分类
常见问题

SSL证书配置常见问题

1、如何实现用户用访问http时自动跳转到https的访问地址?

答:实现网页的自动跳转有两种方式:

1)增加重定向到https

2)在页面中加入自动跳转代码。例如:<—< meta http-equiv=”Refresh” content=”秒数; url=跳转的文件或地址”>—>

2、同一张服务器证书是否可以配置在多台服务器上?

答:不可以。Verisign的签署协议中禁止客户在多台服务器上配置同一张证书。如果做负载均衡是需要在每台物理服务器上都配置证书的.如果因为出现违反VeriSign关于负载均衡说明所引起的问题.我们是不负责任的.

3、多台服务器多个域名,该如何选购SSL证书?

一般来讲,一个网站(一个域名)对应一个SSL证书,因为SSL证书是绑定域名的。只有通配型证书和多域型证书才支持多个域名。

通配型证书适合于同一台物理服务器下的同一域名下的多个子域,如您在同一台物理服务器上有多个网站:

www.mydomain.com

secure.mydomain.com

pay.mydomain.com

login.mydomain.com

申请通配型SSL证书时填写的通用名称(Common Name)为: *.mydomain.com 。

与通配型证书只支持子域不同的是,多域型SSL证书支持任何域名,不仅限于子域,如:domain.com、domain.cn、domain.com.cn、domain.net、domain.net.cn、mydomain.com、domain.us、domaina.com等等。不仅适合于有多个域名需要部署SSL证书的单位,更适合于虚拟主机服务提供商为不同单位的不同域名的网站部署SSL证书。

请注意:以上两种证书都使用于同一台物理服务器,如果您有多台物理服务器在使用同一个域名(负载均衡方式),则您需要为多台服务器购买多服务器许可证即可。

4、部分客户端访问IIS服务器时,证书链中的中级证书过期怎么办?

这种情况通常发生在IIS服务器上。导致该问题的原因是服务器上存在多张可提供信任关系的中级证书,且其中有已过期的中间级证书。

如果客户端PC系统中证书存储区没有新的中级证书而只有已经过期版本的中级证书的话,客户端浏览器不会主动从服务器上下载新的中级证书文件,而只通过已过期的中级证书去验证服务器证书的有效性。导致客户端报中间级证书已过期错误。

解决方法:删除服务器上计算机账户中“中级证书颁发机构”里已过期的证书,并更新最新的中级证书文件,强制客户端下载最新的证书链文件,使客户端只能通过一条最新的证书链来验证服务器证书的有效性。

5、收到证书批准邮件后,从邮件中提取的证书安装失败,无法安装?

1.保存下来的服务器证书文件中,文件代码前后可能有空格或其他无效字符。或者没有将证书头和尾部起始代码包含进来。在Windows环境下,双击尝试打开该证书文件,检查是否能够查看证书信息。

2.原始请求被删除或被新的请求覆盖,私钥丢失。需要吊销替换,重新生成证书文件。

3.私钥管理权限不足,使用管理员权限登陆,并赋予私钥的管理权限。

6、IIS下同一站点不允许同时提交多个请求

微软IIS 6.0中每一个站点只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,您的原始请求(和私钥)将被覆盖。

在正式提交CSR请求后,请不要对服务器做证书方面的配置,并可通过私钥备份,保存您的私钥文件。

7、初始VTN服务器证书时,CSR中的所有信息都是按照要求正确填写的,但提交后系统无法解析,无法签发证书。

答:客户在填写辨识码时(证书管理密码)使用了特殊字符。

8、在Apache 上配置EV SSL 服务器证书,但EV SSL 服务器证书有两张中级证书,在Apache 配置文件中出现两个引用中级证书语句时,启动失败。

Apache 下,需要将两张中级证书打包成一个证书文件。打包方式:用记事本等文本编辑器打开两张中级证书文件,分别复制证书代码,粘贴到一个记事本文档中。并将该文件配置到 Apapche 配置文件中 SSLCertificateChainFile 路径下。

9、 服务器需要使用的是 Pem 格式的私钥和证书文件,该如何生成私钥和证书请求。

可以安装 Openssl ,使用 Openssl 来生成证书请求。请参考Apahce服务器证书CSR生成指南,在生成私钥文件时,只需要将私钥文件名的后缀定义成 .pem 就可以了。

10、IIS中,已经提交CSR请求,还未收到证书如何备份私钥。

开始菜单“运行”-“MMC”-“文件”-“添加删除管理单元”,打开控制台,添加计算机账户-本地计算机。在控制台根节点中找到“证书注册申请”,在该目录下,找到您的注册请求文件并导出成一个PFX文件。

安装证书时,先从控制台导入私钥备份文件到“证书注册申请”,再把服务器证书导入到“个人”中。然后再到 internet 服务管理器中,需要配置证书的网站上,指派现有证书到导入的服务器证书上即可。

11、为什么查看某些安全站点时会弹出“本页不但包含安全的内容,也包含不安全的内容。是否显示不安全的内容”?

在编写网站页面文件代码的时候,页面URL和资源文件建议使用相对路径来定义。这样有助于提高页面对证书的兼容性。当客户端无论是用http还是https来访问该页面都不会报错。如果页面需要强制使用https来访问,则在页面中,需要确保所有的图片、Flash、JS脚本、CSS等文件都使用https的绝对路径或使用相对路径来定义文件在页面代码中的位置。

12、ssl会话建立的过程(原理)是什么?

交换开始于客户端发出的一条“client_hello”消息,消息包括

客户端支持的SSl版本号

客户端产生的32字节的随机数

一个对应的会话ID

一个支持的密码算法的列表

一个支持的压缩算法的列表

服务器发出消息“server_hello”进行响应,内容包括

服务器从客户端列表中选择的SSL版本号

服务器产生的32字节的随机数

会话ID

从客户端列表中选择的密码算法

选定的压缩算法(通常不进行压缩)

客户端检查服务器的证书和它发出的诸多参数;如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书服务器以客户端发来的“change_cipher_spec”消息作为相应,向客户端消失它也将使用与客户端相同的参数来加密将来所有的通信内容。因为服务器已经收到了客户端计算密钥使用的随机数,它也可以计算与客户端相同的密钥;服务器发送交换结束消息来结束握手过程

13、服务器证书做双向认证是否需要安装第三方的插件?

答:常用的webserve 中间件都会有支持客户端认证的功能.配置证书书只需要修改配置文件便可以启用客户认证的功能.不需要安装第三方的插件.

14、物理服务器出现故障是对证书使用会有什么影响?

答:在您申请服务器证书后,请及时备份您的证书(私钥,公钥)如果物理服务器出现故障只需要将备份的证书配置到新的服务器上就可以了.不会对证书的使用造成影响.

15、服务器上装个证书会不会影响到速度和流量?

答: 当然会增加服务器CPU的处理负担,因为要为每一个SSL连接实现加密和解密,但一般不会影响太大。同时建议注意以下几点以减轻服务器的负担:

(1) 仅为需要加密的页面使用SSL,如https://www.domaincom/login.asp,不要把所有页面都使用https://,特别是访问量最大的首页;

(2) 尽量不要在使用了SSL的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。

如果网站的访问量非常大,则建议另外购买SSL加速卡来专门负责SSL加解密工作,可以完全不增加服务器任何负担。或另外增加服务器。

16、网络设备是否可以支持SSL证书?

答:设备的硬件制造如果让设备支持SSL协议是可以支持证书.一般的技术配置文档由这些设备厂商提供.如cisoco F5 VPN 都有支持证书的产品.

17、如果改变了硬件、软件(web server)证书需要重新申请吗?

答:服务器证书与硬件无关。系统和web server版本如果相同也不会有任何影响。如果改变了服务器软件,证书就要重新申请。服务器证书不可以更换平台使用。

18、托管服务器提供商不让配置ssl证书?

答:托管服务器一般也叫虚拟主机提供商.他们在一台较好的服务器上配置了多个虚拟站点.一般都是提供普通的80web服务.如果其中的一个站点配置了证书走SSL协议是会对整个服务器会有负载的.

19、 在一台服务器的多个虚拟主机中,是否可以实现SSL功能?

答:如果是一个IP多个网站的情况,是无法实现SSL功能;如果是一台服务器对应多个网站多个IP(每个网站一个IP),就可以实现SSL功能。每个网站需要配置一张服务器证书

20、如果显示证书已过期(并未到有效期)?

答:可能情况:1)系统时间不对;2)中级证书过期。

21、服务器证书双击打开时,提示是无效的证书格式,如何处理?

答:可能是文件中含有其证书链上的其它证书的缘故。可将文件的后缀改成.p7b解决。

22、在Web Logic中安装Web Server证书时,出现私钥与证书不匹配的问题,是为什么?

答:在私钥文件与证书文件都正确的情况下,这可能是由于没有安装中级CA引起的。客户必须将全球服务器证书配置到域名与证书通用名相同的WEB站点上(即证书通用名与URL必须相符),否则可能会出现Win98下无法建立连接、或低加密强度的浏览器无法建立128bit连接而只能建立40bit或56bit的SSL连接的问题(可能还有其他不可预知的问题)。

23、在IIS中如何导入pfx格式的服务器证书?

答:如果操作系统是win 2003,在IIS配置目录安全性的选项里有从pfx文件中导入的选项,按照安装向导配置即可。如果是其他操作系统,需要先双击pfx文件,将证书导入到系统中,然后再选择指派现有证书进行配置。

分类
代码签名证书配置指南

DigiCert EV代码签名证书操作指南

一, 安装eToken驱动

安装SafeNet 驱动

驱动下载地址:

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x64-10.7.msi

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x32-10.7.msi

DigiCert EV代码签名证书操作指南-1

双击打开下载得到相应的驱动程序,然后选择”Next”

DigiCert EV代码签名证书操作指南-2

选择语言中文/English,并选择“Next”

DigiCert EV代码签名证书操作指南-3

点击我接受(I accept the license agreement),并选择“Next”

DigiCert EV代码签名证书操作指南-4

选择程序安装路径,推荐选择默认设置,并选择“Next”

DigiCert EV代码签名证书操作指南-5

选择全部安装,并选择“Next”

DigiCert EV代码签名证书操作指南-6

选择“Install”后程序进入自动安装,最后安装完成点击“Finish”完成安装。

二,初始化eToken设置并下载安装证书

1.完成驱动安装后,插入USB key,通过邮件中的下载链接下载DigiCert Hardware Certificate Installer.exe程序,

双击运行DigiCert Hardware Certificate Installer.exe安装程序,点击Next。

DigiCert EV代码签名证书操作指南-7

  1. 勾选I accept and agree to the license agreement按钮,然后点击Next。DigiCert EV代码签名证书操作指南-8

输入邮件中的初始化代码,然后点击Next。

DigiCert EV代码签名证书操作指南-9

如输入邮件中的初始化代码后,提示截图中的无法连接到Digicert网站的错误,

DigiCert EV代码签名证书操作指南-10

建议修改本机hosts文本,或更换其他运营商网络尝试下载安装证书。

文件目录:C:\Windows\System32\drivers\etc\hosts

末尾添加:64.78.193.234  www.digicert.com

注:如没有提示此错误可忽略,继续往下进行。

查看证书信息,然后点击Next。(注:如Common Name和Organization使用中文信息显示乱码为正常,不影响使用,可忽略)

DigiCert EV代码签名证书操作指南-11

勾选Re-initalize my token and permanently delete any existing certificates and keys on this token按钮,然后点击Next。

DigiCert EV代码签名证书操作指南-12

弹窗点击“是”,然后点击“Next”下一步。

DigiCert EV代码签名证书操作指南-13

设置Token Name和Token password,然后点击Next。

DigiCert EV代码签名证书操作指南-14

勾选Set Administrator Password,设置Token Administrator Password,然后点击Finish。

DigiCert EV代码签名证书操作指南-15

为了保证证书顺利安装,在下载过程中不要插拔Usbkey。

证书提示安装完成

DigiCert EV代码签名证书操作指南-16

打开您的eToken的SafeNet tools工具可以看到下载的证书信息,即表示您的证书已经完成下载安装。

DigiCert EV代码签名证书操作指南-17

三,代码签名及签名验证

代码签名证书助手下载:http://www.itrus.cn/soft/iTrusSignTool.exe

当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。

1.新建签名规则

在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。

自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。

DigiCert EV代码签名证书操作指南-18

*注:当您需要使用双签名功能,请在SHA1证书中选择您对应的SHA1算法的代码签名证书,在SHA256证书中选择您的EV代码签名证书。

请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名,推荐您使用Digicert、GlobalSign时间戳。

保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名。

2.代码签名

选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。

DigiCert EV代码签名证书操作指南-19

点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。

应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。

3.验证代码签名

数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件是,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。

已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息

分类
代码签名证书配置指南

GlobalSign EV代码签名证书操作指南

一、安装eToken驱动
安装SafeNet 驱动

驱动下载地址:

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x64-10.7.msi

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x32-10.7.msi

GlobalSign EV代码签名证书操作指南-1

双击打开下载得到相应的驱动程序,然后选择”Next”

GlobalSign EV代码签名证书操作指南-2

选择语言中文/English,并选择“Next”

GlobalSign EV代码签名证书操作指南-3

点击我接受(I accept the license agreement),并选择“Next”

GlobalSign EV代码签名证书操作指南-4

选择程序安装路径,推荐选择默认设置,并选择“Next”

GlobalSign EV代码签名证书操作指南-5

选择全部安装,并选择“Next”

GlobalSign EV代码签名证书操作指南-6

选择“Install”后程序进入自动安装,最后安装完成点击“Finish”完成安装。

二、  初始化eToken设置
1.     获取服务器证书文件

完成驱动安装后,插入USBkey。默认会提示让修改密码,选择取消。选择进入高级视图模式。

GlobalSign EV代码签名证书操作指南-7

2. 初始化USBkey相关信息,选择my token 右键“初始化设备”

GlobalSign EV代码签名证书操作指南-8

选择“初始化所有配置”,并选择”下一步“。

GlobalSign EV代码签名证书操作指南-9

设置一个eToken的密码,要求密码第一位为字母 密码包含数字和特殊符合组合并大约8位以上,完成后点击下一步继续。建议取消勾选“设备密码必须在首次登陆时更改”。

选择允许连续重复最大次数修改为15次,然后点击“完成”,期间会弹出询问是否要初始化的提示,选择“确定”等待初始化完成。

GlobalSign EV代码签名证书操作指南-10

三、  下载安装证书

打开从Globalsign收到的EV代码签名证书的批准邮件。

1.   进入下载EV代码的页面

点击电子邮件中的EV证书下载链接地址

2.   输入提取密码,进入下载界面

GlobalSign EV代码签名证书操作指南-11

注意: 如果遗忘了申请证书时填写的密码,那么请联系天诚安信商务人员。

输入正确的Password后,勾选”Yes,I agree”,然后点击“Generate Certificate”下载证书。

期间会再次弹出网络访问确认提示窗口,请点击“是”

GlobalSign EV代码签名证书操作指南-12

然后在Cryptographic Service Provider选项中选择“eToken Base Cryptographic Provider”选项

GlobalSign EV代码签名证书操作指南-13

点击Next下一步后,提示输入初始化时设置的eToken密码,输入错误会导致下载失败。

GlobalSign EV代码签名证书操作指南-14

跳转到证书下载页面,点击Install My Certificate,再次弹出网络访问确认提示窗口,请点击“是”

点击完成后,稍等片刻即可弹出安装成功的提示。

GlobalSign EV代码签名证书操作指南-15

打开您的eToken的SafeNet tools工具可以看到下载的证书信息,即表示您的证书已经完成下载安装。

*下载地址为一次性链接,下载成功后链接即刻失效无法重复下载。如需重新下载证书请联系天威诚信商务人员。

四,代码签名及签名验证

代码签名证书助手下载:http://www.itrus.cn/soft/iTrusSignTool.exe

当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。

1.新建签名规则

在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。

自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。

GlobalSign EV代码签名证书操作指南-16

*注:当您需要使用双签名功能,请在SHA1证书中选择您对应的SHA1算法的代码签名证书,在SHA256证书中选择您的EV代码签名证书。

请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名,推荐您使用Digicert、GlobalSign时间戳。

保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名。
2.代码签名

选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。

GlobalSign EV代码签名证书操作指南-17

点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。

应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。

3.验证代码签名

数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件是,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。

已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息。

分类
代码签名证书配置指南

Digicert代码签名证书操作指南

天威诚信数字签名工具

代码签名工具,帮您一站式完成,证书管理,数字签名,工具更新,让数字签名变得如此简单!

证书管理

支持多个主流时间戳地址;支持时间戳自主选择功能;支持签名描述和URL;支持双签名,并自主选择不同哈希算法的证书;

数字签名

保存用户输入参数;导出私钥支持设置密码,更安全;一键签名,自动识别如CAB包中子文件,并同步签名;独家支持EV证书 签署多个文件只需输入一次密码功能,更快捷;

工具更新

应用程序内置多种内核交叉证书。使用对应品牌的证书进行交叉签名时,程序会自动识别相应交叉证书链,实现自动,智能交叉驱动签名,无需人工手动选择交叉证书链(EV代码签名证书各自证书已经添加至最新程序中!)。

代码签名证书助手下载:http://www.itrus.cn/soft/iTrusSignTool.exe

Digicert代码签名证书操作指南-1

一、     创建证书请求

1.开始证书请求

运行“天威诚信代码签名证书助手”工具,选择“证书请求”并填写证书请求信息

Digicert代码签名证书操作指南-2

Digicet代码签名证书支持中文,部分平台在缺少中文字库时会出现中文乱码,推荐使用英文信息注册代码签名证书

2.完成证书请求并导出证书请求文件

点击确定即可导出证书请求文件(.csr格式文件)并生成证书请求。

Digicert代码签名证书操作指南-3

3.提交证书请求并备份密钥文件

将生成的.csr格式文件发送给天威诚信,等待证书的签发。

在您收到证书签发邮件之前,请不要删除证书请求,以避免私钥丢失而导致无法安装签名证书。如您需要重装系统或更换其他PC来安装证书,请选中您的证书请求并选择“备份请求”,将证书请求备份到.pem格式文件。在您完成系统重装或更换PC后,重新安装签名证书助手工具并选择“导入请求”,通过您的.pem格式备份请求文件恢复证书的请求信息。

二、生成代码签名证书

当您的证书被批准后,会收到来自“auth_support_cn@digicert.com”一封主题为“您的Digicert Code Signing Certificate 已被批准”的邮件。

1.接收并保存代码签名证书

当您的证书请求被批准后,证书将附在签发邮件正文中发送给您。完整复制证书代码(包括:“ —–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”),粘贴到记事本文档中保存,并修改文件名为codesign.cer即可。

2.导入签名证书

运行数字证书助手,选择“证书请求”,点击“安装证书”。选择您从证书签发邮件中保存的codesign.cer文件。

Digicert代码签名证书操作指南-4

3.证书管理

选择“证书管理”,您将可以查看到所有系统存储区中的个人证书信息。您可以通过证书管理进行证书的导入、导出备份及删除操作。

Digicert代码签名证书操作指南-5

当您完成证书证书的导入后,您的证书将存储在系统存储区中。重装系统将会导致证书丢失,因此强烈建议您在完成证书的导入之后立即备份您的服务器证书

4.证书备份

证书导出可选择pfx或pem格式。推荐选择pfx格式进行证书的备份。

Digicert代码签名证书操作指南-6

三、代码签名及签名验证

当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。

1.新建签名规则

在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。

自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。

Digicert代码签名证书操作指南-7

请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名。推荐您使用Digicet、GlobalSign或Comodo时间戳,当上述时间戳均不可用时,可选择Go Daddy。

保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名的操作了。

2.代码签名

选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。

Digicert代码签名证书操作指南-8

点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。

应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。

3.验证代码签名

数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件是,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。

已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息。

分类
代码签名证书配置指南

Globalsign代码签名证书操作指南

一、下载安装PFX证书
首先打开从Globalsign收到的代码签名证书的批准邮件。
1.进入下载代码签名证书的页面
点击电子邮件中的代码签名证书下载链接地址
2.输入提取密码,点击“下一步”,下载应用弹窗授权,请点击“是”

Globalsign代码签名证书操作指南-1

Globalsign代码签名证书操作指南-1
2,选择证书下载存储方式,请下拉选择 ”Microsoft Strong Cryptographic Provider”,再点击“我同意接受此订购协议”,然后点击“下一步”
3,确认安装证书,请点击“安装我的证书”-下载应用弹窗授权,点击“是”后提示Install success安装成功。*下载地址为一次性链接,下载成功后链接即刻失效无法重复下载。如需重新下载证书请联系天威诚信商务人员。

Globalsign代码签名证书操作指南-3
二、导出PFX证书
点击IE浏览器工具——Internet选项——内容——证书,然后选中个人中存储的代码证书,点击“导出”。

Globalsign代码签名证书操作指南-4
根据证书导出想到提示,选择“是,导出私钥”然后选择“下一步”

Globalsign代码签名证书操作指南-1
勾选“如果可能,则包括证书路径中的所有证书”,选择“下一步”继续操作。

Globalsign代码签名证书操作指南-3
通过“密码”选项设置PFX文件密码,选择“下一步”继续操作。

Globalsign代码签名证书操作指南-7
选择导出的文件路径和文件名后,选择点击“下一步”
最后点击“完成”,成功将证书下载并导出PFX文件。
注:PFX文件为证书和私钥库文件,为了确保证书的安全性建议做好PFX文件和密码的备份工作。
三、 代码签名及签名验证
代码签名证书助手下载:http://www.itrus.cn/soft/iTrusSignTool.exe
当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。
1. 将导出的PFX证书导入到代码签名证书助手。
点击“证书管理”,再点击“导入”,然后选中PFX文件输入密码,并勾选“私钥可导出”,最后点击“确定”完成导入。

Globalsign代码签名证书操作指南-2
2. 新建签名规则
在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。
自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。

Globalsign代码签名证书操作指南-6
*注:当您需要使用双签名功能,请在SHA1证书中选择您对应的SHA1算法的代码签名证书,在SHA256证书中选择您的EV代码签名证书。
请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名,推荐您使用Digicert、GlobalSign时间戳。
保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名。
3. 代码签名
选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。

Globalsign代码签名证书操作指南-10
点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。
应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。
4. 验证代码签名
数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件是,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。
已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息。

分类
代码签名证书配置指南

Entrust EV代码签名证书操作指南

一、安装eToken驱动

安装SafeNet 驱动

驱动文件下载地址:

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x64-10.7.msi

http://www.itrus.cn/soft/SafeNetAuthenticationClient-x32-10.7.msi

天威诚信EV代码签名证书安装配置指南(Entrust)-1

双击打开下载得到相应的驱动程序,然后选择”Next”

天威诚信EV代码签名证书安装配置指南(Entrust)-2

选择语言中文/English,并选择“Next”

天威诚信EV代码签名证书安装配置指南(Entrust)-3

点击我接受(I accept the license agreement),并选择“Next”

天威诚信EV代码签名证书安装配置指南(Entrust)-4

选择程序安装路径,推荐选择默认设置,并选择“Next”

天威诚信EV代码签名证书安装配置指南(Entrust)-5

选择全部安装,并选择“Next”

天威诚信EV代码签名证书安装配置指南(Entrust)-6

选择“Install”后程序进入自动安装,最后安装完成点击“Finish”完成安装。

二、  初始化eToken设置

  1. 获取服务器证书文件

完成驱动安装后,插入USBkey。默认会提示让修改密码,选择取消。选择进入高级视图模式。

天威诚信EV代码签名证书安装配置指南(Entrust)-7

  1. 初始化USBkey相关信息天威诚信EV代码签名证书安装配置指南(Entrust)-8

选择初始化所有配置,并选择”下一步“。

天威诚信EV代码签名证书安装配置指南(Entrust)-9

设置一个eToken的密码,要求密码第一位为字母 密码包含数字和特殊符合组合并大约8位以上,完成后点击下一步继续。

天威诚信EV代码签名证书安装配置指南(Entrust)-10

之后会弹出询问是否要初始化的提示,选择“确定”等待初始化完成。

三、  下载安装证书

打开从ENtrust收到的EV代码签名证书的批准邮件。

  1. 进入下载EV代码的页面

点击电子邮件中的获取证书链接,例如: https://www.entrust.net/codesigning/certpickup.cfm?id=xxxxxxxx#pw

  1. 输入提取密码后,点击“Submit”进入下载界面

*注意: 如果遗忘了申请证书时填写的密码,那么请联系天诚安信商务人员。

输入正确的Password后,勾选”Yes,I agree”,然后点击“Generate Certificate”下载证书。

天威诚信EV代码签名证书安装配置指南(Entrust)-11

期间会再次弹出网络访问确认提示窗口,请点击“YES”,最终证书下载成功页面显示为“You Code Signing certificate has been successtuly generated”.

天威诚信EV代码签名证书安装配置指南(Entrust)-12

打开您的eToken的SafeNet tools工具可以看到下载的证书信息,即表示您的证书已经完成下载安装。

四,代码签名及签名验证

代码签名证书助手下载:http://www.itrus.cn/soft/iTrusSignTool.exe

当您需要同时管理多张代码签名证书,或需要针对不同扩展名的文件添加不同类型的签名信息时(普通模式及交叉模式),可以通过保存多个不同的签名规则方便随时调用。

1.新建签名规则

在您开始代码签名操作之前,必须首先新建一个签名规则。选择“签名规则”选项,并选择“新建”。

自定义一个规则名称,并选择当前规则下调用的证书文件、当前规则支持的文件扩展名。如果采用文件夹拖放格式,还可以设置规则中是否需要对该文件夹下的子目录中的文件进行签名。

*注:当您需要使用双签名功能,请在SHA1证书中选择您对应的SHA1算法的代码签名证书,在SHA256证书中选择您的EV代码签名证书。

请确保当前PC有可用的网络连接,以便在签名时为文件添加时间戳签名,推荐您使用Digicert、GlobalSign时间戳。

保存当前签名规则后,至少需要将其中一条规则设置为默认规则之后,即可开始为代码添加签名。

2.代码签名

选择“代码签名”,将您需要签名的文件添加到待签名文件列表中。

点击“数字签名”,选择签名模式(应用模式 或 驱动模式),证书助手将自动为签名列表中的程序添加签名信息。

应用模式应用于普通的控件或桌面程序签名,驱动模式应用于64位操作系统下的驱动程序文件签名。

3.验证代码签名

数字签名完成之后,证书助手将自动为已签名的文件进行签名的验证。当签名列表中出现签名失败或时间戳签名失败的文件是,可以选择显示“签名失败”列表,并为签名失败的文件重新尝试数字签名。

已有数字签名的程序,添加到签名文件列表后,选择“签名验证”,即可执行代码的签名信息验证,自动获取签名列表中的文件的签名信息。

分类
ssl证书配置指南

SSL证书安装配置指南(Websphere)

一、生产证书请求
1. 生成keystore文件
生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录,运行keytool命令(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass password -keypass password

SSL证书安装配置指南(Websphere)-1
以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在D盘根目录下。
2. 生成证书请求文件(CSR)
keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass password -storepass password
请备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。密钥库文件keystore.jks丢失将导致证书不可用。
注:如SSL证书已签发,不需要再次生成CSR,开始参考第二步安装证书即可。
二、 导入服务器证书
1. 获取服务器证书
将证书签发邮件中“以下是您的服务器证书”代码从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer文件
2. 获取CA证书
将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段CA证书的内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为ca.cer文件。
3. 查看keystore文件内容
进入JDK安装目录下的bin目录,运行keytool命令查询keystore文件信息。
keytool -list -keystore D:\keystore.jks -storepass password

SSL证书安装配置指南(Websphere)-2
查询到PrivateKeyEntry(或KeyEntry)属性的私钥别名(alias)为server,在稍后导入服务器证书时需要用到(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
注意,导入证书时,一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件,都将无法正确导入您的服务器证书。
4. 导入证书
导入中级CA证书(必须优先导入中级证书,否则会触发证书链不完整错误)
keytool -import -alias ca -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca.cer -noprompt

SSL证书安装配置指南(Websphere)-3
导入服务器证书
keytool -import -alias server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer

SSL证书安装配置指南(Websphere)-4
导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
三、 安装服务器证书
1. 导入keysotre密钥库
登陆Websphere控制台
选择“安全性”=“SSL证书和密钥管理”=“密钥库和证书”

SSL证书安装配置指南(Websphere)-5
选择“新建”

SSL证书安装配置指南(Websphere)-6
创建新密钥库,并录入密钥哭自定义名称,keystore.jks文件路径和密码,类型选择JKS。

SSL证书安装配置指南(Websphere)-7
2. 修改SSL配置
回到“SSL证书和密钥管理”,选择“SSL配置”

SSL证书安装配置指南(Websphere)-8
选择“新建”

SSL证书安装配置指南(Websphere)-9
为新建的SSL通道创建名称、指定密钥库及缺省证书别名(keystore.jks文件的alias别名)

SSL证书安装配置指南(Websphere)-10
保存后,选择“保真质量(QoP)设置”

SSL证书安装配置指南(Websphere)-11
配置访问规则,及协议版本和加密传输属性。在这里,可设置是否要求双向认证。

SSL证书安装配置指南(Websphere)-12
回到“应用程序服务器”下,您的应用

SSL证书安装配置指南(Websphere)-13
找到该应用下的“通信”=“端口”

SSL证书安装配置指南(Websphere)-14
点击默认端口9443的“查看关联传输”

SSL证书安装配置指南(Websphere)-15
点击进入默认关联传输链

SSL证书安装配置指南(Websphere)-16
点选“SSL入站通道(SSL_2)”

SSL证书安装配置指南(Websphere)-17
选择创建的SSL配置名称

SSL证书安装配置指南(Websphere)-18
保存到主配置,并退出

SSL证书安装配置指南(Websphere)-19
3. 访问测试
重启应用或重启Websphere,访问https://youdomain:port/youapp/,测试证书的安装。
四、 服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库keystore.jks文件恢复到您的服务器上,并修改配置,恢复服务器证书的应用。

分类
ssl证书配置指南

SSL证书安装配置指南(SM2证书)

一、生成证书请求

*密钥文件不区分操作系统平台,推荐使用CIM客户端工具。

*下载CIM:

*https://cim.itrus.cn

运行CIM客户端,点击工具箱,点击CSR生成,然后填写您的证书注册信息,点击生成,然后下拉至底部,点击保存CSR和私钥。请确保您填写的信息真实性和准确性,否则会导致证书申请失败。

以下是示例信息:

SSL证书安装配置指南(Websphere)-1

*使用CIM工具创建csr文件之后,将生成的server.csr文件发送给天威诚信,等待证书的签发。请同时备份server.key文件并稍后上传到服务器上进行配置。

*在您收到证书签发邮件之前,请不要删除压缩包中的server.key文件,以避免私钥丢失而导致证书无法安装。

注:如SSL证书已签发,不需要再次生成CSR,开始安装证书即可。

二,安装服务器证书

1.获取服务器签名证书文件

将证书签发邮件中的“以下是您的签名证书”代码的文本复制出来(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中。

为保障服务器证书在客户端的兼容性,服务器证书需要安装中级CA证书。 在服务器证书代码文本结尾,回车换行不留空行,粘贴证书签发邮件中的“以下是您的中级CA证书”部分里的第一段CA证书和第二段的内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”),每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含三段证书代码的文本文件为server.pem文件。

2.获取服务器加密证书文件

将证书签发邮件中的“以下是您的加密证书”代码的文本复制出来(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,保存包含一段证书代码的文本文件为serverencryption.pem文件。

  1. 提取加密密钥

请下载SM2密钥提取工具:http://www.itrus.cn/soft/iTrusSM2Tools.zip

打开压缩包后,运行“iTrusSm2Tools.exe”文件,并在工具中录入对应信息。

签名证书私钥为server.key文件,加密证书为serverencryption.pem文件,加密私钥密文为 证书签发邮件中“以下是您的加密密钥提取值”内容。如图所示:

SSL证书安装配置指南(Websphere)-2

提取后得到的文件保存为serverencryption.key文件。

  1. 安装服务器证书

复制生成的证书文件和密钥文件到Nginx安装目录下的conf目录(如Nginx不支持SM2证书安装建议使用支持SM2算法的硬件设备适配或通过天威诚信获取Nginx编译GMSSL兼容SM2算法参考建议)。

打开Nginx安装目录下conf目录中的nginx.conf文件

找到

# HTTPS server

#

#server {

#    listen       443;

#    server_name  localhost;

#    ssl                  on;

#    ssl_certificate      cert.pem;

#    ssl_certificate_key  cert.key;

#    ssl_session_timeout  5m;

#    ssl_protocols  SSLv2 SSLv3 TLSv1;

#    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

#    ssl_prefer_server_ciphers   on;

#    location / {

#        root   html;

#        index  index.html index.htm;

#    }

#}

将其修改为

server {

listen       443 ssl;

server_name  www.itrus.cn;

ssl_certificate      serverRSA.pem;

ssl_certificate_key  serverRSA.key;

#可以配置RSA算法的国际可信证书,若不需要RSA证书可注释上方2行配置。

ssl_certificate      server.pem;

ssl_certificate_key  server.key;

#配置SM2算法证书签名证书密钥对

ssl_certificate      serverencryption.pem;

ssl_certificate_key  serverencryption.key;

#配置SM2算法证书加密证书密钥对

ssl_session_cache    shared:SSL:1m;

ssl_session_timeout  5m;

ssl_protocols GMTLSv1.1 TLSv1.1 TLSv1.2;

ssl_ciphers  HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:ECC-SM4-SM3:SM2-WITH-SMS4-SM3;

ssl_prefer_server_ciphers   on;

location / {

root   html;

index  index.html index.htm;

}

}

保存退出,并重启Nginx。

通过360等支持SM2算法的浏览器以https方式访问您的站点,测试站点证书的安装配置。

三、备份服务器证书

在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您的系统应用带来不便。

  1. 服务器证书的备份

备份所有.key后缀服务器证书私钥文件,以及.pem后缀的服务器证书文件即可完成服务器证书的备份操作。

  1. 服务器证书的恢复

请参照服务器证书配置部分,将服务器证书密钥文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。

分类
ssl证书配置指南

SSL证书安装配置指南(Weblogic)

一、 生成证书请求
1. 生成keystore文件
生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录,运行keytool命令(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass password -keypass password

SSL证书安装配置指南(Weblogic)-1
以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在D盘根目录下。
2. 生成证书请求文件(CSR)
keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass password -storepass password
请备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。密钥库文件keystore.jks丢失将导致证书不可用。
注:如SSL证书已签发,不需要再次生成CSR,参考第二步安装证书即可。
二、 导入服务器证书
1. 获取服务器证书
将证书签发邮件中“以下是您的服务器证书”代码从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer文件
2. 获取CA证书
将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段CA证书的内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为ca.cer文件。
3. 查看keystore文件内容
进入JDK安装目录下的bin目录,运行keytool命令查询keystore文件信息。
keytool -list -keystore D:\keystore.jks -storepass password

SSL证书安装配置指南(Weblogic)-2
查询到PrivateKeyEntry(或KeyEntry)属性的私钥别名(alias)为server,在稍后导入服务器证书时需要用到(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
注意,导入证书时,一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件,都将无法正确导入您的服务器证书。
4. 导入证书
导入中级CA证书(必须优先导入中级证书,否则会触发证书链不完整错误)
keytool -import -alias ca -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca.cer -noprompt

SSL证书安装配置指南(Weblogic)-3
导入服务器证书
keytool -import -alias server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer

SSL证书安装配置指南(Weblogic)-4
导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
三,安装服务器证书
1. 导入keysotre密钥库
登陆Weblogic控制台

SSL证书安装配置指南(Weblogic)-5
选择“Lock & Edit”解锁配置,并进入“Servers”

SSL证书安装配置指南(Weblogic)-6
选择您需要配置服务器证书的Server

SSL证书安装配置指南(Weblogic)-7
在“General”下,可以配置您的http和https是否启用,以及访问端口号。https默认端口号为443,请在选项启用SSL并相应修改端口号。

SSL证书安装配置指南(Weblogic)-8
在“Keystores”下配置认证方式。服务器身份认证请选择“Custom identity and Java Standard Trust”。

SSL证书安装配置指南(Weblogic)-9
将您的密钥库文件keystore.jks保存到服务器上相应目录,并配置keystore.jks文件路径,类型选择jks,密钥库文件保护密码。

SSL证书安装配置指南(Weblogic)-10
单向认证中,需要配置JRE默认信任库文件cacerts。Cacerts默认密码为changeit

SSL证书安装配置指南(Weblogic)-11
在“SSL”下配置密钥库中的私钥别名信息和keystore.jks文件保护密码,私钥别名可以使用keystool -list 命令查看。

SSL证书安装配置指南(Weblogic)-12
设置完成后,选择“Active Changes”,保存所有修改。如果系统提示需要重启Weblogic,则您需要重启后才能使配置生效。

SSL证书安装配置指南(Weblogic)-13
2. 访问测试
访问https://youdomain:port,测试证书的安装。
四、 服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库keystore.jks文件恢复到您的服务器上,并修改配置,恢复服务器证书的应用。

分类
ssl证书配置指南

SSL证书安装配置指南(Resin)

一、  生成证书请求

  1. 生成keystore文件

生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录,运行keytool命令(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass password -keypass password

SSL证书安装配置指南(Resin)-1

以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在D盘根目录下。

  1. 生成证书请求文件(CSR)

keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass password -storepass password

请备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。密钥库文件keystore.jks丢失将导致证书不可用。

注:如SSL证书已签发,不需要再次生成CSR,开始参考第二步安装证书即可。

二、  导入服务器证书

  1. 获取服务器证书

将证书签发邮件中“以下是您的服务器证书”代码从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer文件

  1. 获取CA证书

将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段CA证书的内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为ca.cer文件。

  1. 查看keystore文件内容

进入JDK安装目录下的bin目录,运行keytool命令查询keystore文件信息。

keytool -list -keystore D:\keystore.jks -storepass password

SSL证书安装配置指南(Resin)-2

查询到PrivateKeyEntry(或KeyEntry)属性的私钥别名(alias)为server,在稍后导入服务器证书时需要用到(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。

注意,导入证书时,一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件,都将无法正确导入您的服务器证书。

  1. 导入证书

导入中级CA证书(必须优先导入中级证书,否则会触发证书链不完整错误)

keytool -import -alias ca -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca.cer -noprompt

SSL证书安装配置指南(Resin)-3

导入服务器证书

keytool -import -alias server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer

SSL证书安装配置指南(Resin)-4

导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。

三、 安装服务器证书

  1. SSL证书的配置

复制已正确导入认证回复的keystore.jks文件到Resin安装目录下的conf目录。打开conf目录下的resin.xml文件,找到并修改以下内容

< !–

– SSL port configuration:

– < http address=”*” port=”8443″ >

–   < openssl >

–     < certificate-file > keys/gryffindor.crt < /certificate-file >

–     < certificate-key-file > keys/gryffindor.key < /certificate-key-file >

–     < password > test123 < /password >

–   < /openssl >

– < /http >

— >

修改为

< http address=”*” port=”443″ >

< jsse-ssl >

< key-store-type > jks < /key-store-type >

< key-store-file>conf/keystore.jks < /key-store-file >

< password > password < /password >

< /jsse-ssl >

< /http >

默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。

四、服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。

  1. 服务器证书的备份

备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。

  1. 服务器证书的恢复

请参照服务器证书安装部分,将服务器证书密钥库keystore.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。