HTTPS证书配置(单向认证)
环境准备
openssl和jdk。
Openssl: Linux系统中一般自带openssl,无需安装;Windows下使用openssl,可下载此文件
http://download.****.net/download/learning_lb/9951635;
参考文章:http://blog.****.net/learning_lb/article/details/77602881
JDK: 要求jdk1.8及以上版本
制作步骤
CA根证书的制作
应先提前建好生成证书的存放目录,本例中在openssl.exe同级目录下建立了ca文件夹
点击openssl.exe开始制作证书,以下命令中可不在输入openssl
1. 创建私钥
|
openssl genrsa -out ca/ca-key.pem 1024 |
2. 创建证书请求
|
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem |
以下各项可根据实际情况任意配置
3. 自签署证书
|
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 |
4. 将证书导出成浏览器支持的.p12格式
|
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12 |
制作服务器证书
cmd命令窗口执行keytool命令
01.生成**
02.生成证书请求
03.根据证书请求,制作证书
(使用openssl执行)
|
openssl x509 -req -in ca/server.csr -out ca/server.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1 |
04.向**库中导入CA证书
(cmd命令窗口,keytool命令)
05. 导入服务器证书
06.导入CA验签信息
|
keytool -import -alias server-ca -trustcacerts -file ca-cert.pem -keystore servertrust.jks |
此处**口令填写666666,在之后ssl的配置中使用到。
Tomcat配置
修改config目录下的server.xml文件
找到如下配置,解开注释
修改为如下配置
客户端配置
双击安装ca.p12文件到受信任的根证书颁发机构即可,(一路点下一步)
效果
绿色安全的HTPPS访问
明天接着写weblogic的HTTPS配置,后续会更细如何进行双向配置,以及配置证书中一些坑