StartSSL 免费证书申请步骤以及Tomcat和Apache下的安装
时间:2014-09-21 11:28 来源:linux.it.net.cn 作者:it
StartSSL 免费证书申请步骤
1、客户端认证申请
StartSSL用户认证使用的是Https客户端证书认证而非用户名/密码认证。因此第一步是申请StartSSL客户端证书。
(整个申请过程可参考链接:http://blog.csdn.net/ruixue0117/article/details/22201303)
2、tomcat下的安装。
将StartSSL生成的证书应用到tomcat下很复杂,参考这篇文章(https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/),或者我下面的说明都可以。
1)解密秘钥
在使用证书证书之前还需要对生成的秘钥解密,可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的内容另存为文件,如ssl_decrypted.key。
2)创建pkcs12文件。
使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .
其中Private Key:为解密的密钥文件。获取的文件名存为out.p12 .
3)利用pkcs文件生成keystore文件
利用java利用的keytool工具,在java安装目录中的bin目录下。
keytool.exe -importkeystore -deststorepass changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit
4)导入StartSSL的ca证书以及1级中级服务器CA
StartSSL的ca证书在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下载这个证书。
1级中级服务器在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下载这个证书
keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks;
keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks;
5)配置Tomcat
修改Tomcat目录下confg目录中的server.xml文件。放开一下内容
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>
这样启动是一般会报apr错误。
一般的处理方法是修改server.xml文件,屏蔽掉
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->
想要更多解决方法的可以参考这篇文章(http://lixor.iteye.com/blog/1532655)
正常就可以启动ssl了。
3、Apache下的安装
参考这篇文章(http://blog.mowd.tw/index.php?pl=950)
如果使用的是加密的ssl.key 则每次启动apache时都要输入密码。(未测试)
在httpd.conf 中增加一下内容:注意ssl.key 是解密的。
SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.key
SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem
SSLCACertificateFile /etc/pki/tls/ca.pem (责任编辑:IT)
| StartSSL 免费证书申请步骤 1、客户端认证申请 StartSSL用户认证使用的是Https客户端证书认证而非用户名/密码认证。因此第一步是申请StartSSL客户端证书。 (整个申请过程可参考链接:http://blog.csdn.net/ruixue0117/article/details/22201303) 2、tomcat下的安装。
将StartSSL生成的证书应用到tomcat下很复杂,参考这篇文章(https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/),或者我下面的说明都可以。 修改Tomcat目录下confg目录中的server.xml文件。放开一下内容 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/> 这样启动是一般会报apr错误。 一般的处理方法是修改server.xml文件,屏蔽掉 <!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />--> 想要更多解决方法的可以参考这篇文章(http://lixor.iteye.com/blog/1532655) 正常就可以启动ssl了。 3、Apache下的安装 参考这篇文章(http://blog.mowd.tw/index.php?pl=950) 如果使用的是加密的ssl.key 则每次启动apache时都要输入密码。(未测试) 在httpd.conf 中增加一下内容:注意ssl.key 是解密的。 SSLCertificateFile /etc/pki/tls/certs/ssl.crt SSLCertificateKeyFile /etc/pki/tls/private/ssl.key SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem SSLCACertificateFile /etc/pki/tls/ca.pem (责任编辑:IT) |