วิธีการนี้แสดงให้เห็นถึงวิธีการติดตั้งใบรับรอง SSL บน Tomcat หรือเซิร์ฟเวอร์ที่ใช้ Java อื่น ๆ ด้วย keytoolเป็นเครื่องมือบรรทัดคำสั่งสำหรับจัดการคีย์และใบรับรองใน Java KeyStore
ใบรับรอง Root และ Intermediate
การทำงานที่เหมาะสมของใบรับรองเซิร์ฟเวอร์ขึ้นอยู่กับการติดตั้งใบรับรองกลางและใบรับรองรูทสำเร็จ กลุ่มใบรับรอง SSL.com ที่สมบูรณ์โดยทั่วไปจะมี 4 ไฟล์ (ราก USERTRUST ที่เก่ากว่านั้นใช้ 4 ไฟล์)
ราก SSL.com
| ไฟล์ใบรับรอง |
รายละเอียด |
|---|---|
| CERTUM_TRUSTED_NETWORK_CA.crt | ใบรับรองรูท 1 |
| SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt | ใบรับรองรูท 2 |
| SSL_COM_RSA_SSL_SUBCA.crt | ใบรับรองระดับกลาง |
| your_domain_here.crt | ใบรับรองเซิร์ฟเวอร์ที่เซ็นชื่อ |
USERTRUST root
| ไฟล์ใบรับรอง |
รายละเอียด |
|---|---|
| AAACertificateServices.crt | ใบรับรองหลัก |
| USERTrustRSAAAACA.crt | ใบรับรองระดับกลาง 1 |
| SSLcomDVCA_2.crt | ใบรับรองระดับกลาง 2 |
| your_domain_here.crt | ใบรับรองเซิร์ฟเวอร์ที่เซ็นชื่อ |
การติดตั้งใบรับรองด้วย Keytool
domain.key ด้วยชื่อที่เก็บคีย์ของคุณใช้คำสั่ง keytool เพื่ออิมพอร์ตใบรับรองรูทดังต่อไปนี้ (ใช้แท็บที่คลิกได้เพื่อเลือกระหว่างคำแนะนำสำหรับรูต SSL.com และรูท USERTRUST:
ใช้คำสั่ง keytool เพื่ออิมพอร์ตใบรับรองรูต Certum ดังต่อไปนี้:
keytool - นำเข้า - trustcacerts - นามแฝง root1 - ไฟล์ CERTUM_TRUSTED_NETWORK_CA.crt - โดเมน keystore.key
ใช้กระบวนการเดียวกันสำหรับใบรับรองรูท SSL.com โดยใช้คำสั่ง keytool (สังเกตว่านามแฝงนั้นแตกต่างจากก่อนหน้าเล็กน้อย):
keytool -import -trustcacerts -alias root2 - ไฟล์ SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt -keystore domain.key
ถัดไปคุณจะติดตั้งใบรับรองระดับกลาง:
keytool -import -trustcacerts -alias INTER - ไฟล์ SSL_COM_RSA_SSL_SUBCA.crt -keystore domain.key
ใช้คำสั่ง keytool เพื่ออิมพอร์ตใบรับรองรูท USERTRUST ดังนี้:
keytool - นำเข้า - trustcacerts - นามแฝงรูท - ไฟล์ AAACertificateServices.crt - โดเมน keystore.key
ใช้กระบวนการเดียวกันสำหรับใบรับรองกลางครั้งแรกโดยใช้คำสั่ง keytool:
keytool -import -trustcacerts -alias INTER1 - ไฟล์ USERTrustRSAAAACA.crt -keystore domain.key
จากนั้นคุณจะต้องติดตั้งใบรับรองระดับกลางใบที่สอง (สังเกตว่านามแฝงแตกต่างจากเดิมเล็กน้อย):
keytool -import -trustcacerts -alias INTER2 - ไฟล์ SSLcomDVCA_2.crt -keystore domain.key
ใช้กระบวนการเดียวกันสำหรับใบรับรองไซต์โดยใช้คำสั่ง keytool นามแฝงสำหรับใบรับรองนี้ควรตรงกับนามแฝงที่คุณใช้เมื่อสร้างไฟล์ CSR.
keytool -import -trustcacerts -alias yyy (โดยที่ yyy คือ alias ที่ระบุระหว่าง CSR การสร้าง) -file domain.crt -keystore domain.key
ขอรหัสผ่านแล้ว:Enter keystore password: (นี่คือสิ่งที่ใช้ในระหว่าง CSR การสร้าง)
ข้อมูลต่อไปนี้จะแสดงเกี่ยวกับใบรับรอง ssl และระบบจะถามว่าคุณต้องการเชื่อถือหรือไม่ (ค่าเริ่มต้นคือไม่ให้พิมพ์ 'y' หรือ 'yes'):
เจ้าของ: CN = รูต, O = รูท, C = ผู้ออกสหรัฐฯ: CN = รูท, O = รูท, C = US หมายเลขซีเรียล: 111111111111 ใช้ได้ตั้งแต่: Fri JAN 01 23:01:00 GMT 1990 จนกระทั่ง: Thu JAN 01 23: 59:00 GMT 2050 ลายนิ้วมือใบรับรอง: MD5: D1: E7: F0: B2: A3: C5: 7D: 61: 67: F0: 04: CD: 43: D3: BA: 58 SHA1: B6: GE: DE: 9E : 4C: 4E: 9F: 6F: D8: 86: 17: 57: 9D: D3: 91: BC: 65: A6: 89: 64 เชื่อถือใบรับรองนี้หรือไม่ [ไม่มี]:
จากนั้นข้อความข้อมูลจะแสดงดังต่อไปนี้:
เพิ่มใบรับรองในที่เก็บคีย์แล้ว
โหลดใบรับรองทั้งหมดแล้วและใบรับรองหลักที่ถูกต้องจะถูกนำเสนอ
