前面使用 keytool 工具生成的 keystore 是用来 SSL 证书配置的重要文件。本文介绍在服务端如何部署 CA 证书。
更多精彩内容请看 web 前端中文站
http://www.lisa33xiaoq.net 可按 Ctrl + D 进行收藏
keystore 可理解为一个数据库,可以存很多个组数据。
每组数据主要包含下面两种数据:
- 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
- 可信任的证书实体(trusted certificate entries)——只包含公钥
下面我们先说 CA 证书在服务器端的部署。
下载证书
在阿里云生成的针对 tomcat 服务器 CA 证书在申请成功后,如下图,选“下载”->”tomcat”->”下载证书 for Tomcat”。
就能下载相应的 tomcat 证书文件。
顺便补充一下,在上图中,除了 Tomcat 外,还可以针对其它的服务器下相应的证书,如:Nginx,Apache,IIS 等,有需要的请自行研究。
下载的文件如下:
其中相关文件介绍如下:
- *.pfx 为 keystore 文件,服务器用的就是这个文件
- pfx-password.txt 里包含有 keystore 所用到的密码
- *.key 里面包含的是私钥,暂时没用到此文件
- *.pem 里面包含的是公钥,主要给客户端
上图中的”下载证书 for Tomcat”那个页面有对 Tomcat 服务器的详细配置教程。
我这里再总结一下:
第一步,在 Tomcat 的安装目录下创建 cert 目录,并且将下载的全部文件拷贝到 cert 目录中。
找到安装 Tomcat 目录下该文件 server.xml,一般默认路径都是在 conf 文件夹中。将下面的内容整合到 server.xml 文件中。
keystoreFile="cert/*.pfx" keystoreType="PKCS12" #此处的证书密码,请参考 pfx-password.txt 中的密码 keystorePass="证书密码"
详细的配置内容如下:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/*.pfx" keystoreType="PKCS12" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
以上,就是 CA 证书的服务端配置,相当简单!
本文原文出处:web 前端中文站: » CA 证书在服务器端的部署教程
【注:本文源自网络文章资源,由站长整理发布】