腾讯云TrustAsia DV SSL CA证书的申请及使用

时间  2019-11-17
标签 腾讯 trustasia ssl 证书 申请 使用 栏目 腾讯 繁體版
原文   原文链接

一、证书申请及管理    web

    对于已经拥有域名及公网服务器的用户,能够经过腾讯云申请TrustAsia DV SSL CA证书,证书申请流程包含填写基本信息和域名认证两步,很是清晰和简单,没有什么须要过多描述的。浏览器

    证书申请及域名认证完成后,便可以证书管理界面下载证书tomcat

二、服务器端证书部署安全

    下载的文件是一个压缩文件包,解压后能够看到分别有Apache、IIS、Ngnix、Tomcat四个不一样的目录分别对应相应的WEB服务部署环境,下面以Tomcat为例进行说明。服务器

(2.1)安装证书app

    配置SSL链接器,将解压后tomcat目录中的www.domain.com.jks文件存放到tomcat安装目录的conf目录下,而后配置同目录下的server.xml文件:dom

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    keystoreFile="conf\www.domain.com.jks"
    keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

注:网站

配置文件参数 说明
clientAuth 若是设为true,表示Tomcat要求全部的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile 指定keystore文件的存放位置,能够指定绝对路径,也能够指定相对于<catalina_home> (Tomcat安装目录)环境变量的相对路径。若是此项没有设定,默认状况下,Tomcat将从当前操做系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass 密钥库密码,指定keystore的密码。(若是申请证书时有填写私钥密码,密钥库密码即私钥密码)
sslProtocol 指定套接字(Socket)使用的加密/解密协议,默认值为TLS

 

(2.2)http自动跳转https的安全配置加密

    到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段:url

<web-resource-collection >
    <web-resource-name >SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

这步目的是让非ssl的connector跳转到ssl的connector去。因此还须要前往server.xml进行配置:

<Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="443" />

redirectPort改为ssl的connector的端口443,重启tomcat后便会生效。

OK,到此为止,服务器端配置便完成了,在浏览器中输入相似于https://www.domain.com试试吧。

三、客户端证书使用

    在某些特殊状况下(如cas及使用cas做为单点登陆环境的网站),客户端也须要配置秘钥库文件:

   (3.1)在服务器端导出证书

keytool -export -alias www.domain.com -keystore www.domain.com.jks -file domaincas.cer

 (3.2)将证书以电子邮件或者其余能够传递的形式传送到须要部署的客户端

   (3.3)客户端导入证书

        首先将服务端生成的证书文件(domaincas.cer)复制到$JAVA_HOME/jre/lib/security下

        导入证书:

keytool -import -trustcacerts -alias www.domain.com -storepass changeit -file domaincas.cer -keystore cacerts

    注意客户端的密码通常为changeit,不可与私钥密码混淆

    (3.4)客户端服务器配置(以tomcat为例)

      注意若是CAS中设定了客户端能够不用HTTPS便可访问的话,本步骤省略,不然同CAS SERVER端HTTPS的配置同样。

       修改tomcat安装目录中conf目录中的server.xml:

<Connector protocol="HTTP/1.1" SSLEnabled="true"
	maxThreads="150" scheme="https" secure="true"
	clientAuth="false"
	sslProtocol="TLS"   
	keystoreFile="***"  
	keystorePass="***"   
	port="443"/>
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程