671
StartSSL 免費證書申請步驟以及Tomcat和Apache下的安裝
StartSSL 免費證書申請步驟1、客戶端認證申請
StartSSL用戶認證使用的是Https客戶端證書認證而非用戶名/密碼認證。因此第一步是申請StartSSL客戶端證書。
(整個申請過程可參考鏈接:https://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/)
1) 填寫申請單,首頁-sign up free 。注意郵箱必須真實,電話,地址等看上去像私人的而非公司的,必須使用英文填寫。
2) 到郵箱接收郵件,填寫認證碼。
3) 等待審核,一般6小時內會審核完畢。到郵箱接收郵件,收到郵件後要在24小時內申請客戶端證書。
4) 申請客戶端證書。申請成功後,注意備份證書,在IE 選項—內容—證書—個人—導出窗口中。
在申請時需要注意的幾個問題:
1) StartSSL針對的是私人注冊,而非組織認證,因此填寫的地址信息,電話信息等應該是個人的。假的也要看起來像。
2) StartSSL填寫的都是英文信息,不要使用中文填寫。
3) 收到郵件後,寫入驗證碼,下一步,要注意時間限製,StartSSL用6個小時來完成申請審核。然後發送審核郵件到你的郵箱。此時,給你的申請客戶端證書驗證碼隻有24小時的時間有效性。也就是要在24小時內完成客戶端申請。
2、域名認證申請。
1)進入Control Panel(可能需要點擊Authenticate並使用上一步生成的證書才能看到圖示的頁麵),選擇Validations Wizard,類型選擇Domain Name Validation。
2)輸入域名。
3)選擇一個有效的郵箱接收驗證碼,可以使用域名WHOIS中的郵箱或默認網站管理者郵箱(沒有帶域名的郵箱可選擇使用網易免費企業郵等服務)。
4)收到郵件後,輸入郵件中的驗證碼。
5)域名所有者驗證成功。
在申請時需要注意的幾個問題:
1) 域名是主域名。
2) 郵箱必須可用,並且應該隨時接收。
3、SSL證書申請
1.選擇Certificates Wizard進入SSL證書生成向導,證書目標選擇Web Server SSL/TLS Certificate
2.輸入10-32位密碼生成秘鑰。必須記住密碼,不要忘記。
3.備份秘鑰,將文本框內的內容保存成一個文本文件,如ssl.key。使用ansi方式保存。
4.選擇上一步驗證了的域名。
5.添加子域名。
6.確認域名子域名信息,準備生成證書。
7.備份生成的證書,將文本框內容保存成一個文本文件,如ssl.crt。使用ansi方式保存。在下麵intermediate鏈接中下載中間證書sub.class1.server.ca.pem。 root證書ca.pem也要下載。
申請完成,下麵是安裝步驟。
第四步為apache的安裝,必須解密私鑰。
5、tomcat下的安裝。
將StartSSL生成的證書應用到tomcat下很複雜,參考這篇文章(https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/),或者我下麵的說明都可以。
1)解密秘鑰
在使用證書證書之前還需要對生成的秘鑰解密,可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的內容另存為文件,如ssl_decrypted.key。
2)創建pkcs12文件。
使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .
其中Private Key:為解密的密鑰文件。獲取的文件名存為out.p12 .
3)利用pkcs文件生成keystore文件
利用java利用的keytool工具,在java安裝目錄中的bin目錄下。
keytool.exe -importkeystore -deststorepass changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit
4)導入StartSSL的ca證書以及1級中級服務器CA
StartSSL的ca證書在第三步的第7小步中已經下載。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下載這個證書。
1級中級服務器在第三步的第7小步中已經下載。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下載這個證書
keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ;
keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ;
5)配置Tomcat
修改Tomcat目錄下confg目錄中的server.xml文件。放開一下內容
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>
這樣啟動是一般會報apr錯誤。
一般的處理方法是修改server.xml文件,屏蔽掉
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->
想要更多解決方法的可以參考這篇文章(https://lixor.iteye.com/blog/1532655)
正常就可以啟動ssl了。
6、Apache下的安裝
參考這篇文章(https://blog.mowd.tw/index.php?pl=950)
如果使用的是加密的ssl.key 則每次啟動apache時都要輸入密碼。(未測試)
在httpd.conf 中增加一下內容:注意ssl.key 是解密的。
SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.key
SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem
SSLCACertificateFile /etc/pki/tls/ca.pem
轉載自:https://fengfan.blog.163.com/blog/static/13478622013713114942896/
最後更新:2017-04-03 07:57:03