服務(wù)器證書(shū)安裝配置指南(doc 9頁(yè)).doc

1、服務(wù)器證書(shū)安裝配置指南（Tomcat6）一、生成證書(shū)請(qǐng)求1. 安裝JDK安裝Tomcat需要JDK支持。如果您還沒(méi)有JDK的安裝，則可以參考Java SE Development Kit (JDK) 下載。下載地址：/javase/downloads/index.jsp2.生成keystore文件生成密鑰庫(kù)文件keystore.jks需要使用JDK的keytool工具。命令行進(jìn)入JDK下的bin目錄，運(yùn)行keytool命令。（示例中粗體部分為可自定義部分，請(qǐng)根據(jù)實(shí)際配置情況作相應(yīng)調(diào)整）keytool -genkey -alias server -keyalg

2、 RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中，server為私鑰別名(-alias)，生成的keystore.jks文件默認(rèn)放在命令行當(dāng)前路徑下。3.生成證書(shū)請(qǐng)求文件(CSR)Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password備份密鑰庫(kù)文件keystore.jks，并稍后提交證書(shū)請(qǐng)求文件certreq.

3、csr，等待證書(shū)簽發(fā)。二、導(dǎo)入服務(wù)器證書(shū)1. 獲取服務(wù)器證書(shū)中級(jí)CA證書(shū)為保障服務(wù)器證書(shū)在客戶(hù)端的兼容性，服務(wù)器證書(shū)需要安裝兩張中級(jí)CA證書(shū)(不同品牌證書(shū)，可能只有一張中級(jí)證書(shū))。從郵件中獲取中級(jí)CA證書(shū)：將證書(shū)簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級(jí)CA證書(shū)內(nèi)容（包括“-BEGIN CERTIFICATE-”和“-END CERTIFICATE-”）分別粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為intermediate1.cer和intermediate2.cer文件。2.獲取服務(wù)器證書(shū)您的keystore密碼將證書(shū)簽發(fā)郵件中的從BEGIN到 END結(jié)束的服務(wù)器證書(shū)內(nèi)容（包

4、括“-BEGIN CERTIFICATE-”和“-END CERTIFICATE-”）粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為server.cer文件3.查看Keystore文件內(nèi)容進(jìn)入JDK安裝目錄下的bin目錄，運(yùn)行keytool命令。keytool -list -keystore C:keystore.jks -storepass password查詢(xún)到PrivateKeyEntry屬性的私鑰別名(alias)為server。記住該別名，在稍后導(dǎo)入服務(wù)器證書(shū)時(shí)需要用到。（示例中粗體部分為可自定義部分，請(qǐng)根據(jù)實(shí)際配置情況作相應(yīng)調(diào)整。）注意，導(dǎo)入證書(shū)時(shí)，一定要使用生成證書(shū)請(qǐng)求文件

5、時(shí)生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件，都將無(wú)法正確導(dǎo)入您的服務(wù)器證書(shū)。4.導(dǎo)入證書(shū)(如果只有一張中級(jí)證書(shū)，則只需要導(dǎo)入一張中級(jí)證書(shū))導(dǎo)入第一張中級(jí)CA證書(shū)keytool -import -alias intermediate1 -keystore C:keystore.jks -trustcacerts -storepass password -file C:intermediate1.cer導(dǎo)入第二張中級(jí)CA證書(shū)keytool -import -alias intermediate2 -keystore C:keysto

6、re.jks -trustcacerts -storepass password -file C:intermediate2.cer導(dǎo)入服務(wù)器證書(shū)keytool -import -alias server -keystore C:keystore.jks -trustcacerts -storepass password -file C:server.cer導(dǎo)入服務(wù)器證書(shū)時(shí)，服務(wù)器證書(shū)的別名必須和私鑰別名一致。請(qǐng)留意導(dǎo)入中級(jí)CA證書(shū)和導(dǎo)入服務(wù)器證書(shū)時(shí)的提示信息，如果您在導(dǎo)入服務(wù)器證書(shū)時(shí)使用的別名與私鑰別名不一致，將提示“認(rèn)證已添加至keystore中”而不是應(yīng)有的“認(rèn)證回復(fù)已安裝在keysto

7、re中”。證書(shū)導(dǎo)入完成，運(yùn)行keystool命令，再次查看keystore文件內(nèi)容keytool -list -keystore C:keystore.jks -storepass password三、 安裝服務(wù)器證書(shū)1.單向認(rèn)證的配置復(fù)制已正確導(dǎo)入認(rèn)證回復(fù)的keystore.jks文件到Tomcat安裝目錄下的conf目錄。打開(kāi)conf目錄下的server.xml文件，找到并修改以下內(nèi)容 !- SSL訪問(wèn)端口 -修改為 默認(rèn)的SSL訪問(wèn)端口號(hào)為443，如果使用其他端口號(hào)，則您需要使用https:/yourdomain:port的方式來(lái)訪問(wèn)您的站點(diǎn)。2.雙向認(rèn)證的配置配置雙向認(rèn)證時(shí)，您還需要指定客戶(hù)端認(rèn)證的信任庫(kù)文件?？蛻?hù)端認(rèn)證信任庫(kù)文件（truststoreFile）可以和服務(wù)器證書(shū)密鑰庫(kù)文件（keystoreFile）為同一個(gè)文件，也可以進(jìn)行獨(dú)立配置。示例中使用相同的密鑰庫(kù)文件。您需要首先將客戶(hù)端認(rèn)證的根證書(shū)以及中級(jí)CA證書(shū)導(dǎo)入到客戶(hù)端認(rèn)證信任庫(kù)。 3.訪問(wèn)測(cè)試重啟Tomcat，訪問(wèn)https:/youdomain:port，測(cè)試證書(shū)的安裝。四、服務(wù)器證書(shū)的備份及恢復(fù)在您成功的安裝和配置了服務(wù)器證書(shū)之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書(shū)，以防證書(shū)丟失給您帶來(lái)不便。1.服