服务器证书安装配置指南

办事器证书安装配置指南（Tomcat6）

一、生成证书请求

1.安装JDK

安装Tomcat需要JDK支持。如果您还没有"K的安装，则可以参考

JavaSEDevelopmentKit（JDK）下载。下载地点:

2.生成keystore文件

生成密钥库文件需要使用JDK的keytool东西。命令行进入JDK下的bin

目录，运行keytool命令。（示例中粗体部门为可自界说部门，请凭据

实际配置情况作相应调解）

keytool-genkey-aliasserver-keyalgRSA-keysize2048-keystore

keystore,jks-storepasspassword

以上命令中，server为私钥别名(-alias),生成的s文件默认放在命令

行当前路径下。

3.生成证书请求文件(CSR)

Keytool-certreq-aliasserver-sigalgMD5withRSA-file

certreq.csr-keystorekeystore,jks-keypasspassword-storepass

password

送命令提示符

■d

C：\Jaua\jdk\bin>kevtool-certreq-aliasserver-sigalgMD5withRSfl-filecertreq.

csr-keystorekeystore.jks-keypasspassword-storepasspassword

C：\Jaua\jdk\bin>

Ld

备份密钥库文件s,并稍后提交证书请求文件r,等候证书签发。

二、导入办事器证书

1.获取办事器证书中级CA证书

为保障办事器证书在客户端的兼容性,办事器证书需要安装两张中级CA

证书(差别品牌证书，可能只有一张中级证书)。

从邮件中获取中级CA证书：

将证书签发邮件中的从BEGIN到END结束的两张中级CA证书内容(包

罗“----BEGINCERTIFICATE-----”和"-----ENDCERTIFICATE-----")

分别粘贴到记事本等文本编辑器中，并修改文件扩展名，生存为r和r

文件。

2.获取办事器证书

您的keystore密码

将证书签发邮件中的从BEGIN到END结束的办事器证书内容(包罗

“-----BEGINCERTIFICATE-----”和“-----ENDCERTIFICATE-----”)

粘贴到记事本等文本编辑器中，并修改文件扩展名，生存为r文件

3.检察Keystore文件内容

进入JDK安装目录下的bin目录，运行keytool命令。

keytool-list-keystoreC:\keystore.jks-storepasspassword

查询到PrivateKeyEntry属性的私钥别名（alias）为server。记着该别

名，在稍后导入办事器证书时需要用到。（示例中粗体部门为可自界说

部门，请凭据实际配置情况作相应调解。）

注意，导入证书时，一定要使用生成证书请求文件时生成的s文件。s

文件丢失或生成新的s文件，都将无法正确导入您的办事器证书。

4.导入证书（如果只有一张中级证书，则只需要导入一张中级证书）

导入第一张中级CA证书

keytool-import-aliasintermediate!-keystore

导入第二张中级CA证书

keytool-import-aliasintermediate2-keystoreC:\keystore.jks

-trustcacerts-storepasspassword-fileC:\in

:\TINDO¥S\systeB32\c*d.exeX

C：\Jaua\jdk\bin>ke</tool-import-aliasintermediatel-keystoreC:\keystore.jks-

trustcacerts-storepasspassword-£ileC：'intermediate]-cer

认证已添加至keystore中

C：\Jaua\jdk\bin>keytool-import-aliasintermediate2-keystoreC:\keystore.jks-

trustcacerts-storepasspassword-fileC：\internediate2.cer

认证已添加至keystore中

t：\Jaua\jdk\bin>,

二］

导入办事器证书

keytool-import-aliasserver-keystoreC:\keystore.jks

-trustcacerts-storepasspassword-fileC:\s

c：C:\fIWDOfS\syste»32\c«d.exeBl日

C：\Java\jdk\bin>keytool-import-aliasserver-keystoreC：xkeystore.jks-t»»ustcai

certs=nAsswnrdileC:\soruer.cei*

队证向复己安装在keyston中

|C：\JAUA\jdk5'n>.

二J

导入办事器证书时，办事器证书的别名必须和私钥别名一致。请留意导

入中级CA证书和导入办事器证书时的提示信息，如果您在导入办事器

证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore

中”而不是应有的“认证复兴己安装在keystore中”。

证书导入完成，运行keystool命令，再次检察keystore文件内容

keytool-list-keystoreC:\keystore.jks-storepasspassword

c，C:\fIWDOfS\systea32\c«d.exe

C:\Jaua\jdk\bin>keytool-list-keystoreC：\keystore.jks-storepasspassword

Keystore粪等：JKS

Keystore提供者：SUN

您的keystore包含3轴入

internediate2«2009-8-21,trustedCertEntry,

认证指纹<MDS>;CA：D5：A7：99：DD：90：93：60：B8：7C：31：9B：DE：D5：F3：2F

internediatel,2009-8-21,trustedCertEntry,

认证指纹<MD5>：FC：E2-FB：ftB：2D：9n：^：EE：43：17：63：DC：2F：70：2E：4A

server,20098-21,PrivAteKeyEntry,

认证指纹<HD5>：2S：SS：7C：i2：S>0：lE：86：D9：64：61：2F：66：97：B8：D2：lft

C:\Jaua7dk\bin>

二1

三、安装办事器证书

1.单向认证的配置

复制己正确导入认证复兴的keystore,jks文件到Tomcat安装目录下的

conf目录。打开conf目录下的1文件，找到并修改以下内容

<!—

<Connectorport=”8443〃protocol="HTTP/1.1〃

SSLEnabled二〃true”

田axThreads=〃150〃scheme二〃https”

secure=，，true，/

clientAuth二〃false”

sslProtocol=，，TLS/z/>

SSL访问端口

修改为

<Connectorport="443〃protocol="HTTP/1.1〃

SSLEnabled="true”

maxThreads=，/150/zschcmo=〃https〃

secure="true”

keystoreFile=，，conf\keystore.jks，z

keystorePass="password”

clientAuth=〃false〃

sslProtocol=，zTLS/，/>

默认的SSL访问端口号为443,如果使用其他端口号，则您需要使用

https://yourdomain:port的方法来访问您的站点。

2.双向认证的配置

配置双向认证时，您还需要指定客户端认证的信任库文件。客户端认证

信任库文件(truststoreFile)可以和办事器证书密钥库文件

(keystoreFile)为同一个文件,也可以进行独立配置。

示例中使用相同的密钥库文件。您需要首先将客户端认证的根证书以及

中级CA证书导入到客户端认证信任库。

<Connectorport="443〃protocol="HTTP/1.1〃

SSLEnab1ed=〃true”