|  主页
帮助

SSL 证书 帮助

Tomcat:生成 CSR 和安装证书

申请 SSL 证书时,您必须通过自己的服务器提供证书签名申请 (CSR)。CSR 包含您的公用密钥,还必须包含与您账户的在线申请表一致的详细信息。当您的申请通过审核并且证书获得颁发后,您需要下载并安装提供的所有文件以完成安装过程。

注意:以下步骤将介绍如何使用 keytool 安装证书,因此,您必须在自己的服务器上安装 Java 2 SDK 1.2 或更高版本。

在 Tomcat 中生成密钥库和 CSR

按照以下步骤使用 Keytool 在您的服务器上生成密钥库和 CSR。

在 Tomcat 中生成密钥库和 CSR 的步骤

  1. 将以下命令输入到 keytool 以创建密钥库:
    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
  2. 在“Password”(密码)中输入密码。默认密码为 changeit
  3. 在“Distinguished Information”(识别信息)中输入相关信息:
    • First and Last Name(姓名)— 您要保护的完全限定域名或 URL。如果您申请的是通配符证书,请在要添加通配符的通用名称左边添加星号 (*),例如 *.coolexample.com
    • Organizational Unit(组织单位)—(可选)您可以在该字段中输入 DBA 名称(如果有)。
    • Organization(组织)— 您的组织的法律名称。列出的组织必须是证书申请中的域名的合法注册人。如果您是以个人身份注册,请在“Organization”(组织)中输入证书申请人的名字,并在“Organizational Unit”(组织单位)中输入 DBA(经营部门)名称。
    • City/Locality(城市/地区)— 您的组织注册或所在的城市,请勿使用缩写。
    • State/Province(州/省)— 您的组织所在的州或省,请勿使用缩写。
    • Country Code(国家/地区)— 您的组织依法注册所在国家/地区的国家/地区代码,以国际标准化组织的两字母格式表示。
  4. 将以下命令输入到 keytool 以创建 CSR:
    keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
  5. 在“Password”(密码)中输入第 2 步中提供的密码。
  6. 打开 CSR 文件,复制所有文本,包括
    ----BEGIN NEW CERTIFICATE REQUEST----



    ----END CERTIFICATE REQUEST----
  7. 将所有文本粘贴到在线申请表中并完成您的申请。

有关填写在线申请表的详细信息,请参阅请求 SSL 证书(豪华版或扩展验证)

当您提交申请后,我们就会开始进行审核。审核过程结束后,您会收到包含相关详细信息的电子邮件。

在 Tomcat 中安装 SSL

证书获得颁发后,请通过证书管理器下载证书,并将其放到您的密钥库所在的文件夹。然后,使用 keytool 输入下列命令以安装证书。

根证书和中级证书的文件名取决于您的签名算法。

  • SHA-1 根证书:gd_class2_root.crt
  • SHA-2 根证书:gdroot-g2.crt
  • SHA-1 中级证书:gd.intermediate.crt
  • SHA-2 中级证书:gdig2.crt
  • 仅限 Java 6/7)SHA-2 根证书:gdroot-g2_cross.crt
警告:您不应使用运用 SHA-1 算法的 SSL 证书(更多信息)。

您还可以从资源库下载证书。

在 Tomcat 中安装 SSL的步骤

  1. 通过运行以下命令来安装根证书:
    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file [根证书的名称]
  2. 通过运行以下命令来安装中级证书:
    keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file [中级证书的名称]
  3. 通过运行以下命令将颁发的证书安装到密钥库中:
    keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file [证书的名称]
  4. server.xml 文件中的密钥库位置更新为其在 Tomcat 目录中的正确位置。

    注意:默认为 HTTPS 连接器添加注释。移除注释标记以启用 HTTPS。

    • Tomcat 4.x - 在 Tomcat 4.x 的 server.xml 中更新以下元素:
      clientAuth="false"
      protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
      keystorePass="changeit" />
    • Tomcat 5.x、6.x 和 7.x - 在 Tomcat 5.x、6.x 和 7.x 的 server.xml 中更新以下元素:
      -- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
      Connector
                port="8443" maxThreads="200"
                scheme="https" secure="true" SSLEnabled="true"
                keystoreFile="[path to your keystore file]" keystorePass="changeit"
                clientAuth="false" sslProtocol="TLS"/>
  5. 保存您对 server.xml 所做的更改,然后重新启动 Tomcat 以开始使用您的 SSL。 您的 SSL 证书已安装完毕。如果有问题,请参阅 测试 SSL 配置 来帮助您进行诊断。

本文是否有帮助?
感谢您的反馈。 要咨询客户服务代表,请使用上面的客户支持电话号码或聊天选项。
很高兴我们能有所助益! 我们还可以为您做些什么?
我们对此深感抱歉。 请告诉我们,什么问题令您费解,或者解决方案为何未能解决您的问题。