Tomcat安裝CA證書（詳細過程篇）（源創）

Tomcat安裝CA證書（詳細過程篇）

作者：yellowtop Email: yellowtop@163.com 日期：2004-11-26

以Verisign 測試證書為例

1.創建一個本地證書：

C:\j2sdk1.4.2_05\bin>keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
輸入keystore密碼：  12345678
您的名字與姓氏是什么？
  [Unknown]：  www.test.com
您的組織單位名稱是什么？
  [Unknown]：  system
您的組織名稱是什么？
  [Unknown]：  test
您所在的城市或區域名稱是什么？
  [Unknown]：  beijing
您所在的州或省份名稱是什么？
  [Unknown]：  beijing
該單位的兩字母國家代碼是什么
  [Unknown]：  cn
CN=liujx, OU=system, O=test, L=beijing, ST=beijing, C=cn 正確嗎？
  [否]：  y

輸入<tomcat>的主密碼
        （如果和 keystore 密碼相同，按回車）：

查看證書
C:\j2sdk1.4.2_05\bin>keytool -list -keystore keystore
輸入keystore密碼：  12345678

Keystore 類型： jks
Keystore 提供者： SUN

您的 keystore 包含 1 輸入

tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5)： B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA:DC:F7:0F:80


2.然后創建CSR：

C:\j2sdk1.4.2_05\bin>keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore

輸入keystore密碼：  12345678

現在，你有了一個叫certreq.csr的文件，你可以將它提交到CA（參考CA網站上的文檔怎樣做）。然后就得到了證書。
例如：我們申請了個Verisign.com的測試證書保存為：client.cer

3.從你獲得證書的CA下載Chain Certificate:

例如：
Verisign.com正式證書：去http://www.verisign.com/support/install/intermediate.html
Verisign Test CA Root證書：去http://www.verisign.com/server2/trial/faq/index.html


4.將Chain Certificate導入到keystore：

例如：導入Verisign Test CA Root證書getcacert.cer
C:\j2sdk1.4.2_05\bin>keytool -import -trustcacerts -alias root -file getcacert.cer -keystore keystore
輸入keystore密碼：  12345678
Owner: OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
發照者： OU=For VeriSign authorized testing only. No assurances (C)VS1997, OU=www.verisign.com/repository/TestCPS Incorp. By Ref. Liab. LTD., O="VeriSign, Inc"
序號： 52a9f424da674c9daf4f537852abef6e
有效期間： Sun Jun 07 08:00:00 CST 1998 至： Wed Jun 07 07:59:59 CST 2006
認證指紋：
         MD5：  40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87
         SHA1： 93:71:C9:EE:57:09:92:5D:0A:8E:FA:02:0B:E2:F5:E6:98:6C:60:DE
信任這個認證？ [否]：  y
認證已添加至keystore中

查看證書
C:\j2sdk1.4.2_05\bin>keytool -list -keystore keystore
輸入keystore密碼：  12345678

Keystore 類型： jks
Keystore 提供者： SUN

您的 keystore 包含 2 輸入

root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5)： 40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5)： B8:44:A1:A2:C7:9A:09:EE:A0:CF:5B:AA:DC:F7:0F:80



5.最后，導入你的新證書： 

C:\j2sdk1.4.2_05\bin>keytool -import -trustcacerts -alias tomcat -file client.crt -keystore keystore
.old
輸入keystore密碼：  12345678
認證回復已安裝在 keystore中

查看證書
C:\j2sdk1.4.2_05\bin>keytool -list -keystore keystore
輸入keystore密碼：  12345678

Keystore 類型： jks
Keystore 提供者： SUN

您的 keystore 包含 2 輸入

root, 2004-11-26, trustedCertEntry,
認證指紋 (MD5)： 40:06:53:11:FD:B3:3E:88:0A:6F:7D:D1:4E:22:91:87
tomcat, 2004-11-26, keyEntry,
認證指紋 (MD5)： 68:33:EE:6C:5C:5B:70:B5:0D:85:3B:6D:AF:00:91:24

注意：仔細觀察tomcat項的認證指紋與導入之前是不同的。

6.安裝證書

把最后生成的keystore文件，復制到tomcat安裝路徑的conf目錄下


7.修改Tomcat的配置文件server.xml

    <!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
    <Connector port="8443" 
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               aclearcase/" target="_blank" >cceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="/conf/keystore" keystorePass="12345678"/>

8.重新啟動Tomcat

9.為IE瀏覽器安裝測試根證書：

雙擊getcacert.cer，安裝測試根證書

10.測試SSL

打開IE輸入https://www.test.com:8443/

如果沒有任何提示就進入頁面，說明配置完全正確。祝你好運！

lamei 回復于：2004-12-04 21:52:36

Verisign.com正式證書：去http://www.verisign.com/support/install/intermediate.html  Verisign Test CA Root證書：去http://www.verisign.com/server2/trial/faq/index.html  這兩個都需要嗎？  如何獲取。有沒有詳細步驟？

yellowtop 回復于：2004-12-06 09:05:07

如果做測試用，只要下載Verisign Test CA Root證書。

lamei 回復于：2004-12-07 20:03:28

我想用于商業用途。  能行嗎？

原文轉自：http://www.anti-gravitydesign.com