提示:建議以下操作不使用谷歌瀏覽器(該網站的證書不識別...),可以看到我的截圖中谷歌換成了ie(沒裝火狐)...建議該申請使用火狐
前面介紹了下自簽名的ssl證書,雖然可以實現https協議訪問,但是瀏覽器總會提示不安全,對用戶不太友好,在這里介紹下稍微正規點的CA認證方式。
在某果發布的文章上看到說他們的app要強制要求使用https協議了,讓用戶去沃通申請免費的ssl證書,結果去沃通官網,發現截至到16年9月份就停止免費申請了
最后不得已使用了startssl 免費ssl證書,官網說的是免費一年...
第一部分 申請免費ssl證書(startssl)
打開官網 https://startssl.com
輸入郵箱 讓后發送驗證碼 ,將驗證碼填入 signup 如下圖
輸入密碼 提交 會提示下載
當前下載的證書(以.p12結尾)是登陸這個網站的密鑰建議保存,是以后登陸該網站都需要的憑證 ,雙擊安裝然后重新訪問官網
單擊here
輸入域名, 提交.如下圖
接下來是填寫二級域名 這里只截了下半部分圖
上圖是提示生成csr文件的方式 openssl命令或下載StartComTool.exe工具
這里使用的openssl命令 直接在linux 中執行:
openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr
ls 可以看到生成了yourname.key和yourname.csr 2個文件
將csr文件的內容復制到下面的文本框並提交,成功的話會提示到證書列表下載證書
到這里免費的ssl證書就申請成功。(下載后壓縮文件有4個文件分別對應不同的web服務器)
第二部分 介紹tomcat配置證書
1,解密密鑰
可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,
或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的內容另存為文件,如ssl_decrypted.key
2,生成PKCS12文件 startssl官網生成PKCS12文件
private key 為ssl_decrypted.key(解密密鑰) 文件的內容全部(帶-----標題的-----)
證書填下載的證書包中的 綁定域名.crt 的內容(帶-----標題的-----)
密碼 為生成key和csr文件設置的命令
上圖
提交后 成功的話可以下載.p12文件(所謂的PKCS12)
3,生成jks文件(tomcat配置需要)
D:\ssl>keytool.exe -importkeystore -deststorepass mypwd(應該是設置密碼 我這里設置成創建key和csr文件時的密碼一樣) -destkeystore chbkeystore.jks -srckeystore chb.p12 -srcstoretype PKCS12 -srcstorepass mypwd(創建key和csr文件時的密碼)
最終得到 chbkeystore.jks
4,將根證書和1級證書導入到jks文件
導入根證書(在startssl下載的證書OtherServer目錄中的 root.crt)
D:\ssl>keytool -import -alias startsslca -file OtherServer\root.crt -keystore ch
bkeystore.jks
如圖:
導入1級證書 (在startssl下載的證書OtherServer目錄中的1_Intermediate.crt文件)
D:\ssl>keytool -import -alias startsslca2 -file OtherServer\1_Intermediate.crt -
keystore chbkeystore.jks
5,配置Tomcat(這里和自簽名ssl配置類似)
修改Tomcat目錄下confg目錄中的server.xml文件。
主要加keystoreFile(文件路徑) 和keystorePass(密碼) 屬性
自簽名證書生成和配置可以參考 自簽名ssl證書
如果讀者還不清楚(或者需要了解nginx,apache 等服務器配置ssl)的話可以參考 微信官方文檔的配置說明
本文參考:http://blog.csdn.net/ruixue0117/article/details/23923395