номер: 111111111111 Действителен с: пт, 01 января, 23:01:00 по Гринвичу, 1990 до: четверг, 01 января, 23 января: 59:00 GMT 2050 Отпечатки сертификатов: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 Доверять этому сертификату? [нет]:
Тогда информационное сообщение будет отображаться следующим образом:
Сертификат добавлен в хранилище ключей
Все сертификаты теперь загружены, и будет представлен правильный корневой сертификат.