申請網站:http://farm.byph-china.com:8880/
(1)輸入需要SSL的域名,如下圖:
證書類型選擇:RSA
驗證類型選擇:DNS
CSR生成選擇:瀏覽器生成
點擊「點擊生成」按鈕
在域名管理器中,選擇"TXT記錄"進行驗證。
點擊「手動驗證」,確認沒問題後,點擊「生成證書」。
生成的證書包含兩個文件,分別是*.pem 和*.key。
這裏以Tomcat爲例:
將key文件生成jks文件,並配置到tomcat中
(1)首先需要生成*.pfx文件
openssl pkcs12 -export -out /root/chain/server.pfx -inkey /root/chain/private.key -in /root/chain/full_chain.pem
需要設置新密碼,提示輸入兩次,這裏設置爲:password。
(2)生成JKS文件
keytool -importkeystore -srckeystore /root/chain/server.pfx -destkeystore /root/chain/server.jks -srcstoretype PKCS12 -deststoretype JKS
其他命令:
(1)查看jks詳細信息
keytool -v -list -keystore /root/key/server.jks
(2)修改別名
keytool -changealias -keystore /root/key/server.jks -alias 「當前別名」 -destalias 「新的別名」
例如:keytool -changealias -keystore /root/key/server.jks -alias 1 -destalias otheralias
在Tomcat進行配置:
(1)放開8443配置,如下
<Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="server" keystoreFile="/root/key/server.jks" keystorePass="password" />
紅色區域爲需要根據實際情況修改的地方。keyAlias需要和生成jks文件時的別名一致,否則會報錯。
(2)修改conf/web.xml,在最後面新增如下代碼:
<security-constraint>
<web-resource-collection>
<web-resource-name>Getssl</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>